4704 ユーザー権利の割り当て
ローカルのユーザー権利ポリシーが変更され、アカウントに権利(logon right や特権)が割り当てられたときに記録される。権限付与による昇格・永続化の足場づくりを捉える。
概要
サブカテゴリは Audit Authorization Policy Change。ローカルのユーザー権利(例: 「サービスとしてログオン」SeServiceLogonRight、「バッチジョブとしてログオン」、SeDebugPrivilege などの特権)がアカウントに付与されると生成される。割り当てられたユーザーごとに 1 件出る。
発生契機・方法
- ローカルセキュリティポリシーやグループポリシーによるユーザー権利の割り当て。
seceditや API による権利付与。
セキュリティ上の確認事項
- 強い権利の付与は権限昇格・永続化の準備になりうる。
SeDebugPrivilege(他プロセスのメモリ操作)、SeTcbPrivilege(OS の一部として動作)、「サービスとしてログオン」(サービス常駐の前提)などの新規付与は要注目。 - 想定外のアカウント(特に一般ユーザーや新規アカウント)への権利付与は、攻撃者による足場固めを疑う。除去 4705 と併せて、権利の変遷を追う。
ログレビュー時の注意観点
- 正規のサーバー構築・アプリ導入でも権利は付与される。付与された権利の種類・対象アカウント・実施主体の正常パターンと照合する。
- 監査ポリシーや権利の変更は重大イベントとして、ポリシー変更系(4719 監査ポリシー変更など)と合わせて高優先で監視する。
主なフィールド
| フィールド | 意味 |
|---|---|
Account Modified / New Right | 権利を付与されたアカウントと割り当てられた権利 |
Subject\Account Name | 変更を行ったアカウント |
用語メモ
- ユーザー権利 (user right) — 「サービスとしてログオン」「ローカルログオン」など、アカウントに許可される行為。特権 (privilege) と logon right を含む。