4718 ログオン権の削除

アカウントからシステムへのログオン権が削除されたときに記録される。付与 4717 と対で、ログオン権の変遷を追う。

概要

サブカテゴリは Audit Authentication Policy Change。ローカルのログオンユーザー権ポリシーが変更され、アカウントからログオン権が削除されると生成される。複数アカウントから削除した場合はアカウントごとに 1 件出る。

発生契機・方法

• ネットワークログオン、リモートデスクトップ許可、サービスとしてログオンなどの権利がアカウントから外されたとき。
• ローカルセキュリティポリシー/グループポリシーによる変更。

セキュリティ上の確認事項

• 運用・防御上必要なログオン権の削除は、正規アカウントやサービスのアクセス不能を招く。サービスアカウントから「サービスとしてログオン」を外すと、その常駐処理が止まる。
• 攻撃者が、特定アカウントの正規アクセスを妨害する／構成を改変する一環で削除する場合もある。付与 4717 とセットで、誰が・どのログオン権を外したかを追う。

ログレビュー時の注意観点

• 正規の権限見直しでも発生する。重要なログオン権・対象アカウントに絞ってアラートにする。
• 付与 4717・ユーザー権利変更 4704/4705 と併せ、アクセス権の変更として高優先で扱う。

主なフィールド

参考

• Microsoft Learn: 4718(S) System security access was removed from an account.