4611 信頼されたログオンプロセスの登録
ログオン処理を担うプロセスが LSA に「信頼されたログオンプロセス」として確認・登録されたときに記録される。以降、そのプロセスからのログオン要求が受け付けられる。
概要
サブカテゴリは Audit Security System Extension。ログオンプロセスとは、ネットワーク・対話など各種のログオン方式を取りまとめる OS の信頼された部品(Winlogon など)を指す。厳密には「登録」そのものではなく、そのプロセスが信頼されたログオンプロセスであるという確認が取れたときに発生する。OS 起動時やユーザーのログオン・認証の際に見られる。
発生契機・方法
- システム起動時の初期化。
- ログオン・認証処理の過程で、ログオンプロセスが LSA に確認されたとき。
- 通常は
SYSTEMアカウント(OS 内部用アカウント)が主体で、Winlogonなどの正規プロセスが登録される。
セキュリティ上の確認事項
- 主体
Subject\Security IDがSYSTEMでないものは報告対象。正規でないアカウントがログオンプロセスを登録しようとしている可能性を示す。 Logon Process Nameが既知の正規プロセス(Winlogon、User32など)以外なら、許可リストと照合して調べる。不審なログオンプロセスの登録は、認証経路への割り込みを狙った動きでありうる。
ログレビュー時の注意観点
- 多くは情報イベントで、起動やログオンに伴って規則的に出る。値(プロセス名・主体)が安定しているため、許可リスト方式で逸脱を見るのが現実的。
- 主体が
SYSTEM以外、という条件で絞ると、調べるべきものだけが残りやすい。
主なフィールド
| フィールド | 意味 |
|---|---|
Subject\Security ID | 登録を行った主体。通常は SYSTEM |
Logon Process Name | 登録されたログオンプロセス名(例: Winlogon) |
Logon ID | 同一セッションの他イベント(4624 など)との突合に使う |