5039 レジストリキーの仮想化
レジストリキーが仮想化されたときに記録される。UAC の互換性機能により、保護領域への書き込みがユーザー領域へリダイレクトされたことを示す。
概要
サブカテゴリは Audit Registry。レジストリ仮想化(管理者権限が必要な HKLM 等への書き込みを、UAC が個々のユーザー領域へ透過的にリダイレクトする互換性機能)が働いたときに生成される。古いアプリを管理者権限なしで動かすための仕組み。
発生契機・方法
- 管理者権限を前提とする古いアプリが、保護されたレジストリ領域へ書き込もうとし、仮想化(リダイレクト)されたとき。
セキュリティ上の確認事項
- 多くは互換性のための正常動作で、security 上の優先度は低い。どのアプリが保護領域への書き込みを試みたかの把握に使える程度。
- 仮想化される=実際には保護領域が変更されていない、という点を踏まえ、レジストリ変更の監査(4657)と混同しない。
ログレビュー時の注意観点
- 古いアプリを使う環境で発生する。通常は監視対象としての優先度は低い。
- 仮想化対象のアプリ・キーを把握しておく程度でよいことが多い。
主なフィールド
| フィールド | 意味 |
|---|---|
Object Name | 仮想化されたレジストリキー |
Process Name | 書き込みを試みたプロセス |
用語メモ
- レジストリ仮想化 — 古いアプリ互換のため、保護レジストリ領域への書き込みをユーザー領域へ透過的に振り向ける UAC の機能。