4794 DSRM 管理者パスワードの設定試行
ディレクトリサービス復元モード(DSRM)の管理者パスワードが変更されたときに記録される。DSRM アカウントは攻撃者の隠れバックドアに悪用されうるため、注目度が高い。
概要
サブカテゴリは Audit User Account Management。DSRM(Directory Services Restore Mode: ドメインコントローラを AD オフラインで起動して修復する特別なモード)の管理者パスワードが変更されると生成される。DSRM アカウントは DC のローカル管理者に相当し、AD とは別に存在する。
発生契機・方法
- DC で
ntdsutil等を使って DSRM 管理者パスワードを設定/変更したとき。
セキュリティ上の確認事項
- DSRM アカウントはドメイン外のローカル管理者として、DC への隠れたアクセス手段になりうる。攻撃者が DSRM パスワードを設定し、特定のレジストリ設定(
DsrmAdminLogonBehavior)と組み合わせて、ネットワーク越しに DSRM 資格情報でログオンする永続化手口がある。 - 想定外の主体・タイミングでの 4794 は、DC への永続化(バックドア)の試みを疑い、最優先で調査する。
ログレビュー時の注意観点
- 本来まれな操作(DC 構築時や運用上の定期変更程度)。計画外の DSRM パスワード変更は高優先でアラートにする。
- DC 上のレジストリ変更(
DsrmAdminLogonBehavior、4657)や DC へのログオンと併せて、DSRM 悪用の兆候を追う。
主なフィールド
| フィールド | 意味 |
|---|---|
Subject\Account Name | DSRM パスワードを変更した主体 |
Computer | 対象のドメインコントローラ |
用語メモ
- DSRM — DC を AD オフラインで起動・修復する特別モード。専用のローカル管理者アカウントを持ち、悪用すると DC のバックドアになる。