4738 ユーザーアカウントの変更
ユーザーオブジェクトの属性が変更されたときに記録される。アカウント制御フラグ(UAC)の変更など、悪用につながる設定変更を捉える。
概要
サブカテゴリは Audit User Account Management。ユーザーオブジェクトが変更されるたびに生成され、ドメインコントローラ・メンバーサーバー・ワークステーションのいずれでも記録される。変更後の主要属性と User Account Control フラグの状態が含まれる。
発生契機・方法
セキュリティ上の確認事項
User Account Controlフラグの危険な変更に注目する。例:「パスワードを必要としない (PASSWD_NOTREQD)」「パスワードを無期限にする (DONT_EXPIRE_PASSWORD)」「委任に対して信頼する (TRUSTED_FOR_DELEGATION)」などは、認証回避や委任悪用につながりうる。- 「事前認証を必要としない (DONT_REQUIRE_PREAUTH)」への変更は、AS-REP ロースティング(事前認証なしアカウントの応答を取得しオフラインでパスワード解析する攻撃)の足場になる。
ログレビュー時の注意観点
- 属性変更は正規運用でも頻繁。変更された属性の種類(とくに UAC フラグ)に注目し、危険なフラグの有効化に絞ってアラートにする。
- 変更前後の値が分かるとよいが、4738 は変更後の状態が中心。直前の状態は他の記録やディレクトリ監査と突き合わせる。
主なフィールド
| フィールド | 意味 |
|---|---|
Target Account\Account Name | 変更されたアカウント |
User Account Control | アカウント制御フラグの変更内容 |
Subject\Account Name | 変更を行った主体 |
用語メモ
- UAC フラグ (userAccountControl) — アカウントの性質(無効、パスワード無期限、委任信頼など)を表すビット集合。危険な組み合わせは攻撃に悪用される。