4671 ブロックされた序数への TBS アクセス試行

定義はされているが、実際には生成されないイベント。OS から呼び出されることがないため、運用上は出会うことがない。

概要

サブカテゴリは Audit Other Object Access Events。アプリケーションが TBS（TPM Base Services: TPM チップを扱う基盤サービス）を通じてブロックされた序数（関数番号）にアクセスしようとした場合を想定したイベント。ただし原文に明記のとおり、現在この OS では呼び出されず生成されない。

発生契機・方法

• 定義上は TBS 経由でブロック対象の序数にアクセスしようとしたとき。
• 実際には発生しない。

セキュリティ上の確認事項

• 通常出ないイベントのため、検知ルールの主役にはしない。万一観測された場合のみ、発生源を精査する。

ログレビュー時の注意観点

• 事実上記録されないため、レビュー対象として優先度は低い。存在を把握しておけば十分。

主なフィールド

固有のフィールドはドキュメント上に示されていない。

参考

• Microsoft Learn: 4671(-) An application attempted to access a blocked ordinal through the TBS.