4713 Kerberos ポリシーの変更
Kerberos のポリシー(チケットの有効期限など)が変更されたときに記録される。認証基盤の根幹に関わる変更で、攻撃者による永続化や弱体化に悪用されうる。
概要
サブカテゴリは Audit Authentication Policy Change。ドメインコントローラ上でのみ生成される。Kerberos(Windows の標準認証方式)のポリシー(チケットの最大有効期間、更新可能期間、時刻同期の許容差など)が変更されると記録される。
発生契機・方法
- ドメインのグループポリシーで Kerberos ポリシーが変更されたとき。
- ドメインコントローラで発生する。
セキュリティ上の確認事項
- チケットの有効期限を極端に延ばす変更は、
ゴールデンチケット(KRBTGT のハッシュを使って偽造する万能チケット)などの長期的な不正アクセスを助長しうる。計画外の Kerberos ポリシー変更は必ず調査する。 - 時刻同期の許容差を緩める変更は、リプレイ攻撃 4649 や時刻ずらしの検知を弱める可能性がある。
ログレビュー時の注意観点
- 本来まれな変更。1 件でも計画された変更かを確認する高優先イベント。
- 変更されたポリシー項目と値(前後)を確認し、セキュリティ基準(短めのチケット寿命など)から逸脱していないかを見る。
主なフィールド
| フィールド | 意味 |
|---|---|
| 変更された Kerberos ポリシー設定 | チケット寿命・更新期間・時刻許容差など |
Subject\Account Name | 変更を行ったアカウント |
用語メモ
- ゴールデンチケット — ドメインの KRBTGT アカウントのハッシュを盗み、任意ユーザー・任意権限の Kerberos チケットを偽造する攻撃。長寿命チケットと相性が悪い。