4906 CrashOnAuditFail 値の変更
CrashOnAuditFail の値が変更されたときに記録される。「監査できないなら停止する」という保護設定の変更で、監査回避の文脈で注目される。
概要
サブカテゴリは Audit Policy Change。CrashOnAuditFail(監査イベントをログに記録できない場合にシステムを停止させる設定)の値が変更されると生成される。値は 0(無効)/1(記録不可時に停止)/2(停止後は管理者のみログオン可)の意味を持つ。
発生契機・方法
- レジストリやポリシーで CrashOnAuditFail の値が変更されたとき。
セキュリティ上の確認事項
- この設定を無効化(高い値から 0 へ)する変更は、監査が止まってもシステムが動き続けることを意味し、監査回避の前段になりうる。攻撃者がログを溢れさせて監査を止めても停止しないよう、事前に無効化する手口に注意する。
- 想定外の主体・タイミングでの変更は、監査体制の弱体化として調査する。監査ポリシー変更 4719・復旧イベント 4621 と関連づけて見る。
ログレビュー時の注意観点
- まれな変更。とくに「停止する設定 → 無効」方向の変更を高優先で確認する。
- 変更前後の値と実施主体を記録する。
主なフィールド
| フィールド | 意味 |
|---|---|
| 変更後の CrashOnAuditFail 値 | 0/1/2 のいずれか |
Subject\Account Name | 変更を行った主体 |