監査ポリシーの詳細設定の優先順位

必要なイベントログを有効にするために Tenable Identity Exposure が作成したグループポリシーオブジェクト (GPO) は、強制モードを有効にした組織単位 (OU) ドメインコントローラーにリンクされています。

これにより、GPO の優先度は高くなりますが、より高いレベル (ドメインやサイトなど) で設定された強制 GPO がそれより優先されます。

監査ポリシーの詳細設定の設定を定義する優先度の高い GPO が Tenable Identity Exposure のニーズと競合する場合、その GPO が優先され、Tenable Identity Exposure が攻撃検出に必要とするイベントは逸失してしまいます。

Windows は GPO によって定義された監査ポリシーの詳細設定をマージするため、異なる GPO では異なる設定が定義されている場合があります。

ただし、各設定レベルでは、優先度の高い GPO 定義の値のみが使用されます。たとえば、Tenable Identity Exposure には、認証情報の検証の監査の設定の成功値と失敗値が必要です。ただし、より高い優先度の GPO が認証情報の検証の監査の成功のみを定義する場合、Windows は成功イベントのみを収集し、Tenable Identity Exposure が必要とする失敗イベントは逸失してしまいます。

GPO の優先度をチェックするには

  1. コマンドラインインターフェースで、ドメインコントローラーに関する次のコマンドを実行します。

    このコマンドは、すべての GPO と優先度を考慮した後、有効な監査ポリシーの詳細設定を出力します。

    コピー
    auditpol.exe /get /category:*
  2. 出力を Tenable Identity Exposure の詳細な監査ポリシー要件と比較します。Tenable Identity Exposure が必要とする設定ごとに、有効なポリシーもその設定をカバーしていることを確認してください。

    • Tenable Identity Exposure が「成功」または「失敗」を必要とし、設定が「成功および失敗」である場合など、有効なポリシーの範囲がより広い場合は問題ありません。

    • 有効なポリシーが不十分な場合、より高い優先度を持つ GPO が競合する設定を定義することになります。

GPO の優先順位を修正するには

  1. 「強制」モードでより高いレベル (ドメインまたはサイト) にリンクされており、監査ポリシーの詳細設定を定義している GPO を探します。

  2. コマンドラインインターフェースで、ドメインコントローラーに対して次のコマンドを実行し、優先する GPO をピンポイントで特定します。

    コピー
    gpresult /scope:computer /h gpo.html
  1. Tenable Identity Exposure の最小要件を満たすように、GPO の対応する監査ポリシーの詳細設定の設定を変更します。例

    • Tenable Identity Exposure が「成功」を必要とし、より高い優先度の GPO が「失敗」を定義する場合、設定を「成功および失敗」に変更します。

    • Tenable Identity Exposure が「成功および失敗」を必要とし、より高い優先度の GPO が「成功」を定義する場合、設定を「成功および失敗」に変更します。

  1. 設定を変更した後、更新済みの GPO が適用されるのを待つか、gpupdate コマンドで強制的に適用することができます。

  2. GPO の優先度をチェックするにはの手順を繰り返して、新しい有効なポリシーをチェックします。