4694 監査対象の保護データの暗号化試行

DPAPI でデータを暗号化（保護）する際、監査フラグ付きで保護が試みられたときに記録される。特定のアプリが意図的に監査を有効にしたデータ保護を捉える。

概要

サブカテゴリは Audit DPAPI Activity。CryptProtectData() 関数が CRYPTPROTECT_AUDIT フラグを有効にして呼ばれたときに生成される。つまり、アプリが「この保護操作は監査する」と明示した場合にのみ出る。原文にも例は示されていない。

発生契機・方法

アプリが CryptProtectData() を CRYPTPROTECT_AUDIT フラグ付きで呼び、データを保護したとき。

セキュリティ上の確認事項

このフラグを使うアプリ自体が限られるため、出ること自体が「監査対象に指定された保護操作」であることを意味する。対応する復号 4695 と併せ、どのデータが保護・解除されたかを追う。
一般的なクレデンシャル保護の監視というより、特定アプリの DPAPI 利用を追う用途。

ログレビュー時の注意観点

監査フラグ付きの保護に限られるため、件数は少なめ。出るアプリ・文脈が想定どおりかを確認する。
DPAPI Activity 監査が有効な環境でのみ記録される。

主なフィールド

フィールド	意味
`Subject\Account Name`	保護を行った主体
`Data Description`	保護されたデータの説明（アプリ指定）

参考

Microsoft Learn: 4694(S, F) Protection of auditable protected data was attempted.