6420 デバイスの無効化

デバイスが無効化されたときに記録される。要求 6419 と対で、デバイス無効化の完了を捉える。

概要

サブカテゴリは Audit PNP Activity。デバイスが実際に無効化されると生成される。

発生契機・方法

デバイス無効化要求 6419 が処理され、デバイスが無効になったとき。

セキュリティ上の確認事項

セキュリティ関連デバイス（ネットワークアダプタ、TPM、EDR が使うデバイス等）の無効化は、防御の弱体化や隔離回避につながりうる。対象デバイスと主体を確認する。
要求 6419 と対で、何がいつ無効化されたかを追う。想定外の無効化に注目する。

ログレビュー時の注意観点

正規の運用でも発生する。対象デバイス・主体の正常パターンと照合する。
セキュリティ関連デバイスの無効化を高優先で確認する。

主なフィールド

フィールド	意味
`Device ID`	無効化されたデバイス
`Subject\Account Name`	操作を行った主体

参考

Microsoft Learn: 6420(S) A device was disabled.