ログオンイベントの監査は、ドメインネットワークのセキュリティを確保するために重要です。これにより、管理者はユーザーの認証状況を追跡し、潜在的なセキュリティ侵害を検出することができます。この記事では、グループポリシーを使用してドメインユーザーのログオンイベントを監査する方法について説明します。
監査ポリシーの有効化
ログオンイベントの監査は、ネットワークセキュリティの重要な側面であり、ドメインユーザーに対してこれを有効にするためには、グループポリシーより、「Defalut Domain Policy」で設定します。
「Defalut Domain Policy」については、下記の記事もあわせて参考にしてください。
>> 参考記事 :【Active Directory】デフォルトドメインポリシーについて
【Active Directory】デフォルトドメインポリシーについて
Active Directoryのグループポリシー(GPO)は、3つ(サイト、ドメイン、OU)の適用場所(リンク)があります。 グループポリシーの概要は下記の記事を参考にしてください。 >> 参考記事 : グループポリシーの構成・適用・...
これは、スタートメニューを開き、「Windows管理ツール」→「グループポリシーの管理」よりコンソールを開いたら、ポリシーのリストから「Defalut Domain Policy」で選択します。
ポリシーを選択した後、そのポリシーを右クリックして 「編集」 を選択します。
これにより、グループポリシーエディターが開き、アカウントログオンイベントの監査ポリシーを構成することができます。
「コンピューターの構成」→「ポリシー」→「Windows設定」→「セキュリティ設定」→「ローカルポリシー」→「監査ポリシー」と進み、「アカウント ログオンイベントの監査」 をダブルクリックします。
[これらのポリシー設定を定義する]を有効にし、「成功」 と 「失敗 」の両方のボックスをチェックします。これにより、成功、失敗にかかわらず、すべてのログオン試行が監査されるようになります。
アカウントログオンイベントの監査ポリシーを構成したら、「OK」をクリックし、変更を保存します。
これで、監査ポリシーはすべてのドメインユーザーに対して有効になり、ネットワーク上のすべてのログオン試行を記録するようになります。
ログオンイベントの確認
ログオンイベントは、ドメインコントローラのイベントビューアに保存されます。アクセスするには、Windowsキーを押しながら「ファイル名を指定して実行」をクリックし、「eventvwr.msc」と入力してEnterキーを押します。イベントビューアが開き、セキュリティログを含むすべてのシステムログを表示することができます。
イベントビューアについては、下記の記事を参考にしてください。
>> 参考記事 :イベントログ/イベントビューアー 起動とフィルター
【Windows】イベントログ/イベントビューアー 起動とフィルター
Windowsでは、自身の稼働ログをイベントログに記録します。通常運用時は、あまり見ることはありませんが、システムトラブル対応などで、調査する際に参照します。 今回は、Windows Server 2019 を使用して、イベントビューアーの...
今回は、ドメインユーザ(高橋三郎 HIROTANOBLOG\takahashis)でログオンを試み、あえて失敗しました。
下記のとおり、「失敗の監査」として、ログが記録されています。
セキュリティのために、ログオンイベントを定期的に監視することが必要です。ユーザーのログオンイベントを表示する手順は比較的簡単で、イベントビューアを使用して簡単に確認することができます。
コメント