4707 ドメインへの信頼の削除

ドメインへの信頼関係が削除されたときに記録される。作成 4706 と対で、信頼構成の変遷を追う重要イベント。

概要

サブカテゴリは Audit Authentication Policy Change。ドメインコントローラ上でのみ生成される。既存のドメイン信頼が削除されると記録される。

発生契機・方法

管理者やツールによるドメイン/フォレスト信頼の削除。
ドメインコントローラで発生する。

セキュリティ上の確認事項

信頼の削除は重大な構成変更。計画外の削除は、認証経路や相互運用に影響するため必ず調査する。
攻撃者が痕跡隠しや構成改変の一環として信頼を整理する場合もある。作成 4706・改変 4716 と併せ、いつ・誰が・どの信頼を操作したかを通して見る。

ログレビュー時の注意観点

本来まれな操作。1 件でも計画された変更かを確認する高優先イベント。
削除された信頼先・実施主体を記録し、変更管理の記録と突き合わせる。

主なフィールド

フィールド	意味
`Domain Name`	削除された信頼先ドメイン
`Subject\Account Name`	削除を行ったアカウント

参考

Microsoft Learn: 4707(S) A trust to a domain was removed.