ファイルおよびディレクトリ操作を監査する前に、監査情報を収集するファイルおよびディレクトリに 対して監査ポリシーを設定する必要があります。これは、監査の設定と有効化に加えて行いま
す。 NTFS監査ポリシーを設定するには、Windowsの[セキュリティ]タブを使用するか、Data
ONTAP CLIを使用します。
Windowsの[セキュリティ]タブを使用したNTFS監査ポリシーの設定
Windowsの[プロパティ]ウィンドウにあるWindowsの[セキュリティ]タブを使用して、ファイルやディ レクトリに対する監査ポリシーを設定できます。これはWindowsクライアント上に存在するデータの 監査ポリシーを設定する場合と同じ方法であり、ユーザは使い慣れたものと同じGUIインターフェ イスを使用できます。
開始する前に
監査は、SACLを適用するデータが格納されているStorage Virtual Machine(SVM)で設定する必 要があります。
タスク概要
NTFS監査ポリシーの設定は、NTFSセキュリティ記述子に関連付けられているNTFSのシステム アクセス制御リスト(SACL)にエントリを追加することによって行います。 その後、セキュリティ記述 子をNTFSファイルおよびディレクトリに適用します。これらのタスクはWindows GUIによって自動 的に処理されます。セキュリティ記述子には、ファイルやフォルダのアクセス権を適用するための 随意アクセス制御リスト(DACL)、ファイルやフォルダを監査するためのシステム アクセス制御リ スト(SACL)、またはSACLとDACLの両方を含めることができます。
Windowsの[プロパティ]ウィンドウにあるWindowsの[セキュリティ]タブを使用して、Windowsホスト で次の手順を実行することで、個々のファイルやフォルダに対するアクセスを監査するための NTFS監査ポリシーを設定できます。
手順
1. Windowsエクスプローラの[ツール]メニューで、[ネットワーク ドライブの割り当て]を選択しま す。
2. [ネットワーク ドライブの割り当て]ボックスのすべての項目に入力します。
a. [ドライブ]文字を選択します。
b. [フォルダ]ボックスに、監査するデータが格納されている共有を含むCIFSサーバ名と、共有
の名前を入力します。
例
CIFSサーバ名が「CIFS_SERVER」で、共有の名前が「share1」である場合は、「\
\CIFS_SERVER\share1」と入力します。
注: CIFSサーバ名の代わりに、CIFSサーバのデータインターフェイスのIPアドレスを指定 することもできます。
c. [完了]をクリックします。
選択したドライブがマウントされて使用可能な状態となり、共有内に格納されているファイルや フォルダがWindowsエクスプローラ ウィンドウに表示されます。
3. アクセスの監査を有効にするファイルまたはディレクトリを選択します。
4. ファイルまたはディレクトリで右クリックし、[プロパティ]を選択します。
5. [セキュリティ]タブを選択します。
6. [詳細]をクリックします。
7. [監査]タブを選択します。
8. 次のうち必要な操作を実行します。
目的 操作
新しいユーザまたはグルー
プの監査を設定する a. [追加]をクリックします。
b. [選択するオブジェクト名を入力してください]ボックスに、追加するユ
ーザまたはグループの名前を入力します。
c. [OK]をクリックします。
ユーザまたはグループから
監査を削除する a. [選択するオブジェクト名を入力してください]ボックスで、削除するユ ーザまたはグループを選択します。
b. [削除]をクリックします。
c. [OK]をクリックします。
d. 残りの手順は不要です。
ユーザまたはグループの監
査を変更する a. [選択するオブジェクト名を入力してください]ボックスで、変更するユ ーザまたはグループを選択します。
b. [編集]をクリックします。
c. [OK]をクリックします。
ユーザまたはグループの監査を設定する場合、および既存のユーザまたはグループの監査を 変更する場合は、[<object> の監査エントリ]ボックスが開きます。
9. [適用先]ボックスで、この監査エントリを適用する方法を選択します。
次のいずれかを選択できます。
• このフォルダ、サブフォルダおよびファイル
• このフォルダとサブフォルダ
• このフォルダのみ
• このフォルダとファイル
• サブフォルダとファイルのみ
• サブフォルダのみ
• ファイルのみ
単一ファイルの監査を設定している場合は、[適用先]ボックスを使用できません。 [適用先]は デフォルトの[このオブジェクトのみ]になります。
注: 監査ではSVMリソースが使用されるので、セキュリティ要件を満たす監査イベントにする ために必要な最小レベルを選択してください。
10. [アクセス]ボックスで、成功したイベント、失敗したイベント、またはその両方のいずれを監査対 象にするかを選択します。
• 成功したイベントを監査するには、[成功]ボックスを選択します。
• 失敗したイベントを監査するには、[失敗]ボックスを選択します。
次のイベントを監査できます。
• フル コントロール
• フォルダのスキャン / ファイルの実行
• フォルダの一覧 / データの読み取り
• 属性の読み取り
• 拡張属性の読み取り
• ファイルの作成 / データの書き込み
• フォルダの作成 / データの追加
• 属性の書き込み
• 拡張属性の書き込み
• サブフォルダとファイルの削除
• 削除
• アクセス許可の読み取り
• アクセス許可の変更
• 所有権の取得
注: セキュリティ要件を満たすために監視する必要がある操作のみを選択してください。 これ らの監査可能なイベントの詳細については、Windowsのマニュアルを参照してください。
11. 元のコンテナにあるファイルとフォルダのみに監査設定を適用する場合は、[これらの監査エン トリを、このコンテナの中にあるオブジェクトやコンテナにのみ適用する]ボックスを選択します。
12. [適用]をクリックします。
13. 監査エントリの追加、削除、または編集が完了したら、[OK]をクリックします。
[<object> の監査エントリ]ボックスが閉じます。
14. [監査]ボックスで、このフォルダの継承設定を選択します。
次のいずれかを選択できます。
• [このオブジェクトの親からの継承可能な監査エントリを含める]ボックスを選択する。
• [すべての子孫の既存の継承可能な監査エントリすべてを、このオブジェクトからの継承可 能な監査エントリで置き換える]ボックスを選択する。
• 両方のボックスを選択する。
• どちらのボックスも選択しない。
単一ファイルのSACLを設定している場合は、[監査]ダイアログ ボックスに[すべての子孫の既 存の継承可能な監査エントリすべてを、このオブジェクトからの継承可能な監査エントリで置き 換える]ボックスは表示されません。
注: セキュリティ要件を満たす監査イベントにするために必要な最小レベルを選択してくださ い。
15. [OK]をクリックします。
[監査]ボックスが閉じます。
関連コンセプト
監査できるSMBイベント(140ページ)
関連タスク
CLIを使用したFlexVolのNTFS監査ポリシーに関する情報の表示(158ページ)
Windowsの[セキュリティ]タブを使用した監査ポリシーに関する情報の表示(157ページ)
Data ONTAP CLIを使用したNTFS監査ポリシーの設定方法
Data ONTAP CLIを使用して、ファイルおよびフォルダに対して監査ポリシーを設定できます。 これ
により、WindowsクライアントでSMB共有を使用してデータに接続することなくNTFS監査ポリシー
を設定できます。
NTFS監査ポリシーを設定するには、vserver security file-directoryコマンドファミリーを 使用します。
CLIで設定できるのはNTFS SACLだけです。 NFSv4 SACLの設定は、このData ONTAPコマンド ファミリーではサポートされていません。このコマンドを使用してNTFS SACLを設定し、ファイルお よびフォルダに追加する方法については、マニュアル ページを参照してください。
関連コンセプト
監査できるSMBイベント(140ページ)
関連タスク
CLIを使用したFlexVolのNTFS監査ポリシーに関する情報の表示(158ページ)
UNIX セキュリティ形式のファイルおよびディレクトリの監査設定
UNIXセキュリティ形式のファイルおよびディレクトリの監査を設定するには、NFSv4.x ACLに監査 ACEを追加します。これにより、セキュリティの目的で特定のNFSファイルおよびディレクトリのアク セスイベントを監視できます。
タスク概要
NFSv4.xでは、随意ACEとシステムACEの両方が同じACLに格納されます。個別のDACLとSACL
には格納されません。 したがって、既存のACLに監査ACEを追加する際は、既存のACLを上書き して失われることがないように、細心の注意を払う必要があります。既存のACLに監査ACEを追 加する順序は重要ではありません。
手順
1. nfs4_getfaclまたは同等のコマンドを使用して、ファイルまたはディレクトリの既存のACLを 取得します。
ACLの操作の詳細については、NFSクライアントのマニュアル ページを参照してください。
2. 目的の監査ACEを追加します。
3. nfs4_setfaclまたは同等のコマンドを使用して、ファイルまたはディレクトリに更新したACLを 適用します。
関連コンセプト
NFSv4 ACLの管理(119ページ)
関連参照情報
監査できるNFSファイルおよびディレクトリのアクセス イベント(145ページ)
ファイルおよびディレクトリに適用されている監査ポリシーに関する情 報の表示
ファイルやディレクトリに適用されている監査ポリシーに関する情報を表示すると、指定したファイ ルやフォルダに適切なシステムアクセス制御リスト(SACL)が設定されていることを確認できま す。
関連コンセプト
ファイルおよびフォルダの監査ポリシーの設定(152ページ)