4954 ファイアウォールのグループポリシー設定適用

Windows ファイアウォールのグループポリシー設定が変更され、新しい設定が適用されたときに記録される。GPO 経由のファイアウォール構成変更を捉える。

概要

サブカテゴリは Audit MPSSVC Rule-Level Policy Change。ファイアウォールに関するグループポリシー設定が変更され、その新設定がマシンに適用されると生成される。

発生契機・方法

ドメインのグループポリシーでファイアウォール設定が更新され、対象マシンに反映されたとき。

セキュリティ上の確認事項

GPO によるファイアウォール設定変更は広範囲に効く。攻撃者がドメインの GPO を改ざんしてファイアウォールを緩める/無効化すれば、配下のマシン全体の防御が一度に弱まる。GPO 変更（5136 等）と併せて、適用された設定内容を確認する。
個々のマシンでの設定変更 4950 と異なり、ポリシー由来の一括変更を示す。

ログレビュー時の注意観点

正規の GPO 更新で発生する。適用された設定（無効化・緩和方向か）を確認する。
ファイアウォールを弱める方向の GPO 適用に注目し、GPO 自体の変更履歴と突き合わせる。

主なフィールド

フィールド	意味
適用された設定	新しいファイアウォール設定
`Profile`	対象プロファイル

参考

Microsoft Learn: 4954(S) Windows Firewall Group Policy settings have changed. The new settings have been applied.