4866 信頼フォレスト情報エントリの削除

フォレスト信頼情報のエントリが削除されたときに記録される。追加 4865 と対で、フォレスト信頼の受け入れ範囲の変遷を追う。

概要

サブカテゴリは Audit Authentication Policy Change。フォレスト信頼から名前空間/ドメインのエントリが削除されると生成される。

発生契機・方法

フォレスト信頼の設定で、受け入れる名前空間エントリが削除されたとき。

セキュリティ上の確認事項

受け入れ範囲の削除は、相互運用に影響する構成変更。正規の整理か、攻撃者による構成改変かを確認する。
信頼の追加 4865・変更 4867 と併せ、フォレスト信頼の設定履歴を読む。

ログレビュー時の注意観点

フォレスト信頼環境でのみ意味を持つ。まれな変更。
削除されたエントリと実施主体を記録し、変更管理と照合する。

主なフィールド

フィールド	意味
削除された名前空間/ドメイン	受け入れ対象から外された範囲
`Subject\Account Name`	変更を行った主体

参考

Microsoft Learn: 4866(S) A trusted forest information entry was removed.