none
監査ポリシーの構成に関して RRS feed

  • 質問

  • 初めて投稿させていただきます。

     

    Windows Server 2008 R2 の、ローカル監査ポリシー の構成に関して、

    下記の問題が発生し、原因がつかめずにおります。

     

    <現象>

    ・ローカル監査ポリシーをいくつか有効にした後、時間が経過すると、有効にしたはずのポリシーが"監査しない"に戻っている。

      -> 例1:アカウント ログオン イベントの監査  - 成功, 失敗

      -> 例2:ポリシー変更の監査 - 成功, 失敗

          -> 一定時間経過後にログインして確認すると、双方とも"監査しない"に戻っている。

    <現象発生時のイベントログ>

    ・監査の追加

      -> 成功の監査 イベントID:4719 ポリシー変更の監査 成功が追加されました, 失敗が追加されました

    ・問題発生時

      -> 成功の監査 イベントID:4719 ポリシー変更の監査 成功が削除されました, 失敗が削除されました

     

    <サーバ構成>

    ・Windows Server 2008 R2 Standard SP1

    ・WORKGROUP で運用

    ・リモートデスクトップサービスを有効にし、ターミナルサーバとして運用

     

    <備考>

    ・現象が発生しているのは、本番機となります。(同様の構成で構築したテスト機では発生しない)

      -> 本番機とテスト機の相違点

          -> 本番機:構築時からSP1 適用

          -> テスト機:構築後、運用開始してからSP1を適用

     

    その他のローカルグループポリシーにフィルタされているのかと思い、全てのポリシーを一旦解除して適用しましたが、

    症状に変化はありませんでした。

    SP1がトリガーなのかと思い、テスト機にもSP1を適用しましたが、

    テスト機には症状が表れませんでした。

     

    現在、これ以上の切り分けができずにいます。

    本番機からSP1を抜くことも考えたのですが、ターミナルサーバとして利用しているため、

    実施するならば確実にSP1 が原因だと確定してから行いたいと考えております。

     

    同様、もしくは類似したご経験をされた方がいらっしゃいましたら、

    対応方法をご教示いただければ幸いです。

     

    申し訳ありませんが、

    よろしくお願いいたします。

    • 移動 Robin_Ren 2012年10月3日 22:49 merge forum (移動元:Windows Server 2008 R2 全般)
    2011年6月24日 2:17

すべての返信

  • こんにちは、フォーラムオペレーターの三沢健二です。

    ワークグループ環境という事ですが、念のために下記リンク先の内容を確認してみて下さい。

    少し私の環境でも試してみましたが、ポリシー適用のタイミングで "監査ポリシー" の設定が上書き(変更)される動作が確認出来ました。


    - 参考情報
    ドメインベースのポリシーを展開したときに、Windows Vista クライアント コンピュータにセキュリティの監査の設定が適用されない
    http://support.microsoft.com/kb/921468


    もし現象が再現出来るようであれば、Process Monitor などを仕掛けてみると何か分かる可能性もあります。


    それでは、こちらの情報が少しでもお役にたてれば幸いです。

    ______________________________________
    日本マイクロソフト株式会社 フォーラム オペレーター 三沢健二

    2011年6月30日 5:23
    モデレータ
  • 三沢 様

     

    お世話になります。

    ご回答いただき、ありがとうございます。

     

    サポート情報を参照し、実機で確認した結果を記載いたします。

    -----------------------------------------------------

    1. rsop.msc の結果を確認

      -> [監査 : 監査ポリシーのカテゴリ設定を上書きするよう、監査ポリシーのサブカテゴリを強制する] ポリシーの値

        -> "未定義"

     

    2. secpol.msc から上記ポリシーを"無効に設定"

      -> [監査 : 監査ポリシーのカテゴリ設定を上書きするよう、監査ポリシーのサブカテゴリを強制する] ポリシーの値

        -> "無効"

     

    3. 時間経過後にイベントログおよび監査ポリシーを確認

      -> "ポリシーが上書きされている"

     

    以上の結果となりました。

    また、ポリシー上書きのトリガーとして、下記のトリガーも確認できました。

      -> gpupdate /force の実行

          -> 実行時刻に、イベントログに"監査ポリシーが上書きされた"ログが残っている

     

    また、物理構成を記載していなかったため、追記いたします。

    + 物理サーバ(ホスト)に VMware ESXi 4.1(Hypervisor)をインストールし、 ESXi上の仮想サーバ(ゲスト)として稼働

      - iSCSI ストレージとホストをネットワーク接続

      - Hypervisor のデータストアに iSCSI ストレージを指定

      - ゲストのDisk 構成は、通常のDisk構成(VHDではない)

     

    本番機のカスタマイズ前(アプリケーションインストール前、SP1適用前)にsysprep をかけた状態でのVM_HDDファイルを残していたため、

    このHDDファイルを用いて検証機を再セットアップし、そちらでも同様の検証を行ったところ、

    同様の現象が発生したため、SP1に起因する問題ではないと思われます。

     

    こちらの検証機にProcmon をセットし、切り分けを行いたいと思います。

     

    進捗は再度記入いたします。

     

    情報をご提供いただき、ありがとうございました。

     

    • 回答としてマーク infosys_2971 2014年9月1日 1:56
    • 回答としてマークされていない infosys_2971 2014年9月1日 1:56
    2011年7月1日 10:33