4705 ユーザー権利の削除

ローカルのユーザー権利ポリシーが変更され、アカウントから権利が削除されたときに記録される。付与 4704 と対で、権利の変遷を追う。

概要

サブカテゴリは Audit Authorization Policy Change。ローカルのユーザー権利がアカウントから除去されると生成される。対象ユーザーごとに 1 件出る。

発生契機・方法

• ローカルセキュリティポリシーやグループポリシーによる権利の除去。
• secedit や API による権利削除。

セキュリティ上の確認事項

• 防御・運用上必要な権利が削除されると、サービスの停止や監査の弱体化につながる。例えばセキュリティ製品やバックアップに必要な権利の除去は、防御回避の文脈で着目する。
• 攻撃者が痕跡隠しや構成改変の一環で権利を整理する場合もある。付与 4704 とセットで、誰が・どの権利を・どのアカウントから外したかを追う。

ログレビュー時の注意観点

• 正規の構成変更・権限見直しでも発生する。重要な権利・対象アカウントに絞ってアラートにする。
• ポリシー変更系イベントとして、付与 4704 や監査ポリシー変更 4719 と合わせて高優先で扱う。

主なフィールド

参考

• Microsoft Learn: 4705(S) A user right was removed.