Powershell監査
ADAudit PlusのPowershell監査を利用することで、Powershellプロセスおよび実行コマンドの詳細を確認できます。
ADAudit Plusが監査できるPowershellのバージョンは以下のとおりです。
- PowerShell version 5.0
- PowerShell version 4.0
ADAudit Plusでの設定
| 監査対象サーバー | 必要な設定内容 |
| ドメインコントローラー | ドメイン設定およびドメインコントローラー追加 |
| Windowsサーバー | Windowsサーバー追加 |
必要な監査ポリシー設定
自動で設定する場合
| 監査対象サーバー | 設定方法 |
| ドメインコントローラー | 監査ポリシー自動設定(ドメインコントローラー) |
| Windowsサーバー | 監査ポリシー自動設定(Windowsサーバー) |
手動で設定する場合
モジュールログを有効にする手順
- グループポリシー管理コンソール(GPMC)を起動後、Default Domain Controllers Policy または ADAuditPlusMSPolicy (監査対象サーバーに適用しているグループポリシー)を右クリックし、編集をクリックします。
- "コンピューターの構成" → "ポリシー" → "管理用テンプレート" → "Windows PowerShell" → "モジュールログを有効にする"をダブルクリック後、[有効]にチェックします。
- オプションタブにて、[表示...]をクリック後、値に"*"を入力することで、すべてのモジュールを監査対象とします。[OK]をクリックします。
- "コンピューターの構成" → "ポリシー" → "管理用テンプレート" → "Windows PowerShell" → PowerShellスクリプトブロックのログ記録を有効にする"をダブルクリック後、[有効]にチェックします。
- "コンピューターの構成" → "基本設定" → "Windowsの設定" → "レジストリ"を右クリック → "新規作成" → "レジストリ項目"をクリックします。
- 項目[アクション]にて"更新"を選択 → 項目[ハイブ]にて"HKEY_LOCAL_MACHINE"を選択 → 項目[キーのパス]にて"SOFTWARE\Microsoft\Windows\CurrentVersion\WINEVT\Channels\Microsoft-Windows-PowerShell\Operational"を入力 → 項目[値の名前]にて"既定"のチェックを外し、"MaxSize"を入力 → 項目[値の種類]にて"REG_DWORD"を選択 → 項目[値のデータ]にて"153616384"を入力 → 項目[表記]にて"10進数"を選択
- [OK]をクリックします。
参照:
| 監査対象サーバー | グループポリシー |
| ドメインコントローラー | Default Domain Controllers Policy |
| Windowsサーバー | ADAuditPlusMSPolicy |
スクリプトブロックログを有効にする手順
PowerShellログサイズを設定
PowerShellログのサイズを最大150MBに設定するため、以下の手順を実施します。
