エフサステクノロジーズ株式会社

本ページの製品は2024年4月1日より、エフサステクノロジーズ株式会社に統合となり、順次、切り替えを実施してまいります。一部、富士通表記が混在することがありますので、ご了承ください。

ONTAP 9 マニュアル ( CA08871-402 )

NTFSセキュリティ形式のファイルおよびディレクトリーの監査ポリシーの設定

ファイルおよびディレクトリー操作を監査する前に、監査情報を収集するファイルおよびディレクトリーに対して監査ポリシーを設定する必要があります。これは、監査設定と有効化に加えて行います。NTFS監査ポリシーを設定するには、Windowsの[セキュリティ]タブを使用するか、ONTAP CLIを使用します。

Windowsの[セキュリティ]タブを使用したNTFS監査ポリシーの設定

Windowsの[プロパティ]ウィンドウにあるWindowsの[セキュリティ]タブを使用して、ファイルやディレクトリーに対するNTFS監査ポリシーを設定できます。これはWindowsクライアント上に存在するデータの監査ポリシーを設定する場合と同じ方法であり、ユーザーは使い慣れたものと同じGUIインターフェイスを使用できます。

要件

監査は、システム アクセス制御リスト(SACL)を適用するデータが格納されているStorage Virtual Machine(SVM)で設定する必要があります。

タスク概要

NTFS監査ポリシーの設定は、NTFSセキュリティ記述子に関連付けられているNTFS SACLにエントリを追加することによって行います。その後、セキュリティ記述子をNTFSファイルおよびディレクトリーに適用します。これらのタスクはWindows GUIによって自動的に処理されます。セキュリティ記述子には、ファイルやフォルダーのアクセス権を適用するためのDiscretionary Access Control List(DACL;随意アクセス制御リスト)、ファイルやフォルダーを監査するためのSACL、またはSACLとDACLの両方を含めることができます。

Windowsの[セキュリティ]タブを使用してNTFS監査ポリシーを設定するには、Windowsホストで次の手順を実行します。

手順
  1. Windowsエクスプローラーの[ツール]メニューで、[ネットワーク ドライブの割り当て]を選択します。

  2. [ネットワーク ドライブの割り当て]ダイアログ ボックスのすべての項目に入力します。

    1. ドライブ文字を選択します。

    2. [フォルダー]ボックスに、監査するデータが格納された共有を含むSMBサーバーの名前と、その共有の名前を入力します。

      SMBサーバー名の代わりに、SMBサーバーのデータ インターフェイスのIPアドレスを指定することもできます。

      SMBサーバー名が「SMB_SERVER」で、共有の名前が「share1」である場合は、「\\SMB_SERVER\share1」と入力します。

    3. [完了]をクリックします。

    選択したドライブがマウントされて使用可能な状態となり、共有内に格納されているファイルやフォルダーがWindowsエクスプローラー ウィンドウに表示されます。

  3. アクセスの監査を有効にするファイルまたはディレクトリーを選択します。

  4. ファイルまたはディレクトリーを右クリックし、[プロパティ]を選択します。

  5. [セキュリティ]タブを選択します。

  6. [詳細]をクリックします。

  7. [監査]タブを選択します。

  8. 次のうち必要な操作を実行します。

    状況

    操作

    新しいユーザーまたはグループの監査を設定する

    1. [追加]をクリックします。

    2. [選択するオブジェクト名を入力してください]ボックスに、追加するユーザーまたはグループの名前を入力します。

    3. [OK]をクリックします。

    ユーザーまたはグループから監査を削除する

    1. [選択するオブジェクト名を入力してください]ボックスで、削除するユーザーまたはグループを選択します。

    2. [削除]をクリックします。

    3. [OK]をクリックします。

    4. 残りの手順は不要です。

    ユーザーまたはグループの監査を変更する

    1. [選択するオブジェクト名を入力してください]ボックスで、変更するユーザーまたはグループを選択します。

    2. [編集]をクリックします。

    3. [OK]をクリックします。

    ユーザーまたはグループの監査を設定する場合、および既存のユーザーまたはグループの監査を変更する場合は、[<object> の監査エントリ]ボックスが開きます。

  9. [適用先]ボックスで、この監査エントリを適用する方法を選択します。

    次のいずれかを選択できます。

    • このフォルダー、サブフォルダーおよびファイル

    • このフォルダーとサブフォルダー

    • このフォルダーのみ

    • このフォルダーとファイル

    • サブフォルダーとファイルのみ

    • サブフォルダーのみ

    • ファイルのみ 単一ファイルの監査を設定している場合は、[適用先]ボックスを使用できません。[適用先]ボックスの設定はデフォルトで[このオブジェクトのみ]になります。

    監査ではSVMリソースが使用されるため、セキュリティ要件を満たす監査イベントにするために必要な最小レベルを選択してください。

  10. [アクセス]ボックスで、成功したイベント、失敗したイベント、またはその両方のいずれを監査対象にするかを選択します。

    • 成功したイベントを監査するには、[成功]ボックスを選択します。

    • 失敗したイベントを監査するには、[失敗]ボックスを選択します。

    セキュリティ要件を満たすために監視する必要がある操作のみを選択してください。これらの監査可能なイベントの詳細については、Windowsのマニュアルを参照してください。次のイベントを監査できます。

    • フル コントロール

    • フォルダーのスキャン / ファイルの実行

    • フォルダーの一覧 / データの読み取り

    • 属性の読み取り

    • 拡張属性の読み取り

    • ファイルの作成 / データの書き込み

    • フォルダーの作成 / データの追加

    • 属性の書き込み

    • 拡張属性の書き込み

    • サブフォルダーとファイルの削除

    • 削除

    • アクセス許可の読み取り

    • アクセス許可の変更

    • 所有権の取得

  11. 元のコンテナにあるファイルとフォルダーのみに監査設定を適用する場合は、[これらの監査エントリを、このコンテナーの中にあるオブジェクトやコンテナーにのみ適用する]ボックスを選択します。

  12. [適用]をクリックします。

  13. 監査エントリの追加、削除、または編集が完了したら、[OK]をクリックします。

    [<object> の監査エントリ]ボックスが閉じます。

  14. [監査]ボックスで、このフォルダーの継承設定を選択します。

    セキュリティ要件を満たす監査イベントにするために必要な最小レベルを選択してください。次のいずれかを選択できます。

    • [このオブジェクトの親からの継承可能な監査エントリを含める]ボックスを選択する。

    • [すべての子孫の既存の継承可能な監査エントリすべてを、このオブジェクトからの継承可能な監査エントリで置き換える]ボックスを選択する。

    • 両方のボックスを選択する。

    • どちらのボックスも選択しない。 単一ファイルのSACLを設定している場合は、[監査]ボックスに[すべての子孫の既存の継承可能な監査エントリすべてを、このオブジェクトからの継承可能な監査エントリで置き換える]ボックスは表示されません。

  15. [OK]をクリックします。

    [監査]ボックスが閉じます。

ONTAP CLIを使用したNTFS監査ポリシーの設定

ONTAP CLIを使用して、ファイルおよびフォルダーに対して監査ポリシーを設定できます。これにより、WindowsクライアントでSMB共有を使用してデータに接続することなくNTFS監査ポリシーを設定できます。

NTFS監査ポリシーを設定するには、vserver security file-directoryコマンド ファミリーを使用します。

CLIで設定できるのはNTFS SACLだけです。NFSv4 SACLの設定は、このONTAPコマンド ファミリーではサポートされていません。このコマンドを使用してNTFS SACLを設定し、ファイルおよびフォルダーに追加する方法については、マニュアル ページを参照してください。

Top of Page