4742 コンピュータアカウントの変更
コンピュータオブジェクト(マシンアカウント)の属性が変更されたときに記録される。委任設定の変更など、権限昇格に悪用される属性改変を捉える重要イベント。
概要
サブカテゴリは Audit Computer Account Management。コンピュータオブジェクトが変更されるたびに生成され、ドメインコントローラ上でのみ記録される。ドメイン参加後の再起動時などには、Subject と「変更されたコンピュータアカウント」の SID が一致することがある(自分自身の更新)。
発生契機・方法
- マシンアカウントの属性変更(委任設定、
servicePrincipalName、userAccountControlフラグ、DNS 名など)。 - ドメイン参加直後の自動更新でも発生する。
セキュリティ上の確認事項
- 委任関連の属性変更が最重要。
msDS-AllowedToActOnBehalfOfOtherIdentity(リソースベース制約付き委任 RBCD の設定)が書き換えられると、攻撃者は他アカウントになりすませる。マシンアカウント作成 4741 → 4742 で委任を設定、という流れは RBCD 悪用の典型。 TRUSTED_FOR_DELEGATION(無制約委任)の有効化や、想定外のservicePrincipalName追加(ターゲット型 Kerberoasting の準備)にも注目する。- 変更主体が、そのマシンを管理する権限を本来持たない場合は強く疑う。
ログレビュー時の注意観点
- ドメイン参加や正規の構成変更でも頻繁に出る。変更された属性の種類に注目し、委任・SPN・UAC フラグの変更に絞ってアラートにする。
- 自己更新(Subject = 対象)はノイズになりやすい。これを除外し、他者による委任設定変更を浮かび上がらせる。
主なフィールド
| フィールド | 意味 |
|---|---|
Computer Account That Was Changed | 変更されたマシンアカウント |
AllowedToDelegateTo / 委任関連属性 | 委任設定の変更内容 |
Subject\Account Name | 変更を行った主体 |
用語メモ
- RBCD (リソースベース制約付き委任) — あるアカウントが別アカウントになりすましてサービスにアクセスできる委任設定。悪用されると権限昇格に使われる。