トークン権利調整の監査
トークン権利調整の監査
トークン権利調整の監査を使用すると、トークンの特権を調整することによって生成されるイベントを監査できます。
詳細については、セキュリティ監視: 権限昇格を検出するための新しい方法の可能性を参照してください。
| コンピューターの種類 | 一般的な成功 | 一般的な失敗 | 強化された成功 | 強化された失敗 | コメント |
|---|---|---|---|---|---|
| ドメイン コントローラー | IF | No | IF | No | IF – このサブカテゴリの成功監査を使用すると、トークンの特権に対する変更に関連する情報を取得できます。ただし、トークンの特権を動的に調整するアプリケーションやシステム サービスを使用している場合、生成されるイベント「4703(S): ユーザー権利が調整されました」の大量発生のため、成功監査は推奨されません。Windows 10 以降、イベント 4703 はトークンの特権を動的に調整するアプリケーションやサービスによって生成されます。このようなアプリケーションの例として、Microsoft Configuration Manager があり、定期的に WMI クエリを実行し、短時間で大量の 4703 イベントを生成します(WMI アクティビティは svchost.exe からのものとして表示されます)。アプリケーションやサービスのいずれかが大量の 4703 イベントを生成している場合、イベント管理ソフトウェアにフィルタリング ロジックがあり、繰り返し発生するイベントを自動的に破棄できるため、このカテゴリの成功監査をより簡単に扱えるようになります。このサブカテゴリには失敗イベントがないため、このサブカテゴリの失敗監査を有効にすることは推奨されません。 |
| メンバー サーバー | IF | No | IF | No | IF – このサブカテゴリの成功監査を使用すると、トークンの特権に対する変更に関連する情報を取得できます。ただし、トークンの特権を動的に調整するアプリケーションやシステム サービスを使用している場合、生成されるイベント「4703(S): ユーザー権利が調整されました」の大量発生のため、成功監査は推奨されません。Windows 10 以降、イベント 4703 はトークンの特権を動的に調整するアプリケーションやサービスによって生成されます。このようなアプリケーションの例として、Microsoft Configuration Manager があり、定期的に WMI クエリを実行し、短時間で大量の 4703 イベントを生成します(WMI アクティビティは svchost.exe からのものとして表示されます)。アプリケーションやサービスのいずれかが大量の 4703 イベントを生成している場合、イベント管理ソフトウェアにフィルタリング ロジックがあり、繰り返し発生するイベントを自動的に破棄できるため、このカテゴリの成功監査をより簡単に扱えるようになります。このサブカテゴリには失敗イベントがないため、このサブカテゴリの失敗監査を有効にすることは推奨されません。 |
| ワークステーション | IF | No | IF | No | IF – このサブカテゴリの成功監査を使用すると、トークンの特権に対する変更に関連する情報を取得できます。ただし、トークンの特権を動的に調整するアプリケーションやシステム サービスを使用している場合、生成されるイベント「4703(S): ユーザー権利が調整されました」の大量発生のため、成功監査は推奨されません。Windows 10 以降、イベント 4703 はトークンの特権を動的に調整するアプリケーションやサービスによって生成されます。このようなアプリケーションの例として、Microsoft Configuration Manager があり、定期的に WMI クエリを実行し、短時間で大量の 4703 イベントを生成します(WMI アクティビティは svchost.exe からのものとして表示されます)。アプリケーションやサービスのいずれかが大量の 4703 イベントを生成している場合、イベント管理ソフトウェアにフィルタリング ロジックがあり、繰り返し発生するイベントを自動的に破棄できるため、このカテゴリの成功監査をより簡単に扱えるようになります。このサブカテゴリには失敗イベントがないため、このサブカテゴリの失敗監査を有効にすることは推奨されません。 |
イベントリスト:
- 4703(S): ユーザー権限が調整されました。
イベントボリューム: 高。