9章セキュリティ監査
アクセス検証処理には監査と密接な関係があります。管理者はシステムの監査機能を活用して、アクセスされたリソースのログを生成できます。各ログのイベントには、リソースを開いたユーザーとアプリケーション、およびアクセスが成功したか失敗したかの詳細が含まれます。この情報は、セキュリティ設定の誤りを特定したり、機密リソースへの悪意あるアクセスを検出するのに役立ちます。
この短い章では、まずはカーネルにより生成されたリソースへのアクセスログがどこに保存されるかについて解説します。次に、システム管理者が監査の機構をどのように設定できるかについて触れます。最後に、SACLを通じて監査ログイベントを生成するように、個々のリソースを設定する方法について詳しく掘り下げます。
9.1 セキュリティイベントログ
Windowsでは、アクセス検証処理が発生するたびに、その結果を示すログイベントを生成します。カーネルは、記録したイベントを管理者のみがアクセス可能なセキュリティイベントログ(Security Event Log)に書き込みます。
カーネルリソースに対するアクセス検証を実施する際、Windowsは以下の種類の監査イベントを生成します。セキュリティイベントログは、丸括弧内に含まれるイベントIDを使用してこれらのイベントを表現します。
- オブジェクトハンドルの取得(
4656) - オブジェクトハンドルの閉鎖(
4658) - オブジェクトの削除(
4660) - オブジェクトハンドルの複製(
4690) - SACLの変更(
4717)
NtCreateMutantのようなシステムコールを用いてリソースにアクセスすると、監査によりこれらのイベントが自動的に生成されます。しかし、オブジェクト関連の監査イベントについては、まずシステムに2つの設定を加えなければなりません。監査イベントを生成するシステムポリシーを設定し、リソースのSACLで監査ACEを有効化する必要があります。これらの構成要素について順番に説明します。 ...
Become an O’Reilly member and get unlimited access to this title plus top books and audiobooks from O’Reilly and nearly 200 top publishers, thousands of courses curated by job role, 150+ live events each month,
and much more.
Read now
Unlock full access