6423 システムポリシーによるデバイスインストールの禁止
システムポリシーにより、デバイスのインストールが禁止されたときに記録される。デバイス制御(USB 制限等)が働いた動作を捉える。
概要
サブカテゴリは Audit PNP Activity。デバイスインストール制限のグループポリシー等により、デバイスの導入がブロックされると生成される。許可されていないデバイスの接続試行を示す。
発生契機・方法
- USB ストレージ等のデバイス接続が、デバイスインストール制限ポリシーにより禁止されたとき。
セキュリティ上の確認事項
- 禁止デバイスの接続試行は、データ持ち出しや不正デバイス(BadUSB 等)の持ち込みを試みた兆候の可能性がある。ブロックされたデバイスの種別・識別子・ユーザーを確認する。
- 接続を試みたユーザー・端末・デバイス ID を確認し、繰り返しの試行や、禁止後に許可へ転じた 6424 と併せて追う。新規デバイス認識 6416 とも相関する。
ログレビュー時の注意観点
- デバイス制御を運用する環境で意味を持つ。禁止デバイスの接続試行は、ポリシーが正しく働いた記録であると同時に、持ち出し・持ち込みの意図を示す手がかり。
- 繰り返し禁止される接続や、特定ユーザーの試行に注目する。
主なフィールド
| フィールド | 意味 |
|---|---|
Device ID / Class | 禁止されたデバイス |
Subject\Account Name | 接続を試みたユーザー |