Security Tips
 

プロセスの実行を監査する(Windows編)

りょうわあきら
2004/7/21

 高い透明性や追跡可能性が求められる重要なシステムでは、プログラムの実行履歴を記録し監査したいという要請が出ることがある。NT以降のWindows OSでは、プロセス追跡の監査を有効にすることで、プログラムの実行履歴をイベントログに記録することができる。

 スタンドアロン構成のWindows 2000/XP/Server 2003に対する設定方法は、まず「コントロールパネル」→「管理ツール」→「ローカルセキュリティ設定」を起動する。

図1 ローカルセキュリティ設定

  ローカルセキュリティ設定の「セキュリティの設定」→「ローカルポリシー」→「監査ポリシー」を開き、「プロセス追跡の監査」の成功および失敗を監査するように設定する。

図2 プロセス追跡の監査のプロパティ

 複数のクライアント/サーバに対して設定する場合には、Active Directoryのグループポリシーを活用して監査ポリシーを一括設定すれば効率的だ。これでプロセスの起動や終了の際に、イベントのセキュリティログに詳細追跡の分類でログが記録されるようになる。

図3 プロセス追跡の監査によるイベントのセキュリティログ(拡大画像)

 イベントには、プロセスID、実行されたプログラムのイメージファイル名、プロセスの実行ユーザー名などが記録される。

図4 プロセス作成時のセキュリティログのプロパティ

 なおプロセス追跡の監査を有効にした場合、セキュリティログには大量のログが出力されることになるので、セキュリティログのログサイズ設定で最大サイズを十分に大きく取っておくよう注意したい。

 プロセス追跡の監査によって記録されるそのほかのイベントの詳細については、マイクロソフトのドキュメントを参照されたい。

Security Tips Index



Security&Trust フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Security & Trust 記事ランキング

本日 月間