Microsoft Windows security auditingに関する失敗の監査、これは無視してよいか

ほげ ほげ 10 評価のポイント
2024-08-13T06:04:02.0233333+00:00

2024年7月のWindowsUpdate以降しばらくしたら、PC起動時に毎回、以下のような失敗の監査が1回記録されるようになりました。
内容が「暗号化操作」とだけなので原因がよくわかりません。
起動時ですので、過去のMicrosoftコミュニティの同一質問にあるように、ブラウザの問題ではないようです。

念のため、CドライブのパーティションをWindowsUpdate以前のものにリカバリしましたが、失敗の監査の発生は消えませんでした。なお、ファイル共有やウェブ閲覧などは問題ありません。sfc /scannowも問題ありませんでした。セキュリティソフトの再インストールも行いましたが効果なしです。BitLockerはWin10 Homeなので元から使えません。

この1件の失敗の監査は、放置しても問題ないものでしょうか?OSの再インストールは避けたいのです。
マルウェアの疑いはありますか?
システムやソフトウェア、ファイル共有・ネット接続など動作に問題はありません。
また本機では、モバイル機器やカードリーダーと接続することもありません。

イベント5061 Microsoft Windows security auditing.
タスクカテゴリ:System Integrity
セキュリティ ID:SYSTEM
SubjectUserSid:S-1-5-18
ログオンID:0x3e7

暗号化パラメーター:
プロバイダー名: Microsoft Software Key Storage Provider
アルゴリズム名: RSA
キー名: 143696ba-0b98-01d1-eecc-6e833c9aa5c0
キーの種類: ユーザー キー。

暗号化操作:
操作: キーを開きます。
リターン コード: 0xC000000D

また、
certutil -store -user my
を実行しましたが、以下の2行が出力されただけで、個人の証明書はありませんでした。

my "個人"
CertUtil: -store コマンドは正常に完了しました。

また、直前に、同一タスクカテゴリ・同一SubjectLogonId・同一SubjectUserSid・同一KeyNameで成功の監査のイベントログが出ています。
以下のような順番です。

暗号化操作。キーを開きます。(成功の監査)0x0

暗号化操作。暗号化を解除します。(失敗の監査)0xC000000D

その後、同一SubjectLogonId・同一SubjectUserSid(KeyNameなし)で
資格情報マネージャーの資格情報が読み取られました。資格情報の読み取り(成功の監査)

資格情報マネージャーの資格情報が読み取られました。資格情報の列挙(成功の監査)
というログが2回続きます。

Windows 10
Windows 10
パーソナル コンピューターとタブレットで実行される Microsoft オペレーティング システム。
114 件の質問
{count} 件の投票

1 件の回答

並べ替え方法: 最も役に立つ
  1. Daisy Zhou 28,156 評価のポイント Microsoft ベンダー
    2024-08-13T10:22:51.29+00:00

    こんにちは

    Q&Aフォーラムに投稿していただきありがとうございます。

    この1つの失敗監査は無視しても安全ですか?

    A: 後で成功監査があるので、無視してもいいと思います。

    ただし、それでもキー名(143696ba-0b98-01d1-eecc-6e833c9aa5c0)を確認したい場合は、ケースを確認してください。以下のように確認できます。

    1.以下のパスでユーザーの秘密鍵を確認できます。

    C: Users ユーザー名 AppData ローミング Microsoft 暗号化 RSA

    例えば:

    C: Users Administrator2 AppData Roaming Microsoft Crypto RSA S-1-5-21-2051886910-1628492530-2711760023-500

    一部のユーザーはそのようなRSAを持っていません、あなたはこのマシンで別のユーザー名でサインインし、あなたのケースでキー名(143696ba-0b98-01d1-eecc-6e833c9aa5c0)を持つユーザーを確認できます。

    2.certmgr.mscまたはcertlm.mscを開いて、そのようなキー名(143696ba-0b98-01d1-eecc-6e833c9aa5c0)があるかどうかを確認することもできます。

    User's image

    1. CMD(管理者として実行)を開き、「certutil -store -user my」を再度実行して結果があるかどうかを確認できます(複数のユーザーアカウントがある場合)、異なるアカウントでサインインできます。

    上記の情報がお役に立てば幸いです。

    ご不明な点やご不明な点がございましたら、お気軽にお知らせください。

    よろしくお願いいたします

    デイジー・ジョウ

    ============================================

    回答が役に立った場合は、「回答を受け入れる」をクリックして賛成票を投じてください


お客様の回答

回答は、質問作成者が [承諾された回答] としてマークできます。これは、ユーザーが回答が作成者の問題を解決したことを知るのに役立ちます。