5051 ファイルの仮想化
ファイルが仮想化されたときに記録される。UAC の互換性機能により、保護フォルダへの書き込みがユーザー領域へリダイレクトされたことを示す。
概要
サブカテゴリは Audit File System。ファイル仮想化(Program Files や Windows など保護フォルダへの書き込みを、UAC が個々のユーザー領域(VirtualStore)へ透過的にリダイレクトする互換性機能)が働いたときに生成される。レジストリ仮想化 5039 のファイル版。
発生契機・方法
- 管理者権限を前提とする古いアプリが、保護フォルダへ書き込もうとし、仮想化(VirtualStore へリダイレクト)されたとき。
セキュリティ上の確認事項
- 多くは互換性のための正常動作で、security 上の優先度は低い。どのアプリが保護フォルダへの書き込みを試みたかの把握に使える程度。
- 仮想化される=実際の保護フォルダは変更されていない。実ファイルアクセスの監査(4663)と混同しない。
ログレビュー時の注意観点
- 古いアプリを使う環境で発生する。通常は監視対象としての優先度は低い。
- 仮想化対象のアプリ・ファイルを把握しておく程度でよいことが多い。
主なフィールド
| フィールド | 意味 |
|---|---|
File Name | 仮想化されたファイル |
Process Name | 書き込みを試みたプロセス |