5378 資格情報の委任がポリシーで拒否
要求された資格情報の委任が、ポリシーにより拒否されたときに記録される。CredSSP による資格情報の転送(多段ホップ)が制限された動作を捉える。
概要
サブカテゴリは Audit Other Logon/Logoff Events。CredSSP(資格情報を別サーバへ委任して、そのサーバから更に別のリソースへアクセスできるようにする仕組み。RDP の多段接続等で使う)による資格情報委任が、設定ポリシーにより許可されなかったときに生成される。
発生契機・方法
- アプリ(RDP クライアント等)が資格情報の委任を要求し、委任許可ポリシーに合致せず拒否されたとき。
セキュリティ上の確認事項
- 委任の拒否は基本的に防御が働いた結果。とはいえ、委任要求が想定外のサーバ・経路で多発する場合、資格情報を別ホストへ運ばせようとする動き(多段ホップでの認証情報露出を狙う等)を疑う材料になる。
- 委任は資格情報がリモートサーバのメモリに乗ることを意味するため、委任許可先の管理(とくに無制約委任の回避)と併せて見る。
ログレビュー時の注意観点
- ポリシー設定ミスで正規利用が拒否されることも多い。要求元・対象サーバを確認し、設定起因か不審な要求かを切り分ける。
- 委任要求の宛先が想定の許可リスト外であるケースに注目する。
主なフィールド
| フィールド | 意味 |
|---|---|
Account Name | 委任を要求したアカウント |
| 対象サーバ | 委任先 |
用語メモ
- CredSSP / 資格情報委任 — 接続先サーバに資格情報を預け、そのサーバから別リソースへアクセスさせる仕組み。便利だが、預けた先が侵害されると資格情報が露出する。