4692 DPAPI マスターキーのバックアップ試行
DPAPI(Windows のデータ保護機構)のマスターキーのバックアップが試みられたときに記録される。ユーザーの保護データ(資格情報など)の鍵に関わるイベント。
概要
サブカテゴリは Audit DPAPI Activity。DPAPI(Data Protection API: パスワードや証明書などをユーザーの資格情報に紐づけて暗号化する仕組み)のマスターキーのバックアップが試みられると生成される。ドメイン参加マシンでは、ユーザーのマスターキーをドメインコントローラの公開鍵で暗号化してバックアップし、パスワードリセット時にも保護データを復元できるようにする。
発生契機・方法
- マスターキー生成時や定期的に、ドメイン参加マシンが DC へ RPC でバックアップ要求を送ったとき。
- DC とのバックアップ用鍵ペアを使った、相互認証付きの保護された RPC で行われる。
セキュリティ上の確認事項
- DPAPI はブラウザ保存パスワードや資格情報マネージャ等の保護に使われる。攻撃者が DPAPI マスターキーやドメインバックアップ鍵を狙う場合があり、DPAPI 活動の異常は資格情報窃取の文脈で着目する。
- 復元側の 4693 と併せ、誰のマスターキーが、いつバックアップ/復元されたかを追う。
ログレビュー時の注意観点
- 正規の定常動作として発生する。主体・対象ユーザー・頻度の正常パターンを把握し、想定外の主体や大量発生を見る。
- DPAPI Activity を有効にしていない環境では出ない。資格情報保護の監視を狙う場合に有効化する。
主なフィールド
| フィールド | 意味 |
|---|---|
Subject\Account Name | バックアップを要求した主体 |
Master Key ID | 対象マスターキーの識別子 |
Recovery Server | バックアップ先(ドメインコントローラ) |
用語メモ
- DPAPI — ユーザーの資格情報に紐づけてデータを暗号化する Windows の仕組み。ブラウザのパスワード保存等に使われる。