ポリシー変更

Windowsサーバーのセキュリティ診断・ポリシー変更の診断項目は、以下の通りです。
・OSの一部として機能
・ドメインにワークステーションを追加
・ファイルとディレクトリのバックアップ
・スキャン チェックのバイパス
・システム時刻の変更
・永続的共有オブジェクトの作成
・プログラムのデバッグ
・リモート強制シャットダウン
・スケジュール優先順位の繰り上げ
・デバイス ドライバのロードとアンロード
・監査とセキュリティ ログの管理
・プロセス レベル トークンの置き換え
・ファイルとディレクトリの復元
・システムのシャットダウン
・オブジェクト所有権の取得

OSの一部として機能

イベントID 608 と 609で 説明に 「seTcbPrivilege」があるイベントは、OSの一部として機能を示します。

ドメインにワークステーションを追加

イベントID 608 と 609で 説明に 「SeMachineAccountPrivilege」があるイベントは、ドメインへのワークステーション追加を示します。

ファイルとディレクトリのバックアップ

イベントID 608 と 609で 説明に 「SeBackupPrivilege」があるイベントは、ファイルとディレクトリのバックアップを示します。

スキャン チェックのバイパス

イベントID 608 と 609で 説明に 「SeChangeNotifyPrivilege」があるイベントは、スキャンチェックのバイパスを示します。ユーザーがこのユーザー権利を使用すると、ディレクトリにアクセスするほかのアクセス許可を持っていない場合でも、ディレクトリ ツリーをスキャンできます。

システム時刻の変更

イベントID 608 と 609で 説明に 「SeSystemtimePrivilege」があるイベントは、システム時刻の変更を示します。このユーザー権利を使用すると、セキュリティ プリンシパルはシステム時刻を変更できます。イベントが発生した時間をごまかせる可能性があります。

永続的共有オブジェクトの作成

イベントID 608 と 609で 説明に 「SeCreatePermanentPrivilege」があるイベントは、共有オブジェクトの作成を示します。このユーザー権利を持っているユーザーは、ファイルとプリンタの共有を作成できます。

プログラムのデバッグ

イベントID 608 と 609で 説明に 「SeDebugPrivilege」があるイベントは、プログラムのデバッグを示します。このユーザー権利を持つユーザーは、どのプロセスにもアタッチできます。既定では、この権利は Administrators のみに割り当てられています。

リモート強制シャットダウン

イベントID 608 と 609で 説明に 「SeRemoteShutdownPrivilege」があるイベントは、リモートコンピュータからの強制シャットダウンを示します。

スケジュール優先順位の繰り上げ

イベントID 608 と 609で 説明に 「SeIncreaseBasePriorityPrivilege」があるイベントは、スケジュール優先度の繰上げを示します。この権限を持つユーザーは、プロセスの優先順位を変更できます。

デバイス ドライバのロードとアンロード

イベントID 608 と 609で 説明に 「SeLoadDriverPrivilege」があるイベントは、デバイスドライバのロードとアンロードを示します。このユーザー権利を持つユーザーは、トロイの木馬型のデバイス ドライバをロードすることができます。

監査とセキュリティ ログの管理

イベントID 608 と 609で 説明に 「SeSecurityPrivilege」があるイベントは、監査とセキュリティログの管理を示します。このユーザー権利を持つユーザーは、セキュリティ ログを表示すること、および消去することができます。

プロセス レベル トークンの置き換え

イベントID 608 と 609で 説明に 「SeAssignPrimaryTokenPrivilege」があるイベントは、プロセスレベルトークンの置き換えを示します。このユーザー権利を持つユーザーは、開始されたサブプロセスに関連付けられた既定のトークンを変更することができます。

ファイルとディレクトリの復元

イベントID 608 と 609で 説明に 「SeRestorePrivilege」があるイベントは、ファイルとディレクトリの復元を示します。

システムのシャットダウン

イベントID 608 と 609で 説明に 「SeShutdownPrivilege」があるイベントは、システムのシャットダウンを示します。このユーザー権利を持つユーザーは、新しいデバイス ドライバのインストールを初期化するのにシステムをシャットダウンすることができます。

オブジェクト所有権の取得

イベントID 608 と 609で 説明に 「SeTakeOwnershipPrivilege」があるイベントは、オブジェクト所有権の取得を示します。このユーザー権利を持つユーザーは、オブジェクトまたはファイルの所有権を取得することで、NTFS ディスク上のどのオブジェクトやファイルにでもアクセスすることができます。

イベントID= 608

ユーザー権利が割り当てられました。

イベントID= 609

ユーザー権利が削除されました。

Windows Vista以降の ポリシー変更

Windows Vista,Windows 7,Windows Server 2008などの新しいOSでは、イベントIDが異なります。

イベントID= 4717

ポリシー変更・システムセキュリティアクセスの許可

イベントID= 4718

ポリシー変更・システムセキュリティアクセスの削除

Windowsイベントログ

Windowsサーバー管理

Windows Tips

通信プロトコル

技術コラム

風水吉凶方位 風水吉凶方位 |  奇門遁甲 奇門遁甲 |  金運神社 金運神社 |  仏像 仏像 |  論語 論語 |  般若心経 般若心経 |  二十四節気 二十四節気 |  菜根譚 菜根譚 |  SharePoint活用 SharePoint |  OneNote活用 OneNote |  ICT活用 ICT