none
”Windows フィルタ リング プラットフォーム フィルターが変更されました” RRS feed

  • 質問

  • お世話になります。

    数日前からWindows Server 2008R2のセキュリティログに”Windows フィルタ リング プラットフォーム フィルターが変更されました。”

    (イベントID:5447、PID:396、監査成功)が大量に出力されるようになりました。

    設定変更等を行った覚えもなく困惑しています。

    どのように原因を調査したらよいか、また、このままではディスク容量も逼迫するため、ログ出力の停止方法をご教示願います。
    2017年6月7日 7:48

回答

  • 設定変更の覚えがないのであれば、グループポリシーなどで変更されたのかもしれませんね。

    対策ですが、

    監査ポリシーの「ポリシー変更の監査」を変更するか、監査ポリシーの詳細な構成を使用しているのであれば「[ポリシーの変更] - [その他のポリシー変更イベントの監査] 」の設定を変更します。

    詳細な構成を使用する場合は「[ローカルポリシー]-[セキュリティオプション]-[監査:監査ポリシーサブカテゴリの設定を強制して監査ポリシー載せていカテゴリの設定を上書きする]」の設定も必要です。またローカルポリシーのほうの監査ポリシーとの併用は非推奨です。

    詳細なセキュリティ監査ポリシーの計画と展開
    https://technet.microsoft.com/ja-jp/library/mt431895(v=vs.85).aspx

    もしグループポリシーによるものだった場合、これらの管理者にご確認ください。

    ■ 追伸
    もし「ポリシー変更をしたのがだれか」ということであれば、イベントログの詳細を確認してみてはどうでしょうか。UserNameとProcessIDとか、それっぽいです。

    https://docs.microsoft.com/en-us/windows/device-security/auditing/event-5447

    2017年6月7日 7:57

すべての返信

  • 設定変更の覚えがないのであれば、グループポリシーなどで変更されたのかもしれませんね。

    対策ですが、

    監査ポリシーの「ポリシー変更の監査」を変更するか、監査ポリシーの詳細な構成を使用しているのであれば「[ポリシーの変更] - [その他のポリシー変更イベントの監査] 」の設定を変更します。

    詳細な構成を使用する場合は「[ローカルポリシー]-[セキュリティオプション]-[監査:監査ポリシーサブカテゴリの設定を強制して監査ポリシー載せていカテゴリの設定を上書きする]」の設定も必要です。またローカルポリシーのほうの監査ポリシーとの併用は非推奨です。

    詳細なセキュリティ監査ポリシーの計画と展開
    https://technet.microsoft.com/ja-jp/library/mt431895(v=vs.85).aspx

    もしグループポリシーによるものだった場合、これらの管理者にご確認ください。

    ■ 追伸
    もし「ポリシー変更をしたのがだれか」ということであれば、イベントログの詳細を確認してみてはどうでしょうか。UserNameとProcessIDとか、それっぽいです。

    https://docs.microsoft.com/en-us/windows/device-security/auditing/event-5447

    2017年6月7日 7:57
  • 返信ありがとうございます。

    確認してみます。

    2017年6月8日 0:34