whitefox HOME | イベントログ概要 | ログ監視 | ログ保存 | ログ管理 | ログ分析 | ファイル監査


Windows セキュリティ診断 ポリシーの変更

イベントログ概要 : 2009.09.11 Friday


概要
Windowsサーバーのセキュリティ診断・ポリシーの変更について説明します。

診断項目は、以下の通りです。
・OSの一部として機能
・ドメインにワークステーションを追加
・ファイルとディレクトリのバックアップ
・スキャン チェックのバイパス
・システム時刻の変更
・永続的共有オブジェクトの作成
・プログラムのデバッグ
・リモート強制シャットダウン
・スケジュール優先順位の繰り上げ
・デバイス ドライバのロードとアンロード
・監査とセキュリティ ログの管理
・プロセス レベル トークンの置き換え
・ファイルとディレクトリの復元
・システムのシャットダウン
・オブジェクト所有権の取得


OSの一部として機能

イベントID 608 と 609で 説明に 「seTcbPrivilege」があるイベントは、OSの一部として機能を示します。

ドメインにワークステーションを追加

イベントID 608 と 609で 説明に 「SeMachineAccountPrivilege」があるイベントは、ドメインへのワークステーション追加を示します。

ファイルとディレクトリのバックアップ

イベントID 608 と 609で 説明に 「SeBackupPrivilege」があるイベントは、ファイルとディレクトリのバックアップを示します。

スキャン チェックのバイパス

イベントID 608 と 609で 説明に 「SeChangeNotifyPrivilege」があるイベントは、スキャンチェックのバイパスを示します。ユーザーがこのユーザー権利を使用すると、ディレクトリにアクセスするほかのアクセス許可を持っていない場合でも、ディレクトリ ツリーをスキャンできます。

システム時刻の変更

イベントID 608 と 609で 説明に 「SeSystemtimePrivilege」があるイベントは、システム時刻の変更を示します。このユーザー権利を使用すると、セキュリティ プリンシパルはシステム時刻を変更できます。イベントが発生した時間をごまかせる可能性があります。

永続的共有オブジェクトの作成

イベントID 608 と 609で 説明に 「SeCreatePermanentPrivilege」があるイベントは、共有オブジェクトの作成を示します。このユーザー権利を持っているユーザーは、ファイルとプリンタの共有を作成できます。

プログラムのデバッグ

イベントID 608 と 609で 説明に 「SeDebugPrivilege」があるイベントは、プログラムのデバッグを示します。このユーザー権利を持つユーザーは、どのプロセスにもアタッチできます。既定では、この権利は Administrators のみに割り当てられています。

リモート強制シャットダウン

イベントID 608 と 609で 説明に 「SeRemoteShutdownPrivilege」があるイベントは、リモートコンピュータからの強制シャットダウンを示します。

スケジュール優先順位の繰り上げ

イベントID 608 と 609で 説明に 「SeIncreaseBasePriorityPrivilege」があるイベントは、スケジュール優先度の繰上げを示します。この権限を持つユーザーは、プロセスの優先順位を変更できます。

デバイス ドライバのロードとアンロード

イベントID 608 と 609で 説明に 「SeLoadDriverPrivilege」があるイベントは、デバイスドライバのロードとアンロードを示します。このユーザー権利を持つユーザーは、トロイの木馬型のデバイス ドライバをロードすることができます。

監査とセキュリティ ログの管理

イベントID 608 と 609で 説明に 「SeSecurityPrivilege」があるイベントは、監査とセキュリティログの管理を示します。このユーザー権利を持つユーザーは、セキュリティ ログを表示すること、および消去することができます。

プロセス レベル トークンの置き換え

イベントID 608 と 609で 説明に 「SeAssignPrimaryTokenPrivilege」があるイベントは、プロセスレベルトークンの置き換えを示します。このユーザー権利を持つユーザーは、開始されたサブプロセスに関連付けられた既定のトークンを変更することができます。

ファイルとディレクトリの復元

イベントID 608 と 609で 説明に 「SeRestorePrivilege」があるイベントは、ファイルとディレクトリの復元を示します。

システムのシャットダウン

イベントID 608 と 609で 説明に 「SeShutdownPrivilege」があるイベントは、システムのシャットダウンを示します。このユーザー権利を持つユーザーは、新しいデバイス ドライバのインストールを初期化するのにシステムをシャットダウンすることができます。

オブジェクト所有権の取得

イベントID 608 と 609で 説明に 「SeTakeOwnershipPrivilege」があるイベントは、オブジェクト所有権の取得を示します。このユーザー権利を持つユーザーは、オブジェクトまたはファイルの所有権を取得することで、NTFS ディスク上のどのオブジェクトやファイルにでもアクセスすることができます。

イベントID 意味
608 ユーザー権利が割り当てられました。
609 ユーザー権利が削除されました。


Windows Vista,Windows 7,Windows Server 2008 ポリシー変更の診断
Windows Vista,Windows 7,Windows Server 2008などの新しいOSでは、イベントIDが異なります。

イベントID 意味
4717ポリシー変更・システムセキュリティアクセスの許可
4718ポリシー変更・システムセキュリティアクセスの削除


セキュリティ診断の省力化には・・・
セキュリティ診断は 上記の通りなのですが、実際の運用で手作業でイベントログをチェックするのはとても困難です。

そんな システム管理者、セキュリティ管理者のために!?
弊社では「イベントログ分析ツール WhiteFox EventLog Analyzer」というツールを販売しています。
イベントログ分析ツールは、イベントログ(CSV,EVT,直接)を定期的に読み込み、分析するツールです。





お役立ちリンク
あなたのサーバー動いていますか? |  ログを採るだけで満足? |  イベントログ ツールズ |  Windows Vista/7/2008イベントログ |  SQL Server Express管理 | 
SharePoint 2010 Tips |  Windows Server サポート終了日

ライセンス購入・保守契約
製品購入 |  保守契約 |  FAQ |  お問合せ |  サイトマップ