監査ポリシー
Windowsのセキュリティ イベントログは、セキュリティ ポリシーの監査ポリシーの設定に従い、出力を制御しています。XP/2003では監査ポリシーは大きく9つに分類されていましたが、Vistaからは細分化されて50以上に分類されています。デフォルトの設定値は、オンライン状態であればauditpolコマンドを実行することにより確認可能です。以下が全ポリシーの設定値を確認するコマンドです。
> auditpol /get /category:*
オフラインではレジストリ(HKLM\Security\Policy\PolAdtEv)から読み取る必要があります。以下はWindows 10の当該レジストリの画面です。
Vista以前のPolAdtEvの構造
Windows NT 4.0時代のPolAdtEvに関する情報は、以下のURLで公開されています。
How To Determine Audit Policies from the Registry
http://support.microsoft.com/kb/246120
この頃は7つのポリシーしか定義されていなかったようで、9つあるXP/2003と若干異なります。XP/2003のPolAdtEvの構成はSteve Bunting氏著のEnCE Study GuideやHarlan Carvey氏著のWindows Forensic Analysisで紹介されています。
Vista以上のPolAdtEvの構造
Vista以上のWindowsの各種バージョンに対して、デフォルト設定をベースにPolAdtEvの構造を一通り確認してPDFにまとめてみました。
ダウンロード
参考
PolAdtEv Parser
https://www.kazamiya.net/PolAdtEvParser
Web上でPolAdtEvキーをパースするページを作ってみました。
RegRipper - auditpol
https://github.com/keydet89/RegRipper2.8/blob/master/plugins/auditpol.pl
PolAdtEvキー構造をパースする際のソースとして参照されています。
Volatility - auditpol
https://github.com/volatilityfoundation/volatility/blob/master/volatility/plugins/registry/auditpol.py
PolAdtEvキー構造をパースする際のソースとして参照されています。
DIGITAL FORENSICS – SUPERTIMELINE & EVENT LOGS – PART I
https://countuponsecurity.com/2015/11/23/digital-forensics-supertimeline-event-logs-part-i/
Luis RochaさんのブログでPolAdtEvキーについて紹介されています。
更新履歴
2024-09-16
Windows 11 23H2, Windows Server 2022でも変更がないことを確認し、rev5にアップデートしました。
2017-01-29
Windows 10(1607)/2016で新たな構造になっていたため、資料をrev4にアップデートしました。
2015-03-29
Windows 8.1/2012/10/Thresholdの内容を確認したため、タイトルを更新して資料をrev3にアップデートしました。
2010-08-08
Windows 2008の場合、x64とx86で違いがあったため、分類も考慮して大きく(1)Windows 7/2008 (x64)系と(2)Windows 2008(x32)/Vistaの2パターンにわけて更新しました。(1)では「オブジェクトアクセス」カテゴリの「詳細なファイル共有」の項目が含まれますが、(2)では含まれません。