イベントログ ポリシー変更診断
ここでは、Windowsサーバーのセキュリティ診断・ポリシー変更について説明します。
Windowsサーバーのセキュリティ診断・ポリシー変更の診断項目は、以下の通りです。
・OSの一部として機能
・ドメインにワークステーションを追加
・ファイルとディレクトリのバックアップ
・スキャン チェックのバイパス
・システム時刻の変更
・永続的共有オブジェクトの作成
・プログラムのデバッグ
・リモート強制シャットダウン
・スケジュール優先順位の繰り上げ
・デバイス ドライバのロードとアンロード
・監査とセキュリティ ログの管理
・プロセス レベル トークンの置き換え
・ファイルとディレクトリの復元
・システムのシャットダウン
・オブジェクト所有権の取得
イベントID 608 と 609で 説明に 「seTcbPrivilege」があるイベントは、OSの一部として機能を示します。
イベントID 608 と 609で 説明に 「SeMachineAccountPrivilege」があるイベントは、ドメインへのワークステーション追加を示します。
イベントID 608 と 609で 説明に 「SeBackupPrivilege」があるイベントは、ファイルとディレクトリのバックアップを示します。
イベントID 608 と 609で 説明に 「SeChangeNotifyPrivilege」があるイベントは、スキャンチェックのバイパスを示します。ユーザーがこのユーザー権利を使用すると、ディレクトリにアクセスするほかのアクセス許可を持っていない場合でも、ディレクトリ ツリーをスキャンできます。
イベントID 608 と 609で 説明に 「SeSystemtimePrivilege」があるイベントは、システム時刻の変更を示します。このユーザー権利を使用すると、セキュリティ プリンシパルはシステム時刻を変更できます。イベントが発生した時間をごまかせる可能性があります。
イベントID 608 と 609で 説明に 「SeCreatePermanentPrivilege」があるイベントは、共有オブジェクトの作成を示します。このユーザー権利を持っているユーザーは、ファイルとプリンタの共有を作成できます。
イベントID 608 と 609で 説明に 「SeDebugPrivilege」があるイベントは、プログラムのデバッグを示します。このユーザー権利を持つユーザーは、どのプロセスにもアタッチできます。既定では、この権利は Administrators のみに割り当てられています。
イベントID 608 と 609で 説明に 「SeRemoteShutdownPrivilege」があるイベントは、リモートコンピュータからの強制シャットダウンを示します。
イベントID 608 と 609で 説明に 「SeIncreaseBasePriorityPrivilege」があるイベントは、スケジュール優先度の繰上げを示します。この権限を持つユーザーは、プロセスの優先順位を変更できます。
イベントID 608 と 609で 説明に 「SeLoadDriverPrivilege」があるイベントは、デバイスドライバのロードとアンロードを示します。このユーザー権利を持つユーザーは、トロイの木馬型のデバイス ドライバをロードすることができます。
イベントID 608 と 609で 説明に 「SeSecurityPrivilege」があるイベントは、監査とセキュリティログの管理を示します。このユーザー権利を持つユーザーは、セキュリティ ログを表示すること、および消去することができます。
イベントID 608 と 609で 説明に 「SeAssignPrimaryTokenPrivilege」があるイベントは、プロセスレベルトークンの置き換えを示します。このユーザー権利を持つユーザーは、開始されたサブプロセスに関連付けられた既定のトークンを変更することができます。
イベントID 608 と 609で 説明に 「SeRestorePrivilege」があるイベントは、ファイルとディレクトリの復元を示します。
イベントID 608 と 609で 説明に 「SeShutdownPrivilege」があるイベントは、システムのシャットダウンを示します。このユーザー権利を持つユーザーは、新しいデバイス ドライバのインストールを初期化するのにシステムをシャットダウンすることができます。
イベントID 608 と 609で 説明に 「SeTakeOwnershipPrivilege」があるイベントは、オブジェクト所有権の取得を示します。このユーザー権利を持つユーザーは、オブジェクトまたはファイルの所有権を取得することで、NTFS ディスク上のどのオブジェクトやファイルにでもアクセスすることができます。
ユーザー権利が割り当てられました。
ユーザー権利が削除されました。
Windows Vista,Windows 7,Windows Server 2008などの新しいOSでは、イベントIDが異なります。
ポリシー変更・システムセキュリティアクセスの許可
ポリシー変更・システムセキュリティアクセスの削除