4705(S) ユーザー権限が削除されました。
4705(S): ユーザー権限が削除されました。
サブカテゴリ: 監査認可ポリシーの変更
イベントの説明:
このイベントは、ローカルユーザー権限ポリシーが変更され、アカウントからユーザー権限が削除されるたびに生成されます。
各ユーザーごとに一意のイベントが表示されます。
注 推奨事項については、このイベントのセキュリティ監視の推奨事項を参照してください。
イベント XML:
- <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
- <System>
<Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" />
<EventID>4705</EventID>
<Version>0</Version>
<Level>0</Level>
<Task>13570</Task>
<Opcode>0</Opcode>
<Keywords>0x8020000000000000</Keywords>
<TimeCreated SystemTime="2015-10-02T22:08:07.152488600Z" />
<EventRecordID>1049867</EventRecordID>
<Correlation />
<Execution ProcessID="500" ThreadID="1216" />
<Channel>Security</Channel>
<Computer>DC01.contoso.local</Computer>
<Security />
</System>
- <EventData>
<Data Name="SubjectUserSid">S-1-5-18</Data>
<Data Name="SubjectUserName">DC01$</Data>
<Data Name="SubjectDomainName">CONTOSO</Data>
<Data Name="SubjectLogonId">0x3e7</Data>
<Data Name="TargetSid">S-1-5-21-3457937927-2839227994-823803824-1104</Data>
<Data Name="PrivilegeList">SeTimeZonePrivilege</Data>
</EventData>
</Event>
必要なサーバーロール: なし。
最小 OS バージョン: Windows Server 2008, Windows Vista。
イベントバージョン: 0。
フィールドの説明:
サブジェクト:
- セキュリティ ID [タイプ = SID]: ローカルユーザー権限ポリシーに変更を加えたアカウントのSID。イベントビューアーは自動的にSIDを解決し、アカウント名を表示しようとします。SIDが解決できない場合、イベントにソースデータが表示されます。
注 セキュリティ識別子 (SID) は、トラスティ (セキュリティプリンシパル) を識別するために使用される可変長の一意の値です。各アカウントには、Active Directory ドメインコントローラーなどの権限によって発行され、セキュリティデータベースに保存される一意のSIDがあります。ユーザーがログオンするたびに、システムはデータベースからそのユーザーのSIDを取得し、そのユーザーのアクセストークンに配置します。システムはアクセストークン内のSIDを使用して、以降のすべてのWindowsセキュリティとのやり取りでユーザーを識別します。SIDがユーザーまたはグループの一意の識別子として使用された場合、それは他のユーザーまたはグループを識別するために再利用されることはありません。SIDの詳細については、セキュリティ識別子を参照してください。
アカウント名 [タイプ = UnicodeString]: ローカルユーザー権利ポリシーに変更を加えたアカウントの名前。
アカウントドメイン [タイプ = UnicodeString]: サブジェクトのドメインまたはコンピュータ名。形式はさまざまで、以下のようなものが含まれます:
ドメインのNETBIOS名の例: CONTOSO
小文字の完全なドメイン名: contoso.local
大文字の完全なドメイン名: CONTOSO.LOCAL
一部のよく知られたセキュリティプリンシパルの場合、例えばLOCAL SERVICEやANONYMOUS LOGON、このフィールドの値は「NT AUTHORITY」となります。
ローカルユーザーアカウントの場合、このフィールドにはこのアカウントが属するコンピュータまたはデバイスの名前が含まれます。例えば、「Win81」のように。
ログオンID [タイプ = HexInt64]: 16進数の値で、同じログオンIDを含む最近のイベントとこのイベントを関連付けるのに役立ちます。例えば、「4624: アカウントが正常にログオンされました。」
ターゲットアカウント:
- アカウント名 [タイプ = SID]: ユーザー権利が削除されたセキュリティプリンシパルのSID。イベントビューアは自動的にSIDを解決してアカウント名を表示しようとします。SIDが解決できない場合、イベントにソースデータが表示されます。
削除された権利:
- ユーザー権利 [タイプ = UnicodeString]: 削除されたユーザー権利のリスト。このイベントはユーザー権利に対してのみ生成され、ログオン権利には生成されません。以下は考えられるユーザー権利のリストです:
| 特権名 | ユーザー権利グループポリシー名 | 説明 |
|---|---|---|
| SeAssignPrimaryTokenPrivilege | プロセスレベルのトークンを置き換える | プロセスのプライマリトークンを割り当てるために必要です。この特権を持つユーザーは、開始されたサブプロセスに関連付けられたデフォルトのトークンを置き換えるためにプロセスを開始できます。 |
| SeAuditPrivilege | セキュリティ監査を生成する | この特権を持つユーザーは、セキュリティログにエントリを追加できます。 |
| SeBackupPrivilege | ファイルとディレクトリをバックアップする | - バックアップ操作を実行するために必要です。この特権を持つユーザーは、システムをバックアップする目的でファイルやディレクトリ、レジストリ、その他の永続的なオブジェクトの権限をバイパスできます。この特権により、システムはファイルに指定されたアクセス制御リスト (ACL) に関係なく、すべての読み取りアクセス権を付与します。読み取り以外のアクセス要求は引き続きACLで評価されます。この特権を持つ場合、次のアクセス権が付与されます:READ_CONTROLACCESS_SYSTEM_SECURITYFILE_GENERIC_READFILE_TRAVERSE |
| SeChangeNotifyPrivilege | トラバースチェックをバイパスする | ファイルやディレクトリの変更通知を受け取るために必要です。この特権により、システムはすべてのトラバースアクセスチェックをスキップします。この特権を持つユーザーは、トラバースされたディレクトリに対する権限がなくてもディレクトリツリーをトラバースできます。この特権は、ユーザーがディレクトリの内容をリストすることは許可しませんが、ディレクトリをトラバースすることは許可します。 |
| SeCreateGlobalPrivilege | グローバルオブジェクトを作成する | ターミナルサービスセッション中にグローバル名前空間で名前付きファイルマッピングオブジェクトを作成するために必要です。 |
| SeCreatePagefilePrivilege | ページファイルを作成する | この特権を持つユーザーは、ページファイルを作成およびサイズを変更できます。 |
| SeCreatePermanentPrivilege | 永続的な共有オブジェクトを作成する | 永続的なオブジェクトを作成するために必要です。この特権は、オブジェクト名前空間を拡張するカーネルモードコンポーネントに役立ちます。カーネルモードで実行されているコンポーネントはすでにこの特権を持っているため、特権を割り当てる必要はありません。 |
| SeCreateSymbolicLinkPrivilege | シンボリックリンクを作成する | シンボリックリンクを作成するために必要です。 |
| SeCreateTokenPrivilege | トークンオブジェクトを作成する | プロセスがNtCreateToken()や他のトークン作成APIを使用して、任意のローカルリソースにアクセスするために使用できるトークンを作成することを許可します。プロセスがこの特権を必要とする場合、別のユーザーアカウントを作成してこの特権を割り当てるのではなく、ローカルシステムアカウント(すでにこの特権を含む)を使用することをお勧めします。 |
| SeDebugPrivilege | プログラムをデバッグする | 他のアカウントが所有するプロセスのメモリをデバッグおよび調整するために必要です。この特権を持つユーザーは、任意のプロセスまたはカーネルにデバッガをアタッチできます。自分のアプリケーションをデバッグしている開発者はこのユーザー権利を必要としません。新しいシステムコンポーネントをデバッグしている開発者はこのユーザー権利を必要とします。このユーザー権利は、機密性が高く重要なオペレーティングシステムコンポーネントへの完全なアクセスを提供します。 |
| SeEnableDelegationPrivilege | 委任のために信頼されるコンピュータおよびユーザーアカウントを有効にする | ユーザーおよびコンピュータアカウントを委任のために信頼されるようにマークするために必要です。この特権を持つユーザーは、ユーザーまたはコンピュータオブジェクトに委任のために信頼される設定を設定できます。この特権が付与されたユーザーまたはオブジェクトは、ユーザーまたはコンピュータオブジェクトのアカウント制御フラグに書き込みアクセス権を持っている必要があります。委任のために信頼されるコンピュータ(またはユーザーコンテキストで実行されているサーバープロセス)は、クライアントの委任された資格情報を使用して別のコンピュータ上のリソースにアクセスできます。ただし、クライアントのアカウントに委任できないアカウント制御フラグが設定されていない限りです。 |
| SeImpersonatePrivilege | 認証後にクライアントを偽装する | この特権を持つユーザーは、他のアカウントを偽装できます。 |
| SeIncreaseBasePriorityPrivilege | スケジューリング優先度を上げる | プロセスの基本優先度を上げるために必要です。この特権を持つユーザーは、他のプロセスに対して書き込みプロパティアクセスを持つプロセスを使用して、他のプロセスに割り当てられた実行優先度を上げることができます。この特権を持つユーザーは、タスクマネージャーのユーザーインターフェイスを通じてプロセスのスケジューリング優先度を変更できます。 |
| SeIncreaseQuotaPrivilege | プロセスのメモリクォータを調整する | プロセスに割り当てられたクォータを増やすために必要です。この特権を持つユーザーは、プロセスが消費できる最大メモリを変更できます。 |
| SeIncreaseWorkingSetPrivilege | プロセスのワーキングセットを増やす | ユーザーのコンテキストで実行されるアプリケーションのために、より多くのメモリを割り当てるために必要です。 |
| SeLoadDriverPrivilege | デバイスドライバをロードおよびアンロードする | デバイスドライバをロードまたはアンロードするために必要です。この特権を持つユーザーは、デバイスドライバや他のコードをカーネルモードに動的にロードおよびアンロードできます。このユーザー権利は、プラグアンドプレイデバイスドライバには適用されません。 |
| SeLockMemoryPrivilege | メモリ内のページをロックする | 物理ページをメモリにロックするために必要です。この特権を持つユーザーは、プロセスを使用してデータを物理メモリに保持し、システムがデータをディスク上の仮想メモリにページングするのを防ぐことができます。この特権を行使すると、利用可能なランダムアクセスメモリ(RAM)の量が減少するため、システムパフォーマンスに大きな影響を与える可能性があります。 |
| SeMachineAccountPrivilege | ドメインにワークステーションを追加する | この特権を持つユーザーは、コンピュータアカウントを作成できます。この特権はドメインコントローラーでのみ有効です。 |
| SeManageVolumePrivilege | ボリュームのメンテナンスタスクを実行する | リモートデフラグメンテーションなどのボリュームのメンテナンスタスクを実行するために必要です。 |
| SeProfileSingleProcessPrivilege | 単一プロセスのプロファイルを作成する | 単一プロセスのプロファイリング情報を収集するために必要です。この特権を持つユーザーは、パフォーマンス監視ツールを使用して非システムプロセスのパフォーマンスを監視できます。 |
| SeRelabelPrivilege | オブジェクトラベルを変更する | オブジェクトの強制整合性レベルを変更するために必要です。 |
| SeRemoteShutdownPrivilege | リモートシステムからのシャットダウンを強制する | ネットワーク要求を使用してシステムをシャットダウンするために必要です。 |
| SeRestorePrivilege | ファイルとディレクトリを復元する | 復元操作を実行するために必要です。この特権により、システムはファイルに指定されたACLに関係なく、すべての書き込みアクセス権を付与します。書き込み以外のアクセス要求は引き続きACLで評価されます。さらに、この特権により、任意の有効なユーザーまたはグループSIDをファイルの所有者として設定できます。この特権を持つ場合、次のアクセス権が付与されます:WRITE_DACWRITE_OWNERACCESS_SYSTEM_SECURITYFILE_GENERIC_WRITEFILE_ADD_FILEFILE_ADD_SUBDIRECTORYDELETEこの特権を持つユーザーは、バックアップされたファイルやディレクトリを復元する際にファイル、ディレクトリ、レジストリ、その他の永続的なオブジェクトの権限をバイパスでき、任意の有効なセキュリティプリンシパルをオブジェクトの所有者として設定できるユーザーを決定します。 |
| SeSecurityPrivilege | 監査およびセキュリティログを管理する | セキュリティイベントログで監査イベントを制御および表示するなど、多くのセキュリティ関連機能を実行するために必要です。この特権を持つユーザーは、ファイル、Active Directoryオブジェクト、レジストリキーなどの個々のリソースに対してオブジェクトアクセス監査オプションを指定できます。この特権を持つユーザーは、セキュリティログを表示およびクリアすることもできます。 |
| SeShutdownPrivilege | システムをシャットダウンする | ローカルシステムをシャットダウンするために必要です。 |
| SeSyncAgentPrivilege | ディレクトリサービスデータを同期する | この特権を持つユーザーは、オブジェクトやプロパティの保護に関係なく、ディレクトリ内のすべてのオブジェクトやプロパティを読み取ることができます。デフォルトでは、ドメインコントローラーの管理者およびローカルシステムアカウントに割り当てられています。この特権を持つユーザーは、すべてのディレクトリサービスデータを同期できます。これはActive Directoryの同期とも呼ばれます。 |
| SeSystemEnvironmentPrivilege | ファームウェア環境値を変更する | このタイプのメモリを使用して構成情報を保存するシステムの不揮発性RAMを変更するために必要です。 |
| SeSystemProfilePrivilege | システムパフォーマンスをプロファイルする | システム全体のプロファイリング情報を収集するために必要です。この特権を持つユーザーは、パフォーマンス監視ツールを使用してシステムプロセスのパフォーマンスを監視できます。 |
| SeSystemtimePrivilege | システム時間を変更する | システム時間を変更するために必要です。この特権を持つユーザーは、コンピュータの内部時計の時間と日付を変更できます。このユーザー権利が割り当てられているユーザーは、イベントログの表示に影響を与える可能性があります。システム時間が変更されると、ログに記録されたイベントは実際に発生した時間ではなく、この新しい時間を反映します。 |
| SeTakeOwnershipPrivilege | ファイルやその他のオブジェクトの所有権を取得する | 任意のアクセス権を付与されることなくオブジェクトの所有権を取得するために必要です。この特権により、所有者の値をオブジェクトの所有者として正当に割り当てることができる値にのみ設定できます。この特権を持つユーザーは、Active Directoryオブジェクト、ファイルやフォルダ、プリンター、レジストリキー、プロセス、スレッドなど、システム内の任意のセキュリティオブジェクトの所有権を取得できます。 |
| SeTcbPrivilege | オペレーティングシステムの一部として動作する | この特権は、その所有者を信頼されたコンピュータベースの一部として識別します。このユーザー権利により、プロセスは認証なしで任意のユーザーを偽装できます。したがって、プロセスはそのユーザーと同じローカルリソースにアクセスできます。 |
| SeTimeZonePrivilege | タイムゾーンを変更する | コンピュータの内部時計に関連付けられたタイムゾーンを調整するために必要です。 |
| SeTrustedCredManAccessPrivilege | 信頼された呼び出し元として資格情報マネージャーにアクセスする | 信頼された呼び出し元として資格情報マネージャーにアクセスするために必要です。 |
| SeUndockPrivilege | ドッキングステーションからコンピュータを取り外す | ラップトップを取り外すために必要です。この特権を持つユーザーは、ログオンせずにポータブルコンピュータをドッキングステーションから取り外すことができます。 |
| SeUnsolicitedInputPrivilege | 該当なし | 端末デバイスからの未承諾の入力を読み取るために必要です。 |
セキュリティ監視の推奨事項
4705(S): ユーザー権利が削除されました。
| 必要な監視の種類 | 推奨事項 |
|---|---|
| 通常SYSTEMアカウントによって実行されるアクション: このイベントおよび特定の他のイベントは、SYSTEM以外のアカウントによってトリガーされるかどうかを監視する必要があります。 | このイベントは通常SYSTEMアカウントによってトリガーされるため、**「Subject\Security ID」**がSYSTEMでない場合に報告することをお勧めします。 |
| 高価値アカウント: 各アクションを監視する必要がある高価値のドメインまたはローカルアカウントが存在する場合があります。高価値アカウントの例としては、データベース管理者、組み込みのローカル管理者アカウント、ドメイン管理者、サービスアカウント、ドメインコントローラーアカウントなどがあります。 | 高価値アカウントに対応する**「Subject\Security ID」**でこのイベントを監視します。 |
| 異常または悪意のあるアクション: 異常を検出したり、潜在的な悪意のあるアクションを監視するための特定の要件がある場合があります。例えば、勤務時間外のアカウント使用を監視する必要がある場合などです。 | 異常または悪意のあるアクションを監視する場合、特定のアカウントがどのようにまたはいつ使用されているかを監視するために、「Subject\Security ID」(および他の情報)を使用します。 |
| 非アクティブアカウント: 非アクティブ、無効、またはゲストアカウント、または決して使用されるべきでない他のアカウントが存在する場合があります。 | 使用されるべきでないアカウントに対応する**「Subject\Security ID」**または「Target Account\Account Name」でこのイベントを監視します。 |
| アカウントの許可リスト: 特定のイベントに対応するアクションを実行することが許可されているアカウントの特定の許可リストが存在する場合があります。 | このイベントが「許可リストのみ」のアクションに対応する場合、許可リスト外のアカウントに対して**「Subject\Security ID」**を確認します。特定のユーザー権利ポリシーがある場合、例えば特定のアクションを実行できるアカウントの許可リストがある場合、このイベントを監視して「Removed Right」が「Target Account\Account Name」から削除されることが適切であったかどうかを確認します。 |
| 異なる種類のアカウント: 特定のアクションが特定のアカウント種類(例えば、ローカルまたはドメインアカウント、マシンまたはユーザーアカウント、ベンダーまたは従業員アカウントなど)によってのみ実行されることを確認したい場合があります。 | このイベントが特定のアカウント種類に対して監視したいアクションに対応する場合、「Subject\Security ID」および「Target Account\Account Name」を確認してアカウント種類が期待通りであるかどうかを確認します。例えば、特定のユーザー権利を持つアカウントが決して削除されるべきでない場合、このイベントを「Target **Account\Account Name」**および適切な権利に対して監視します。別の例として、非管理者アカウントが特定のユーザー権利(例えば、SeAuditPrivilege)を持つべきでない場合、このイベントを監視することができます。なぜなら、権利は以前に付与された後にのみ削除されることができるからです。 |
| 外部アカウント: 他のドメインからのアカウントや、特定のアクション(特定のイベントによって表される)を実行することが許可されていない「外部」アカウントを監視している場合があります。 | 他のドメインからのアカウントや「外部」アカウントに対応する**「Subject\Account Domain」**に対してこのイベントを監視します。 |
| 使用が制限されたコンピュータやデバイス: 特定の人(アカウント)が限られたアクションのみを実行するか、全くアクションを実行しないべき特定のコンピュータ、マシン、またはデバイスが存在する場合があります。 | 関心のある**「Subject\Security ID」によって実行されたアクションに対してターゲットコンピュータ:**(または他のターゲットデバイス)を監視します。また、「Target Account\Account Name」を確認して、そのアカウントからユーザー権利が削除されるべきか(またはそのアカウントがそのコンピュータ上でいかなる権利も持つべきでないか)を確認します。高価値のサーバーや他のコンピュータに対して、このイベントを追跡し、特定の「Removed Right」が各ケースで「Target Account\Account Name」から削除されるべきかどうかを調査することをお勧めします。 |
| 制限されるべきユーザー権利: 監視したいユーザー権利のリストが存在する場合があります。 | このイベントを監視し、**「Removed Right」**を制限された権利のリストと比較します。決して付与されるべきでない権利(例えば、SeTcbPrivilege)の削除を発見するためにこのイベントを監視し、さらに調査します。 |
| アカウント命名規則: 組織にはアカウント名の特定の命名規則が存在する場合があります。 | 命名規則に準拠していない名前に対して「**Subject\Account Name」**を監視します。 |