4867 信頼フォレスト情報エントリの変更

フォレスト信頼情報のエントリが変更されたときに記録される。追加 4865・削除 4866 と並ぶ、フォレスト信頼の受け入れ範囲の変更イベント。

概要

サブカテゴリは Audit Authentication Policy Change。既存のフォレスト信頼情報エントリ（名前空間/ドメインの受け入れ設定）が変更されると生成される。

発生契機・方法

フォレスト信頼の名前空間エントリの属性変更（受け入れ可否の切り替えなど）。

セキュリティ上の確認事項

エントリの変更で、本来除外していた名前空間を受け入れるようにする、といった範囲拡大が起きないか確認する。攻撃者が信頼設定を改変して認証経路を広げる可能性に注意する。
追加 4865・削除 4866・名前空間衝突 4864 と併せて、信頼構成全体の変更を追う。

ログレビュー時の注意観点

フォレスト信頼環境でのみ意味を持つ。まれな変更で、計画外なら調査対象。
変更前後の受け入れ設定と実施主体を確認する。

主なフィールド

フィールド	意味
変更された名前空間/ドメイン	設定が変わったエントリ
`Subject\Account Name`	変更を行った主体

参考

Microsoft Learn: 4867(S) A trusted forest information entry was modified.