4717 ログオン権の付与
アカウントにシステムへのログオン権(ネットワークログオン、リモートデスクトップ許可など)が付与されたときに記録される。アクセス経路を増やす変更で、攻撃者の足場づくりに関わる。
概要
サブカテゴリは Audit Authentication Policy Change。ローカルのログオンユーザー権ポリシーが変更され、アカウントにログオン権が付与されると生成される。複数アカウントに付与した場合はアカウントごとに 1 件出る。
発生契機・方法
- 「ネットワーク経由でアクセス」
SeNetworkLogonRight、「リモートデスクトップサービスを使ったログオンを許可」SeRemoteInteractiveLogonRight、「サービスとしてログオン」などのログオン権が付与されたとき。 - ローカルセキュリティポリシー/グループポリシーによる変更。
セキュリティ上の確認事項
- 攻撃者が、自分の制御するアカウントにリモートログオン権やネットワークログオン権を付与し、アクセス経路を確保する場合がある。想定外のアカウントへのログオン権付与を調査する。
- 「拒否」系の権利(Deny logon)が緩められた場合も、本来塞いでいた経路が開くため注目する。除去 4718 と併せ、ログオン権の変遷を追う。
ログレビュー時の注意観点
- サーバー構築や運用変更でも付与される。付与されたログオン権の種類・対象アカウントの正常パターンと照合する。
- 特に高権限アカウントや機微サーバへのリモートログオン許可は高優先で監視する。ユーザー権利割り当て 4704 と内容が重なる場合がある。
主なフィールド
| フィールド | 意味 |
|---|---|
Account Modified | ログオン権を付与されたアカウント |
Access Granted | 付与されたログオン権の種類 |
Subject\Account Name | 変更を行ったアカウント |