4956 ファイアウォールのアクティブプロファイル変更
Windows ファイアウォールがアクティブなプロファイルを変更したときに記録される。接続先ネットワークの変化に伴う、適用ルールセットの切り替わりを捉える。
概要
サブカテゴリは Audit MPSSVC Rule-Level Policy Change。ネットワーク環境の変化により、ファイアウォールが適用するプロファイル(ドメイン/プライベート/パブリック)を切り替えると生成される。プロファイルごとに有効なルール・既定動作が異なる。
発生契機・方法
- ネットワーク接続の変化(社内 LAN ↔ 公衆 Wi-Fi、VPN 接続など)に伴うプロファイル切り替え。
セキュリティ上の確認事項
- プロファイルが変わると適用ルールセットも変わる。例えばドメインプロファイルからパブリックへ切り替わると、社内向けの許可ルールが効かなくなるなど、防御の前提が変化する。
- 攻撃者がネットワーク種別を誤認させて緩いプロファイルを適用させる、といった可能性は低いが、想定外のプロファイル切り替え(社内のはずがパブリック判定)は接続環境の確認材料になる。
ログレビュー時の注意観点
- 持ち運ぶ端末では正常に頻発する。サーバーなど固定環境での予期せぬプロファイル変更に注目する。
- 切り替え後のプロファイルと、そのプロファイルで有効なルールを把握する。
主なフィールド
| フィールド | 意味 |
|---|---|
| 新しいアクティブプロファイル | 切り替え後のプロファイル |