PolAdtEv

監査ポリシー

Windowsのセキュリティ イベントログは、セキュリティ ポリシーの監査ポリシーの設定に従い、出力を制御しています。XP/2003では監査ポリシーは大きく9つに分類されていましたが、Vistaからは細分化されて50以上に分類されています。デフォルトの設定値は、オンライン状態であればauditpolコマンドを実行することにより確認可能です。以下が全ポリシーの設定値を確認するコマンドです。

> auditpol /get /category:*

オフラインではレジストリ(HKLM\Security\Policy\PolAdtEv)から読み取る必要があります。以下はWindows 10の当該レジストリの画面です。

PolAdtEv Win 10

Vista以前のPolAdtEvの構造

Windows NT 4.0時代のPolAdtEvに関する情報は、以下のURLで公開されています。

How To Determine Audit Policies from the Registry
http://support.microsoft.com/kb/246120

この頃は7つのポリシーしか定義されていなかったようで、9つあるXP/2003と若干異なります。XP/2003のPolAdtEvの構成はSteve Bunting氏著のEnCE Study GuideやHarlan Carvey氏著のWindows Forensic Analysisで紹介されています。

Vista以上のPolAdtEvの構造

Vista以上のWindowsの各種バージョンに対して、デフォルト設定をベースにPolAdtEvの構造を一通り確認してPDFにまとめてみました。

ダウンロード

PolAdtEv_Structure_rev4.pdf

参考

PolAdtEv Parser
https://www.kazamiya.net/PolAdtEvParser
Web上でPolAdtEvキーをパースするページを作ってみました。

RegRipper - auditpol
https://github.com/keydet89/RegRipper2.8/blob/master/plugins/auditpol.pl
PolAdtEvキー構造をパースする際のソースとして参照されています。

Volatility - auditpol
https://github.com/volatilityfoundation/volatility/blob/master/volatility/plugins/registry/auditpol.py
PolAdtEvキー構造をパースする際のソースとして参照されています。

DIGITAL FORENSICS – SUPERTIMELINE & EVENT LOGS – PART I
https://countuponsecurity.com/2015/11/23/digital-forensics-supertimeline-event-logs-part-i/
Luis RochaさんのブログでPolAdtEvキーについて紹介されています。

更新履歴

2017/01/29

Windows 10(1607)/2016で新たな構造になっていたため、資料をrev4にアップデートしました。

2015/03/29

Windows 8.1/2012/10/Thresholdの内容を確認したため、タイトルを更新して資料をrev3にアップデートしました。

2010/08/08

Windows 2008の場合、x64とx86で違いがあったため、分類も考慮して大きく(1)Windows 7/2008 (x64)系と(2)Windows 2008(x32)/Vistaの2パターンにわけて更新しました。(1)では「オブジェクトアクセス」カテゴリの「詳細なファイル共有」の項目が含まれますが、(2)では含まれません。