【Active Directory】ユーザーのログオン認証の監査を設定する方法

ログオンイベントの監査は、ネットワークセキュリティの重要な側面であり、ドメインユーザーに対してこれを有効にするためには、グループポリシーより、「Defalut Domain Policy」で設定します。

「Defalut Domain Policy」については、下記の記事もあわせて参考にしてください。

これは、スタートメニューを開き、「Windows管理ツール」→「グループポリシーの管理」よりコンソールを開いたら、ポリシーのリストから「Defalut Domain Policy」で選択します。

ポリシーを選択した後、そのポリシーを右クリックして 「編集」 を選択します。

これにより、グループポリシーエディターが開き、アカウントログオンイベントの監査ポリシーを構成することができます。

「コンピューターの構成」→「ポリシー」→「Windows設定」→「セキュリティ設定」→「ローカルポリシー」→「監査ポリシー」と進み、「アカウント ログオンイベントの監査」 をダブルクリックします。

[これらのポリシー設定を定義する]を有効にし、「成功」 と 「失敗 」の両方のボックスをチェックします。これにより、成功、失敗にかかわらず、すべてのログオン試行が監査されるようになります。

アカウントログオンイベントの監査ポリシーを構成したら、「OK」をクリックし、変更を保存します。

これで、監査ポリシーはすべてのドメインユーザーに対して有効になり、ネットワーク上のすべてのログオン試行を記録するようになります。

ログオンイベントは、ドメインコントローラのイベントビューアに保存されます。アクセスするには、Windowsキーを押しながら「ファイル名を指定して実行」をクリックし、「eventvwr.msc」と入力してEnterキーを押します。イベントビューアが開き、セキュリティログを含むすべてのシステムログを表示することができます。

イベントビューアについては、下記の記事を参考にしてください。

今回は、ドメインユーザ（高橋三郎 HIROTANOBLOG\takahashis）でログオンを試み、あえて失敗しました。

下記のとおり、「失敗の監査」として、ログが記録されています。

セキュリティのために、ログオンイベントを定期的に監視することが必要です。ユーザーのログオンイベントを表示する手順は比較的簡単で、イベントビューアを使用して簡単に確認することができます。