権限のないアクセスを検出する

IIS ログと Windows セキュリティログを参照して、長期にわたってセキュリティイベントを監視できます。さらに、Microsoft 管理コンソールを使って、Windows セキュリティログを表示できます。IIS ログは、テキストエディタやワードプロセッサで表示できます。IIS ログの表示の詳細については、「サイトの利用状況のログを収集する」を参照してください。

Windows セキュリティログでは、権限のないアクセスを検出できます。これらのアクセスは、警告またはエラーのログエントリとして表示されます。これらのログを保存して、後で使用することもできます。監査の詳細については、Windows のマニュアルを参照してください。

Windows セキュリティログを参照してセキュリティに関連する問題を検出するには

[スタート] ボタンをクリックし、[設定] をポイントします。次に、[コントロールパネル] をクリックします。[管理ツール] フォルダをダブルクリックし、[コンピュータの管理] をダブルクリックします。
[システムツール] をクリックします。
[イベントビューア] をクリックします。
[セキュリティ] をクリックします。

注使用しているユーザーアカウントに、セキュリティログを表示する権限が与えられていない場合、セキュリティログを表示できません。これは、ドメインレベルのセキュリティポリシーが、ローカルコンピュータレベルのセキュリティポリシーに優先する、つまりローカルコンピュータの管理者としてログオンすることは可能でも、セキュリティログへのアクセス権は与えられていないからです。このアクセス権は、ネットワーク管理者に連絡して取得してください。セキュリティポリシーの詳細については、Windows のマニュアルを参照してください。

疑わしいセキュリティイベントのログを調査します。次のイベントに注目します。

無効になったログオン。
権限の使用の失敗。
.bat ファイルまたは .cmd ファイルのアクセスや修正に失敗している。
セキュリティ権限または監査ログの変更を試みた。
サーバーのシャットダウンを試みた。

Windows セキュリティログを保存するには

[スタート] ボタンをクリックし、[設定] をポイントします。次に、[コントロールパネル] をクリックします。[管理ツール] フォルダをダブルクリックし、[コンピュータの管理] をダブルクリックします。
[システムツール] をクリックします。
[イベントビューア] をクリックします。
[セキュリティ] をクリックします。
[操作] メニューの [ログファイルの名前を付けて保存] をクリックします。
[名前を付けて保存] ダイアログボックスで、ファイルを保存するディレクトリを選択し、ファイル名を入力します。

注セキュリティログは、イベント (.evt) ファイル、テキスト (.txt) ファイル、またはカンマで区切られた (.csv) ファイルとして保存できます。

保存した Windows セキュリティログを開くには

[スタート] ボタンをクリックし、[設定] をポイントします。次に、[コントロールパネル] をクリックします。[管理ツール] フォルダをダブルクリックし、[コンピュータの管理] をダブルクリックします。
[システムツール] をクリックします。
[イベントビューア] をクリックします。
[セキュリティ] をクリックします。
[操作] メニューの [ログファイルを開く] をクリックします。
開くファイルをクリックします。
[ログの種類] ボックスの [セキュリティ] をクリックします。
[開く] をクリックし、ビューアのファイルを開きます。

IIS ログファイルを参照してセキュリティに関連する問題を検出するには

メモ帳などのテキストエディタで、ログファイルを開きます。ログファイルの詳細については、「サイトの利用状況のログを収集する」を参照してください。
疑わしいセキュリティイベントのログを調査します。次のイベントに注目します。

実行可能ファイルまたはスクリプトを実行しようとするコマンドで、繰り返し失敗している。(Scripts ディレクトリを詳細に監視する必要があります。)
同じ IP アドレスからログオンを試み、何回も失敗している。ネットワークトラフィックを増加させたり、ほかのユーザーのアクセスを妨害することを意図している可能性があります。
.bat ファイルまたは .cmd ファイルのアクセスや修正に失敗している。
実行可能ファイルが置いてあるディレクトリに、権限を持たずにファイルのアップロードを試みる。