4949 ファイアウォール設定の既定への復元

Windows ファイアウォールの設定が既定値に復元されたときに記録される。カスタムルールを一掃する操作で、防御の喪失につながりうる。

概要

サブカテゴリは Audit MPSSVC Rule-Level Policy Change。ファイアウォール設定が既定（出荷時）の状態にリセットされると生成される。組織で追加したカスタムルールが一括で失われる。

発生契機・方法

netsh advfirewall reset、GUI の「既定値に戻す」、API による設定リセット。

セキュリティ上の確認事項

既定への復元は、組織が追加した防御ルール（特定ブロック等）を一掃する。攻撃者が独自の制限を消したり、逆に許可ルールを消して痕跡を消したりする文脈で起きうる。想定外の復元は調査する。
復元後はファイアウォール構成が大きく変わるため、起動時ルール一覧 4945 や個別変更 4946〜4948 と併せて、復元前後の差を把握する。

ログレビュー時の注意観点

まれな操作。計画外の復元は高優先で確認する。
復元主体と、その後に再構成が行われたかを確認する。

主なフィールド

フィールド	意味
`Modifying Application`	復元を行ったプロセス
`Subject\Account Name`	実施主体

参考

Microsoft Learn: 4949(S) Windows Firewall settings were restored to the default values.