4826 ブート構成データ(BCD)の読み込み
システム起動時に、現在のブート構成データ(BCD)が読み込まれたときに記録される。起動時のセキュリティ設定(署名検証・デバッグ等)を映し、ブートキットやドライバ悪用の検知に使える。
概要
サブカテゴリは Audit Other Policy Change Events。システムが起動するたびに、現行の BCD(Boot Configuration Data: OS の起動方法を定める設定)が読み込まれると生成される。このイベントはサブカテゴリ設定にかかわらず常に記録される。起動時のセキュリティ関連オプションの状態が含まれる。
発生契機・方法
- システム起動時の BCD 読み込み(起動ごとに 1 回)。
セキュリティ上の確認事項
- 起動時のセキュリティ設定の弱体化に注目する。次のような状態は、未署名ドライバの読み込みやブートキット、デバッグによる改ざんを許す危険信号:
- テスト署名 (Test Signing) 有効: 未署名/自己署名ドライバの読み込みを許可。
- カーネルデバッグ (Kernel Debugging) 有効: 起動中の改ざん・制御に悪用されうる。
- ドライバ署名強制の無効化 / 整合性チェックの無効化: 悪性ドライバの読み込みを許す。
- 正規の値からの逸脱は、起動レベルの永続化・防御回避の準備を疑い、調査する。
ログレビュー時の注意観点
- 起動ごとに必ず出る基準イベント。件数より「設定値が安全な既定から変わっていないか」を見る。
- 各ホストの BCD 設定の正常ベースラインを把握し、テスト署名やデバッグの有効化、署名強制の無効化を検知する。
主なフィールド
| フィールド | 意味 |
|---|---|
Test Signing | テスト署名の有効/無効 |
Kernel Debugging / DEP 等 | 起動時セキュリティオプションの状態 |
Integrity Checks | コード整合性チェックの有効/無効 |
用語メモ
- BCD (Boot Configuration Data) — Windows の起動方法・起動時オプションを定める設定領域。署名検証やデバッグの可否もここで決まる。
- ブートキット — OS 起動の最初期に潜り込み、OS より先に動いて検知を逃れるマルウェア。