4695(S, F) 監査可能な保護データの保護解除が試行されました。

4695(S, F): 監査可能な保護データの保護解除が試行されました。

このイベントは、DPAPI CryptUnprotectData() 関数が、CRYPTPROTECT_AUDIT フラグ (dwFlags) が有効な CryptProtectData() 関数を使用して暗号化された「監査可能」データの保護解除に使用された場合に生成されます。

このドキュメントには、このイベントの例はありません。

サブカテゴリ: DPAPI アクティビティの監査

イベントスキーマ:

監査可能な保護データの保護解除が試行されました。

サブジェクト:

セキュリティ ID:%1
アカウント名:%2
アカウントドメイン:%3
ログオン ID:%4

保護されたデータ:

データの説明:%6
キー識別子:%5
保護データフラグ:%7
保護アルゴリズム:%8

ステータス情報:

ステータスコード:%9

必要なサーバーの役割: なし。

最小 OS バージョン: Windows Server 2008, Windows Vista。

イベントバージョン: 0。

このドキュメントには、このイベントに関する推奨事項はありません。
このイベントは通常、情報提供のためのイベントであり、このイベントを使用して悪意のある活動を検出することは困難です。主に DPAPI のトラブルシューティングに使用されます。