4716 信頼されたドメイン情報の変更
既存のドメイン信頼の情報が変更されたときに記録される。SID フィルタリングの無効化など、信頼設定の改変は攻撃経路の拡大につながりうる重要イベント。
概要
サブカテゴリは Audit Authentication Policy Change。ドメインコントローラ上でのみ生成される。既存の信頼関係の属性(方向、種類、SID フィルタリング、暗号化方式など)が変更されると記録される。
発生契機・方法
- 既存のドメイン/フォレスト信頼の設定変更。
- ドメインコントローラで発生する。
セキュリティ上の確認事項
- とくに SID フィルタリングの無効化は要警戒。フィルタリングが切られると、信頼元から
SID Historyを悪用して特権 SID を持ち込む信頼越えの権限昇格が可能になる。 - 信頼の方向を双方向に変える、認証範囲を広げるなどの変更も、攻撃経路の拡大につながる。作成 4706・削除 4707 と併せ、信頼の状態変化を通して追う。
ログレビュー時の注意観点
- まれな変更。計画外であれば必ず調査する高優先イベント。
- 変更前後の SID フィルタリング状態・信頼方向を記録し、セキュリティ要件からの逸脱(特にフィルタリング無効化)を検知する。
主なフィールド
| フィールド | 意味 |
|---|---|
Domain Name | 対象の信頼先ドメイン |
SID Filtering | SID フィルタリングの有効/無効 |
Trust Direction / Trust Type | 変更後の信頼の方向と種類 |
Subject\Account Name | 変更を行ったアカウント |