[Windows] OS 再起動後、監査ポリシーの設定が「監査しない」に戻る現象について


スポンサーリンク


Windows Server 2008 R2 SP1 にて、OS 再起動後、「管理ツール」→「ローカル セキュリティ ポリシー」で設定した「監査ポリシー」の設定が全て『監査しない』に戻る事象が発生しました。

20140530_01
 

イベントログ(セキュリティログ)には、以下のメッセージが記録されていました。

表. イベントログに記録されたセキュリティログ
ログの名前 セキュリティ
ソース Microsoft Windows security auditing
イベントID 4719
レベル 情報
説明 システム監査ポリシーが変更されました。 [以下、省略]

 

問題解決策として、
以下のファイルを削除することで、監査ポリシーが設定されるようになりました。

  • C:\Windows\security\audit\audit.csv
  • C:\Windows\System32\GroupPolicy\Machine\Microsoft\WindowsNT\Audit\audit.csv

 
以下は参照したサイトです。

Audit Policy Reset on Restart
http://social.technet.microsoft.com/Forums/windowsserver/en-US/03cb345e-baf1-45b7-97e1-b3b7a9ebe119/audit-policy-reset-on-restart

Audit policy not registering audits
http://blogs.msdn.com/b/spatdsg/archive/2011/06/06/audit-policy-not-registering-audits.aspx

Auditing Changes to Audit Policy
http://blogs.msdn.com/b/ericfitz/archive/2010/07/16/auditing-changes-to-audit-policy.aspx

 
スポンサーリンク