コンテンツにスキップ

4741 コンピュータアカウントの作成

新しいコンピュータオブジェクト(マシンアカウント)が作成されたときに記録される。ドメイン参加の正規動作のほか、一部の権限昇格攻撃の足場にもなる。

概要

サブカテゴリは Audit Computer Account Management。新しいコンピュータオブジェクトが作成されると生成され、ドメインコントローラ上でのみ記録される。作成主体・コンピュータ名・主要属性が含まれる。

発生契機・方法

  • マシンのドメイン参加、New-ADComputerdjoin などによるコンピュータアカウント作成。
  • 既定では一般ユーザーも MachineAccountQuota(既定 10 台)の範囲でマシンアカウントを作成できる。

セキュリティ上の確認事項

  • 一般ユーザーによるマシンアカウント作成が悪用される攻撃がある。代表例が noPac / sAMAccountName スプーフィングで、攻撃者が作ったマシンアカウントの sAMAccountName を DC 名に偽装して権限昇格を狙う。想定外の作成主体(管理者でないユーザー)による 4741 は要注意。
  • リソースベース制約付き委任 (RBCD) を悪用する攻撃でも、攻撃者制御のマシンアカウント作成が前段になる。直後のアカウント変更 4742(委任属性等の設定)と併せて追う。

ログレビュー時の注意観点

  • 正規のドメイン参加で日常的に発生する。作成主体が管理者/プロビジョニングシステムか、一般ユーザーかで重み付けする。一般ユーザーによる作成を重点監視する。
  • MachineAccountQuota を 0 にする運用なら、一般ユーザーによる 4741 はほぼ無くなり、検知が明確になる。

主なフィールド

フィールド意味
New Computer Account\Account Name作成されたコンピュータアカウント
Subject\Account Name作成を行った主体(管理者以外なら要注意)

用語メモ

  • MachineAccountQuota — 一般ユーザーが作成できるマシンアカウント数の上限(既定 10)。noPac 等の攻撃の前提になる。

参考