4945 Windows ファイアウォール起動時のルール一覧
Windows ファイアウォールの起動時に、有効なルールが 1 件ずつ記録される。起動時点のルールセットを把握する基準イベント。
概要
サブカテゴリは Audit MPSSVC Rule-Level Policy Change。ファイアウォール起動時に、登録済みの各ルールがこのイベントとして列挙される。起動時のルールセット全体のスナップショットになる。
発生契機・方法
- ファイアウォールサービスの起動時に、有効ルールごとに 1 件ずつ生成。
セキュリティ上の確認事項
- 起動時のルール一覧から、想定外の許可ルール(不審なポートやプログラムを通すもの)が常設されていないかを確認できる。攻撃者が仕込んだ恒久的な許可ルールの発見に使える。
- ルール追加 4946 は変更の瞬間を、4945 は起動時の累積状態を示す。両者で「いつ追加され、起動時に残っているか」を追う。
ログレビュー時の注意観点
- 起動時にルール数分まとめて出るため件数が多い。個々のルールの内容(ポート・プログラム・許可/ブロック)を、正規のベースラインルールセットと照合する。
- 見慣れない許可ルールに注目する。
主なフィールド
| フィールド | 意味 |
|---|---|
| ルール名 / ID | 列挙されたルール |
| ポート/プログラム/動作 | ルールの内容(許可/ブロック) |