locked
Windows Server 2008 R2のイベントビューアのセキュリティログに関して RRS feed

 > 

  • 質問

  • Question
    サインインして投票
    0
    サインインして投票

    Windows Sever 2008 R2(以下、Windows2008)のサーバーをドメインにメンバーサーバーとして参加しています。

    イベントビューアのセキュリティログに大量の成功の監査が表示されています。(ID4634、4719、4672等)

    ローカルセキュリティポリシーの監査ポリシーでアカウント ログオン イベントの監査はデフォルトのまま、監査しないとなっています。

    成功の監査を止めたい場合はどのようにすればよいか、ご教授ください。

    回答するにあたり、不足している情報等あればご指摘いただけると助かります。

    • 移動 Robin_Ren 2012年10月3日 18:00 merge forum (移動元:Windows Server 2008 R2 全般)
    2011年7月8日 1:02

回答

  • Question
    サインインして投票
    0
    サインインして投票

    こんにちは、フォーラムオペレーターの三沢健二です。

    auditpol コマンドを使用して現在の設定内容の確認を行い、不必要なログの停止をお試しいただければと思います。

    - 参考情報
    Auditpol
    http://technet.microsoft.com/en-us/library/cc731451(WS.10).aspx

    Windows Vista で、Windows Server 2008 のセキュリティ イベントの説明
    http://support.microsoft.com/kb/947226

    2008:auditpol で使用可能な subcategory の一覧を取得する
    http://blogs.technet.com/b/junichia/archive/2007/09/29/2008-auditpol-subcategory.aspx


    例)
    全設定の確認。
    auditpol /get /category:*

    全ての "成功" のログを停止する。
    auditpol /set /category:* /success:disable

    全ての "失敗" のログを停止する。
    auditpol /set /category:* /failure:disable

    "ログオン" の "成功" のログを停止する。
    auditpol /set /subcategory:"ログオン" /success:disable


    詳細はヘルプなどを見て色々とお試しください。

    もしかしたら、全てのログを停止しても記録されるログがあるかもしれません。
    その場合にはユーザーでの制御不可能なログである可能性もありますので、念のために 弊社有償サポート へご相談いただければと思います。


    補足:
    詳細な監査ポリシーの設定が行われていないかも確認してください。

    セキュリティ監査の変更点
    http://technet.microsoft.com/ja-jp/library/dd560660(WS.10).aspx


    それでは、こちらの情報が少しでもお役にたてれば幸いです。

    ______________________________________
    日本マイクロソフト株式会社 フォーラム オペレーター 三沢健二

    2011年7月13日 7:03

すべての返信

  • Question
    サインインして投票
    0
    サインインして投票

    こんにちは、フォーラムオペレーターの三沢健二です。

    auditpol コマンドを使用して現在の設定内容の確認を行い、不必要なログの停止をお試しいただければと思います。

    - 参考情報
    Auditpol
    http://technet.microsoft.com/en-us/library/cc731451(WS.10).aspx

    Windows Vista で、Windows Server 2008 のセキュリティ イベントの説明
    http://support.microsoft.com/kb/947226

    2008:auditpol で使用可能な subcategory の一覧を取得する
    http://blogs.technet.com/b/junichia/archive/2007/09/29/2008-auditpol-subcategory.aspx


    例)
    全設定の確認。
    auditpol /get /category:*

    全ての "成功" のログを停止する。
    auditpol /set /category:* /success:disable

    全ての "失敗" のログを停止する。
    auditpol /set /category:* /failure:disable

    "ログオン" の "成功" のログを停止する。
    auditpol /set /subcategory:"ログオン" /success:disable


    詳細はヘルプなどを見て色々とお試しください。

    もしかしたら、全てのログを停止しても記録されるログがあるかもしれません。
    その場合にはユーザーでの制御不可能なログである可能性もありますので、念のために 弊社有償サポート へご相談いただければと思います。


    補足:
    詳細な監査ポリシーの設定が行われていないかも確認してください。

    セキュリティ監査の変更点
    http://technet.microsoft.com/ja-jp/library/dd560660(WS.10).aspx


    それでは、こちらの情報が少しでもお役にたてれば幸いです。

    ______________________________________
    日本マイクロソフト株式会社 フォーラム オペレーター 三沢健二

    2011年7月13日 7:03
  • Question
    サインインして投票
    0
    サインインして投票

    三沢様

    ご回答ありがとうございます。

    デフォルトの状態で使用しており、特に監査のポリシーを設定はしていませんでした。

    上記コマンドを試してみましたが、状況に変化はありませんでした。

    三沢様のご指摘通り、ユーザーでの制御不可能なログなのかもしれません。

    もう少し調べてみます。

     

     

    2011年7月15日 1:28
  • Question
    サインインして投票
    0
    サインインして投票

    ボラカイ さん、ご返信ありがとうございます。

    私の環境でも全ての監査ログを停止させてみたのですが、例えば "時刻の変更" や "ポリシーの変更" などのログは記録されました。

    他に設定がないか少し調べてみたのですが、現時点では情報が見つかりませんでした。。。

    ______________________________________
    日本マイクロソフト株式会社 フォーラム オペレーター 三沢健二

    2011年7月15日 2:44