日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

NTFS セキュリティ形式のファイルおよびディレクトリに監査ポリシーを設定する

寄稿者 netapp-thomi

ファイルおよびディレクトリ操作を監査する前に、監査情報を収集するファイルおよびディレクトリに対して監査ポリシーを設定する必要があります。これは、監査の設定と有効化に加えて行います。NTFS 監査ポリシーを設定するには、 Windows のセキュリティタブを使用するか、 ONTAP の CLI を使用します。

Windows のセキュリティタブを使用した NTFS 監査ポリシーの設定

Windows の [ プロパティ ] ウィンドウの [Windows セキュリティ *] タブを使用して、ファイルおよびディレクトリの NTFS 監査ポリシーを構成できます。これは Windows クライアント上に存在するデータの監査ポリシーを設定する場合と同じ方法であり、ユーザは使い慣れたものと同じ GUI インターフェイスを使用できます。

監査は、 System Access Control List ( SACL ;システムアクセス制御リスト)を適用するデータが格納されている Storage Virtual Machine ( SVM )で設定する必要があります。

NTFS 監査ポリシーの設定は、 NTFS セキュリティ記述子に関連付けられている NTFS SACL にエントリを追加することによって行います。その後、セキュリティ記述子を NTFS ファイルおよびディレクトリに適用します。これらのタスクは Windows GUI によって自動的に処理されます。セキュリティ記述子には、ファイルやフォルダのアクセス権を適用するための Discretionary Access Control List ( DACL ;随意アクセス制御リスト)、ファイルやフォルダを監査するための SACL 、または SACL と DACL の両方を含めることができます。

Windows のセキュリティタブを使用して NTFS 監査ポリシーを設定するには、 Windows ホストで次の手順を実行します。

手順
  1. Windows Explorer の * ツール * メニューから、 * ネットワークドライブのマップ * を選択します。

  2. [ ネットワークドライブの割り当て * ] ボックスに入力します。

    1. ドライブ文字を選択します。

    2. [ * フォルダ * ] ボックスに、監査するデータと共有名を保持して、共有を含む CIFS サーバ名を入力します。

      CIFS サーバ名の代わりに、 CIFS サーバのデータインターフェイスの IP アドレスを指定することもできます。

      CIFS サーバ名が「 CIFS_SERVER\share1 」で、共有名が「 share1 」の場合は、「 \\CIFS_SERVER\share1 」と入力します。

    3. [ 完了 ] をクリックします。

    選択したドライブがマウントされて使用可能な状態になり、共有内に格納されているファイルやフォルダが Windows エクスプローラウィンドウに表示されます。

  3. アクセスの監査を有効にするファイルまたはディレクトリを選択します。

  4. ファイルまたはディレクトリを右クリックし、 * プロパティ * を選択します。

  5. [ * セキュリティ * ] タブを選択します。

  6. 「 * 詳細設定 * 」をクリックします。

  7. [ 監査 *] タブを選択します。

  8. 次のうち必要な操作を実行します。

    状況

    実行する処理

    新しいユーザまたはグループの監査を設定します

    1. [ 追加( Add ) ] をクリックします。

    2. [ 選択するオブジェクト名を入力してください ] ボックスに、追加するユーザーまたはグループの名前を入力します。

    3. [OK] をクリックします。

    ユーザまたはグループから監査を削除します

    1. [ 選択するオブジェクト名を入力してください ] ボックスで、削除するユーザーまたはグループを選択します。

    2. [ 削除( Remove ) ] をクリックします。

    3. [OK] をクリックします。

    4. この手順の残りの部分はスキップします。

    ユーザまたはグループの監査を変更します

    1. [ 選択するオブジェクト名を入力してください ] ボックスで、変更するユーザーまたはグループを選択します。

    2. [ 編集( Edit ) ] をクリックします。

    3. [OK] をクリックします。

    ユーザーまたはグループの監査を設定したり、既存のユーザーまたはグループの監査を変更したりする場合は、 [< オブジェクト > の監査エントリ ] ボックスが開きます。

  9. [ * 適用先 * ] ボックスで、この監査エントリの適用方法を選択します。

    次のいずれかを選択できます。

    • * このフォルダ、サブフォルダ、ファイル *

    • * このフォルダとサブフォルダ *

    • * このフォルダのみ *

    • * このフォルダとファイル *

    • * サブフォルダとファイルのみ *

    • * サブフォルダのみ *

    • * ファイルのみ * 単一ファイルに監査を設定している場合、 * 適用先 * ボックスはアクティブになりません。[ * 適用先 * ( Apply to * ) ] ボックスの設定は、デフォルトで * このオブジェクトのみ * に設定されています。

    注記

    監査では SVM リソースが使用されるので、セキュリティ要件を満たす監査イベントにするために必要な最小レベルを選択してください。

  10. [ * アクセス * ] ボックスで、監査する対象と、成功したイベント、失敗イベント、またはその両方を監査するかどうかを選択します。

    • 成功したイベントを監査するには、成功ボックスを選択します。

    • 障害イベントを監査するには、 [ 障害 ] ボックスを選択します。

      セキュリティ要件を満たすために監視する必要がある操作のみを選択してください。これらの監査可能なイベントの詳細については、 Windows のマニュアルを参照してください。次のイベントを監査できます。

    • * フルコントロール *

    • * フォルダの移動 / ファイルの実行 *

    • * フォルダのリスト / データの読み取り *

    • * 属性の読み取り *

    • * 拡張属性の読み取り *

    • * ファイルの作成 / データの書き込み *

    • * フォルダの作成 / データの追加 *

    • * 属性の書き込み *

    • * 拡張属性の書き込み *

    • * サブフォルダとファイルの削除 *

    • * 削除 *

    • * 読み取り許可 *

    • * 権限の変更 *

    • * 所有権を取りなさい *

  11. 監査設定を元のコンテナの後続のファイルとフォルダに反映させない場合は、 [ このコンテナ内のオブジェクトまたはコンテナにのみ監査エントリを適用する *] ボックスを選択します。

  12. [ 適用( Apply ) ] をクリックします。

  13. 監査エントリの追加、削除、または編集が完了したら、 OK をクリックします。

    [Auditing Entry for <object>] ボックスが閉じます。

  14. [ 監査 *] ボックスで、このフォルダの継承設定を選択します。

    セキュリティ要件を満たす監査イベントにするために必要な最小レベルを選択してください。次のいずれかを選択できます。

    • このオブジェクトの親から継承可能な監査エントリを含めるボックスを選択します

    • [ このオブジェクトから継承可能な監査エントリをすべての子の既存の継承可能な監査エントリをすべて置換する ] ボックスをオンにします

    • 両方のボックスを選択します。

    • どちらのボックスも選択しない。1 つのファイルに SACL を設定する場合は '[ このオブジェクトから継承可能な監査エントリをすべての子の既存のすべての監査エントリを置換 ] ボックスが [ 監査 ] ボックスに表示されません

  15. [OK] をクリックします。

    [ 監査 ] ボックスが閉じます。

ONTAP CLI を使用して NTFS 監査ポリシーを設定する

ONTAP CLI を使用して、ファイルおよびフォルダに対して監査ポリシーを設定できます。これにより、 Windows クライアントで SMB 共有を使用してデータに接続することなく NTFS 監査ポリシーを設定できます。

NTFS 監査ポリシーを設定するには 'vserver security file-directory コマンド・ファミリーを使用します

CLI で設定できるのは NTFS SACL だけです。NFSv4 SACL の設定は、この ONTAP コマンドファミリーではサポートされていません。これらのコマンドを使用して NTFS SACL を設定し、ファイルおよびフォルダに追加する方法については、マニュアルページを参照してください。