6406 製品が Windows ファイアウォールへフィルタ制御を登録

サードパーティ製品が、Windows ファイアウォールにフィルタリングの制御を登録したときに記録される。外部のセキュリティ製品がファイアウォール機能を引き継ぐ動作を捉える。

概要

サブカテゴリは Audit Other System Events。ウイルス対策/ファイアウォール製品等が、Windows ファイアウォールに対して特定のフィルタリング制御を登録すると生成される。サードパーティ製品が一部の通信フィルタを担うことを示す。

発生契機・方法

• サードパーティのセキュリティ製品が、自身でフィルタリングを制御するために Windows ファイアウォールへ登録したとき。

セキュリティ上の確認事項

• 通常はインストール済みのセキュリティ製品による正規動作。登録した製品が想定どおり（正規のセキュリティ製品）かを確認する。
• 想定外の製品がファイアウォール制御を登録していれば、防御の挙動を乗っ取ろうとする動きの可能性を考える。製品登録の失敗 6408 と併せて見る。

ログレビュー時の注意観点

• セキュリティ製品の導入時に正規に発生する。登録製品が既知の正規製品かを確認する程度でよいことが多い。

主なフィールド

参考

• Microsoft Learn: 6406(-) %1 registered to Windows Firewall to control filtering for the following %2.