マイクロソフトのTechNetライブラリから「Hyper-V Security Guide」というドキュメントが提供されています。
■Hyper-V Security Guide
http://technet.microsoft.com/en-us/library/dd569113.aspx
このドキュメントを読んでいたら、 「仮想マシンリソースのアクセス監査」という項目を見つけました。
内容は親パーティションからVHDファイルの監査を設定し、 イベントログで監査結果を確認する、
というものなのですが、 果たして、いかほどのものが記録されるのか試してみました。
設定に関する詳細はドキュメントにも記録されていますが、こちらでも簡単に記しておきます。
■グループポリシー
コンピューターの構成/ポリシー/Windowsの設定/セキュリティの設定/監査の詳細な設定/オブジェクトアクセス/ファイルシステムの監査-有効
■監査対象の仮想マシンが格納されたフォルダ
フォルダのプロパティ/セキュリティ/詳細設定/監査/Everyone – <監査するアクティビティ>
以上の設定ができたら、実際に監査対象となる仮想マシンを起動します。
実際に仮想マシンを操作した後、イベントビューアのセキュリティログを見ると、
イベントID4663でその内容を確認できます。
実際に確認できたログは以下のものがほとんどでした。
私が確認できたのは
SYSTEMアカウントによるvmms.exeプロセスと
NETWORK SERVICEアカウントによるvmwp.exeプロセスの2つでした。
ログを見るとわかるように、binファイルへのアクセス、vsvファイルへのアクセスなどは確認できても
そこから、具体的にどのようなアクセスがあったかは、せいぜいReadData、WriteDataのレベルでしかわかりません。
ドキュメントではVHDファイルに対する不正なアクセスを監視しよう!と呼びかけがありますが、
私が思うに、ログに記載されている内容は少し情報不足のように思います。
また、監査設定を行っている最中は仮想マシンのパフォーマンス低下も気になりました。
仮想マシンのバックアップは、親パーティションから子パーティションを一括で行うという手法が一般化されつつありますが、
仮想マシンのアクセス監査は、親パーティションからではなく、子パーティションごとに従来の手法で行っていくのが
良いのではないかと思います。子パーティションでのアクセス監査を行うときには、過去の投稿も参考にしてください。
参考情報
■【再掲】イベントビューアのクエリをカスタマイズする(1)
http://bit.ly/gPebYu
■【再掲】イベントビューアのクエリをカスタマイズする(2)
http://bit.ly/hd50sZ
■イベントビューアのクエリをカスタマイズする(3)
http://bit.ly/gMfZlx
