Windows エクスプローラ、IIS スナップイン、および Microsoft 管理コンソール (MMC) を使用して、Web サーバーのセキュリティに関連するイベントを監視し、特定のファイルやディレクトリに対するセキュリティの侵害を検出することができます。監査の詳細については、Windows のマニュアルを参照してください。ここでは、ディレクトリやファイルへのアクセス、およびサーバーのイベントに対して監査を構成する手順について説明します。
IIS のログ機能の詳細については、「サイトの利用状況のログを収集する」を参照してください。
グループ ポリシー スナップインをインストールする
監査機能を使用するためには、グループ ポリシー スナップインをインストールする必要があります。このスナップインは、コンピュータ管理コンソール (Computer Management console) には含まれません。グループ ポリシー スナップインのための新しいコンソールを作成する必要があります。MMC スナップインの追加に関する詳細については、Windows XP のマニュアルを参照してください。
新しい MMC コンソールを作成し、グループ ポリシー スナップインを追加する
- [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。[ファイル名を指定して実行] ダイアログ ボックスで、「
mmc」と入力します。これにより、新しい MMC コンソールが開始されます。
- [ファイル] メニューの [スナップインの追加と削除] を選択します。
- [スナップインの追加と削除] ダイアログ ボックスの [追加] をクリックします。
- [スタンドアロン スナップインの追加] ダイアログ ボックスのスナップインのリストから [グループ ポリシー] を選択します。[追加] をクリックします。
- [グループ ポリシー オブジェクトの選択] ダイアログ ボックスの [完了] をクリックして、ローカル コンピュータの監査を行うか、または [参照] をクリックして、監査を行うコンピュータを選択します。
- [参照] をクリックした場合、手順 7 へ進み、それ以外は、手順 9 に進みます。
- [グループ ポリシー オブジェクトの参照] ダイアログ ボックスの [コンピュータ] タブをクリックします。次に、[別のコンピュータ] をクリックして監査を行うコンピュータを選択し、[OK] をクリックします。
- [グループ ポリシー オブジェクトの選択] ダイアログ ボックスの [完了] をクリックします。
- [スタンドアロン スナップインの追加] ダイアログ ボックスを閉じます。
- [OK] をクリックします。
- [コンソール] メニューの [上書き保存] をクリックし、ハード ディスクに新しいコンソールを保存します。監査の構成に、このコンソールを使用します。
別のアカウントで監査を構成するには
既定では、Administrators グループのメンバだけが監査を構成する権限を持っています。サーバーのイベントの監査を構成する作業を、別のユーザー アカウントに任せることができます。別のアカウントに監査の構成を許可する手順は、次のとおりです。
- 作成したグループ ポリシー コンソールで、[コンピュータの構成]、[Windows の設定]、[セキュリティの設定]、[ローカル ポリシー]、[ユーザー権利の割り当て] の順にクリックします。
- [監査とセキュリティ ログの管理] を右クリックして、[プロパティ] を選択します。
- [監査とセキュリティ ログの管理] ダイアログ ボックスの [追加] をクリックします。
注 [追加] が選択できない場合は、[ローカル ポリシーから除外する] チェック ボックスをオフにして、このボタンをアクティブにします。
- 一覧から適切なユーザーまたはユーザー グループを選択して、[追加] をクリックし、[OK] をクリックします。
ディレクトリまたはファイルへのアクセスを監査するには
次の監査機能を使用するには、NTFS ファイル システムが必要です。詳細については、「NTFS でファイルを保護する」を参照してください。
- Windows エクスプローラで、監査するディレクトリまたはファイルを指定して、そのプロパティ シートを開きます。
- [セキュリティ] タブをクリックします。
注 サーバーのファイル システムが FAT に設定されている場合は、[セキュリティ] タブが表示されません。FAT から NTFS への変換については、Windows のマニュアルを参照してください。
- [詳細] をクリックし、[セキュリティの詳細設定] ダイアログ ボックスの [監査] タブをクリックします。
- 監査するグループ、ユーザーまたはコンピュータを追加するには、[追加] をクリックします。一覧からユーザー、コンタクト、グループ、またはコンピュータを選択して、[OK] をクリックします。
- [監査エントリ] ダイアログ ボックスの [アクセス] ボックスで、適切なオプションを選択します。これらのオプションの詳細については、Windows のマニュアルを参照してください。
- 監査するリソースの範囲を変更するには、[適用先] ボックスで、適切な監査レベルを選択します。これらのレベルの詳細については、Windows のマニュアルを参照してください。
- 選択した範囲のみに適用されるオブジェクトを監査する場合、[これらの監査エントリを、このコンテナの中にあるオブジェクトやコンテナにのみ適用する] チェック ボックスをオンにします。このチェック ボックスをオンにすると、選択範囲内で作成したオブジェクトでも、その範囲外で実行する場合は監査されなくなります。
注
- 監査には、コンピュータ リソースが使用されます。サーバーのパフォーマンスを最適化するため、監査対象はできるだけ絞り込みます。たとえば、100 個のファイルを含むディレクトリの監査対象がそのうちの数ファイルのみである場合、ディレクトリ全体ではなく、対象ファイルに対してのみ監査を設定します。
- ディレクトリまたはファイルを共有して、そのディレクトリやファイルへのアクセスの監査をリモートに構成することができます。リモート ユーザーは、上記の手順を使用できます。ディレクトリやファイルの共有の詳細については、Windows のマニュアルを参照してください。
サーバーのイベント監査を構成するには
- 作成したグループ ポリシー コンソールで、[コンピュータの構成]、[Windows の設定]、[セキュリティの設定]、[ローカル ポリシー]、[監査ポリシー] の順にクリックします。
注 プライマリ ドメイン コントローラ (PDC) またはバックアップ ドメイン コントローラ (BDC) 上のドメインに対してセキュリティ ポリシーを構成する場合は、[ローカル ポリシー] の代わりに [ドメイン ポリシー] をクリックします。
- 詳細ウィンドウで、監査するイベントを右クリックし、[プロパティ] を選択します。
監査ポリシーを変更するダイアログ ボックスが表示されます。
- 必要に応じて、チェック ボックスをオンまたはオフにします。監査オプションの詳細については、Windows のマニュアルを参照してください。
注 オプションが選択できない場合は、[ローカル ポリシーから除外する] チェック ボックスをオフにして、それらのオプションをアクティブにします。
- [OK] をクリックします。
© 1997-2001 Microsoft Corporation.All rights reserved.