4944 Windows ファイアウォール起動時のポリシー
Windows ファイアウォールの起動時に、その時点で有効なポリシーが記録される。起動時のファイアウォール状態の基準点になるイベント。
概要
サブカテゴリは Audit MPSSVC Rule-Level Policy Change。Windows ファイアウォール(サービス名 MPSSVC)が起動した際に有効だったポリシー設定が記録される。起動ごとのファイアウォール構成のスナップショットとして読める。
発生契機・方法
- ファイアウォールサービスの起動時(システム起動・サービス再起動)。
セキュリティ上の確認事項
- 起動時のファイアウォール状態が、想定どおり(有効・既定ポリシー)かを確認できる。攻撃者がファイアウォールを無効化・緩和した状態で起動していれば、防御の穴を示す。
- ルール一覧 4945・ルール変更 4946〜4948 と併せ、起動時状態とその後の変更を追う。
ログレビュー時の注意観点
- 起動ごとに出る基準イベント。件数より「起動時にファイアウォールが正しく効いているか」を見る。
- 各プロファイル(ドメイン/プライベート/パブリック)の有効状態と既定動作を確認する。
主なフィールド
| フィールド | 意味 |
|---|---|
| プロファイル | 対象のファイアウォールプロファイル |
| ポリシー状態 | 起動時に有効だった設定 |