4714 暗号化データ回復ポリシーの変更
EFS(暗号化ファイルシステム)のデータ回復エージェント(DRA)ポリシーが変更されたときに記録される。暗号化ファイルを復号できる回復鍵の管理に関わる。
概要
サブカテゴリは Audit Other Policy Change Events。EFS(Encrypting File System: ファイルを透過的に暗号化する Windows の機能)のデータ回復エージェント(DRA: 暗号化ファイルを復号できる回復用の証明書/鍵)ポリシーや証明書が変更されたときに生成される。
発生契機・方法
- DRA 証明書や DRA ポリシーがコンピュータ/デバイスで変更されたとき。
- グループポリシーによる EFS 回復ポリシーの変更。
セキュリティ上の確認事項
- DRA は EFS で暗号化された任意のファイルを復号できる強力な鍵。攻撃者が自分の証明書を DRA に追加すれば、暗号化ファイルの中身を読めるようになる。想定外の DRA ポリシー変更は調査する。
- 逆に DRA が不正に削除されると、回復不能なデータが生じる可能性もある。変更の方向(追加/削除)と対象証明書を確認する。
ログレビュー時の注意観点
- まれな変更。正規の PKI/EFS 運用変更と、想定外の変更を区別する。
- 変更を行った主体・対象証明書を記録し、EFS 運用の管理記録と照合する。
主なフィールド
| フィールド | 意味 |
|---|---|
Subject\Account Name | ポリシーを変更したアカウント |
| 回復ポリシー/証明書情報 | 変更された DRA の内容 |
用語メモ
- EFS / DRA — EFS はファイル単位の暗号化機能。DRA はその暗号化ファイルを復号できる「回復用の鍵」。