4739 ドメインポリシーの変更
ローカルコンピュータのセキュリティポリシー(アカウントロックアウトポリシーやパスワードポリシー)が変更されたときに記録される。認証の堅牢性に直結する設定変更を捉える。
概要
サブカテゴリは Audit Authentication Policy Change。次のいずれかが変更されると生成される。
- アカウントロックアウトポリシー(しきい値、ロックアウト期間など)
- パスワードポリシー(最小文字数、複雑性、最大有効期間、履歴など)
発生契機・方法
- グループポリシーやローカルセキュリティポリシーによるアカウント/パスワードポリシーの変更。
セキュリティ上の確認事項
- パスワードポリシーの弱体化(最小文字数の引き下げ、複雑性の無効化など)は、ブルートフォース 4625 の成功率を上げる。攻撃者が侵害後にポリシーを緩める場合があるため要注意。
- ロックアウトしきい値の引き上げ・無効化は、総当たりを検知/阻止しにくくする。ロックアウト 4740 と併せ、認証防御の状態を監視する。
ログレビュー時の注意観点
- まれな変更。計画外であれば必ず調査する高優先イベント。
- 変更されたポリシー項目と方向(強化/弱体化)を確認し、弱体化方向の変更を重点的に見る。
主なフィールド
| フィールド | 意味 |
|---|---|
| 変更されたポリシー設定 | パスワード/ロックアウトポリシーの各値 |
Subject\Account Name | 変更を行った主体 |