troushoo

誰がレジストリを変更したか? : 監査ポリシー

概要・まとめ
今回は「監査ポリシー」を紹介します。監査ポリシーを使うと、誰がレジストリを変更したのかがわかるようになります。
追加ソフトのインストールが必要ないので、本番環境のトラブルシューティングに便利です。

内容
「監査ポリシー」を用いて、誰がレジストリを変更したのかを調べる方法を紹介します。
以下の順番で紹介します。
1. “ローカル セキュリティ ポリシー” の設定
2. レジストリの設定
3. レジストリの変更を実行
4. 監査でレジストリの変更の確認

1. “ローカル セキュリティ ポリシー” の設定
1.1. “ローカル セキュリティ ポリシー (= secpol.msc) ” を起動します。
secpol.msc

1.2. “監査ポリシーの詳細な構成” → “システム監査ポリシー” → ”オブジェクト アクセス” → “レジストリの監査” をダブルクリックします。
レジストリの監査

1.3. “次の監査イベントを構成する” にチェックを入れます。
今回は”成功”、”失敗” ともにチェックを入れました。
次の監査イベントを構成する

2. レジストリの設定
2.1. “レジストリー エディター (= regedit.exe)” を起動します。

2.2. 変更を監視したいレジストリのキーを右クリックし”アクセス許可” をクリックします。
アクセス許可

2.3. “詳細設定” をクリックします。
詳細設定

2.4. “監査” タブに移動し、”追加” をクリックします。
追加

2.5. “プリンシパルの選択” をクリックします。
プリンシパルの選択

2.6. “選択するオブジェクト名を入力してください” に”Everyone” と入力します。

Everyone の代わりにユーザー名やグループ名を入力することもできます。
その際は、その入力したユーザー・グループからの変更のみを監視します。

2.6. “種類” と “適用先” を選びます。
ここではそれぞれ、”すべて” と”このキーとサブキー” を選択しました。


2.7. “高度なアクセス許可を表示する” をクリックします。
高度なアクセス許可を表示する

2.8. “高度なアクセス許可”を選択します。
ここでは、レジストリキーの削除を監視するため、”削除” をクリックしました。
削除

2.8. “OK” を押していき、レジストリエディターを終了させます。

3. レジストリの変更を実行
3.1. レジストリの変更を実行します。
ここでは、”eight” ユーザーが”MyAuditTest.exe” を実行することにより、監査を実行している”HKLM\SOFTWARE\TestKey” を削除しました。
レジストリの変更を実行

4. 監査でレジストリの変更の確認
4.1. “イベント ビューアー (= eventvwr.msc)” を起動します。

4.2. “Windows ログ” の”セキュリティ” をクリックします。
セキュリティ

4.3. “Microsoft Windows security auditing” の イベントID “4660” が出ます。
結果、”eight” ユーザーが”MyAuditTest.exe” を実行し、レジストリを削除したことがわかります。
イベント

URL
・How can I figure out which user modified a file? (英語)
今回は、レジストリの変更に対しての監査ポリシーを紹介しましたが、ほぼ同様の方法でファイルの変更に対しても監査ポリシーが実行可能です。
http://blogs.msdn.com/b/oldnewthing/archive/2013/04/18/10412074.aspx


  1. 2013/09/08(日) 22:30:22|
  2. ツール
  3. | トラックバック:0
  4. | コメント:0
<<ProcDumpExt : Microsoft のAndrew Richards 氏作のデバッガエクステンション | ホーム | Visual Studio 2013 の新機能 : .NET アプリのダンプでメモリ解析>>

コメント

コメントの投稿


管理者にだけ表示を許可する

トラックバック

トラックバック URL
https://troushoo.blog.fc2.com/tb.php/132-bd2fc68d
この記事にトラックバックする(FC2ブログユーザー)

スポンサーリンク

最新記事

月別アーカイブ

カテゴリ

ツール (104)
ネットワーク (48)
Wireshark (45)
Visual Studio (56)
WinDbg (46)
SOS・Psscor2/Psscor4 (25)
Linux (24)
コンテナ (4)
Azure (17)
Tips (26)
AD (32)
.NET (24)
Python (9)
Java (5)
SQL (4)
事例 (1)
英語 (1)
About Me (1)
未分類 (0)

全記事表示リンク

全ての記事を表示する

検索フォーム

RSSリンクの表示

リンク

このブログをリンクに追加する