4693 DPAPI マスターキーの復元試行
DPAPI マスターキーの復元(リカバリ)が試みられたときに記録される。ユーザーのパスワードで鍵が開けない場合に、ドメインのバックアップ鍵から復元する動作を示す。
概要
サブカテゴリは Audit DPAPI Activity。保護データを復号する際、ユーザーのパスワードで守られたマスターキーが使えない場合、バックアップマスターキーをドメインコントローラへ保護された RPC で送り、DC が自身の秘密鍵で復号して返す。この復元処理のたびに生成される。ドメインコントローラ・メンバーサーバー・ワークステーションのいずれでも発生する。
発生契機・方法
- ユーザーのパスワード由来の鍵でマスターキーが開けず、ドメインのバックアップ鍵を使って復元したとき(例: パスワードリセット後)。
セキュリティ上の確認事項
- 想定外の主体・タイミングでの DPAPI マスターキー復元は、保護データ(保存資格情報など)への不正アクセス試行と関連しうる。バックアップ側の 4692 と併せて流れを追う。
- ドメインの DPAPI バックアップ鍵(ドメイン全体の復元鍵)を攻撃者が入手すると、ドメイン内の任意ユーザーの DPAPI 保護データを復号できる。復元活動の異常はこの観点でも重要。
ログレビュー時の注意観点
- 正規のパスワードリセット運用でも発生する。主体・対象・頻度を平常時と照合する。
- DPAPI Activity 監査が有効な環境でのみ記録される。
主なフィールド
| フィールド | 意味 |
|---|---|
Subject\Account Name | 復元を要求した主体 |
Master Key ID | 対象マスターキーの識別子 |
Recovery Server | 復元に使ったサーバ(ドメインコントローラ) |