4722 ユーザーアカウントの有効化
無効だったユーザーアカウントが有効化されたときに記録される。休眠・退職者アカウントの再有効化を捉え、不正利用の足場づくりを検知する。
概要
サブカテゴリは Audit User Account Management。アカウントが有効状態に切り替えられると生成される。新規作成 4720 の直後や、無効化されていたアカウントの再利用時に出る。
発生契機・方法
net user /active:yes、AD でのアカウント有効化、Enable-ADAccountなどによる有効化。
セキュリティ上の確認事項
- 退職者・休眠・本来使われないアカウントの有効化は、不正利用や持ち主のいないアカウントの乗っ取りを疑う。とくに管理者級アカウントの再有効化は要注目。
- 攻撃者が、検知を避けるため無効にしておいたアカウントを攻撃時に有効化する場合がある。作成 4720・無効化 4725 と併せ、アカウントの状態変化を追う。
ログレビュー時の注意観点
- 正規の運用(復職、一時停止からの復帰)でも出る。対象アカウントの素性(休眠期間、最終ログオン)と照合する。
- 高権限アカウント・サービスアカウントの有効化は高優先で監視する。
主なフィールド
| フィールド | 意味 |
|---|---|
Target Account\Account Name | 有効化されたアカウント |
Subject\Account Name | 操作を行った主体 |