4670 オブジェクトの権限変更
ファイル・レジストリ・トークンなどのオブジェクトの権限(DACL: 誰が何をできるかの設定)が変更されたときに記録される。アクセス制御の改ざんを捉える。
概要
サブカテゴリは Audit File System / Audit Registry / Audit Authentication Policy Change / Audit Authorization Policy Change。オブジェクトの権限が変更されたときに生成される(監査設定の SACL 変更では生成されない)。生成には対象の SACL に「アクセス許可の変更」「所有権の取得」(レジストリでは Write DAC / Write Owner)などの監査が設定されている必要がある。
発生契機・方法
- ファイル/フォルダ/レジストリキー/トークンの
DACL(Discretionary Access Control List: アクセス可否を定める設定)が変更されたとき。
セキュリティ上の確認事項
- 攻撃者は、機微ファイルや永続化対象に自分のアクセス権を付け足したり、防御的な制限を緩めたりするために権限を変更する。誰が・何の権限を・どう変えたかを確認する。
- 重要ファイル・レジストリキーへの想定外の DACL 変更は、後続の不正アクセスやバックドア設置の前段になりうる。所有権変更(Take Ownership)を伴う場合は特に注目する。
ログレビュー時の注意観点
- SACL を設定した対象でのみ出る。重要資産に絞って設計する。
- 正規の構成変更(インストーラ、GPO、管理操作)でも発生する。変更主体・対象・変更内容の正常パターンと照合する。
主なフィールド
| フィールド | 意味 |
|---|---|
Object Name / Object Type | 権限が変更された対象 |
Subject\Account Name | 変更を行ったアカウント |
Process Name | 変更を行ったプロセス |
用語メモ
- DACL — オブジェクトに対し「誰がどのアクセスを許可/拒否されるか」を定義する設定。SACL(監査設定)とは別物。