troushoo

スポンサーサイト

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

  1. --/--/--(--) --:--:--|
  2. スポンサー広告

誰がレジストリを変更したか? : 監査ポリシー

概要・まとめ
今回は「監査ポリシー」を紹介します。監査ポリシーを使うと、誰がレジストリを変更したのかがわかるようになります。
追加ソフトのインストールが必要ないので、本番環境のトラブルシューティングに便利です。

内容
「監査ポリシー」を用いて、誰がレジストリを変更したのかを調べる方法を紹介します。
以下の順番で紹介します。
1. “ローカル セキュリティ ポリシー” の設定
2. レジストリの設定
3. レジストリの変更を実行
4. 監査でレジストリの変更の確認

1. “ローカル セキュリティ ポリシー” の設定
1.1. “ローカル セキュリティ ポリシー (= secpol.msc) ” を起動します。
secpol.msc

1.2. “監査ポリシーの詳細な構成” → “システム監査ポリシー” → ”オブジェクト アクセス” → “レジストリの監査” をダブルクリックします。
レジストリの監査

1.3. “次の監査イベントを構成する” にチェックを入れます。
今回は”成功”、”失敗” ともにチェックを入れました。
次の監査イベントを構成する

2. レジストリの設定
2.1. “レジストリー エディター (= regedit.exe)” を起動します。

2.2. 変更を監視したいレジストリのキーを右クリックし”アクセス許可” をクリックします。
アクセス許可

2.3. “詳細設定” をクリックします。
詳細設定

2.4. “監査” タブに移動し、”追加” をクリックします。
追加

2.5. “プリンシパルの選択” をクリックします。
プリンシパルの選択

2.6. “選択するオブジェクト名を入力してください” に”Everyone” と入力します。

Everyone の代わりにユーザー名やグループ名を入力することもできます。
その際は、その入力したユーザー・グループからの変更のみを監視します。

2.6. “種類” と “適用先” を選びます。
ここではそれぞれ、”すべて” と”このキーとサブキー” を選択しました。


2.7. “高度なアクセス許可を表示する” をクリックします。
高度なアクセス許可を表示する

2.8. “高度なアクセス許可”を選択します。
ここでは、レジストリキーの削除を監視するため、”削除” をクリックしました。
削除

2.8. “OK” を押していき、レジストリエディターを終了させます。

3. レジストリの変更を実行
3.1. レジストリの変更を実行します。
ここでは、”eight” ユーザーが”MyAuditTest.exe” を実行することにより、監査を実行している”HKLM\SOFTWARE\TestKey” を削除しました。
レジストリの変更を実行

4. 監査でレジストリの変更の確認
4.1. “イベント ビューアー (= eventvwr.msc)” を起動します。

4.2. “Windows ログ” の”セキュリティ” をクリックします。
セキュリティ

4.3. “Microsoft Windows security auditing” の イベントID “4660” が出ます。
結果、”eight” ユーザーが”MyAuditTest.exe” を実行し、レジストリを削除したことがわかります。
イベント

URL
・How can I figure out which user modified a file? (英語)
今回は、レジストリの変更に対しての監査ポリシーを紹介しましたが、ほぼ同様の方法でファイルの変更に対しても監査ポリシーが実行可能です。
http://blogs.msdn.com/b/oldnewthing/archive/2013/04/18/10412074.aspx


  1. 2013/09/08(日) 22:30:22|
  2. ツール
  3. | トラックバック:0
  4. | コメント:0
<<ProcDumpExt : Microsoft のAndrew Richards 氏作のデバッガエクステンション | ホーム | Visual Studio 2013 の新機能 : .NET アプリのダンプでメモリ解析>>

コメント

コメントの投稿


管理者にだけ表示を許可する

トラックバック

トラックバック URL
http://troushoo.blog.fc2.com/tb.php/132-bd2fc68d
この記事にトラックバックする(FC2ブログユーザー)

スポンサーリンク

最新記事

月別アーカイブ

カテゴリ

ツール (92)
ネットワーク (76)
Visual Studio (56)
SOS・Psscor2/Psscor4 (25)
WinDbg (25)
Linux (24)
Azure (17)
Tips (20)
英語 (1)
About Me (1)
未分類 (0)

全記事表示リンク

全ての記事を表示する

検索フォーム

RSSリンクの表示

リンク

このブログをリンクに追加する

上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。