4706(S) ドメインに新しい信頼が作成されました。
4706(S): ドメインに新しい信頼が作成されました。
サブカテゴリ: 認証ポリシー変更の監査
イベントの説明:
このイベントは、ドメインに新しい信頼が作成されたときに生成されます。
このイベントはドメインコントローラーでのみ生成されます。
注 推奨事項については、このイベントのセキュリティ監視の推奨事項を参照してください。
イベント XML:
- <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
- <System>
<Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" />
<EventID>4706</EventID>
<Version>0</Version>
<Level>0</Level>
<Task>13569</Task>
<Opcode>0</Opcode>
<Keywords>0x8020000000000000</Keywords>
<TimeCreated SystemTime="2015-10-01T20:41:13.189445500Z" />
<EventRecordID>1049759</EventRecordID>
<Correlation />
<Execution ProcessID="500" ThreadID="4900" />
<Channel>Security</Channel>
<Computer>DC01.contoso.local</Computer>
<Security />
</System>
- <EventData>
<Data Name="DomainName">corp.contoso.local</Data>
<Data Name="DomainSid">S-1-5-21-2226861337-2836268956-2433141405</Data>
<Data Name="SubjectUserSid">S-1-5-21-3457937927-2839227994-823803824-1104</Data>
<Data Name="SubjectUserName">dadmin</Data>
<Data Name="SubjectDomainName">CONTOSO</Data>
<Data Name="SubjectLogonId">0x3e99d6</Data>
<Data Name="TdoType">2</Data>
<Data Name="TdoDirection">3</Data>
<Data Name="TdoAttributes">32</Data>
<Data Name="SidFilteringEnabled">%%1796</Data>
</EventData>
</Event>
必要なサーバー役割: Active Directory ドメインコントローラー。
最小 OS バージョン: Windows Server 2008。
イベントバージョン: 0。
フィールドの説明:
サブジェクト:
- セキュリティ ID [タイプ = SID]: 「ドメイン信頼の作成」操作を要求したアカウントのSID。イベントビューアーは自動的にSIDを解決し、アカウント名を表示しようとします。SIDが解決できない場合、イベントにはソースデータが表示されます。
注 セキュリティ識別子 (SID) は、トラスティ (セキュリティプリンシパル) を識別するために使用される可変長の一意の値です。各アカウントには、Active Directory ドメインコントローラーなどの権限によって発行され、セキュリティデータベースに保存される一意のSIDがあります。ユーザーがログオンするたびに、システムはデータベースからそのユーザーのSIDを取得し、そのユーザーのアクセストークンに配置します。システムはアクセストークン内のSIDを使用して、以降のすべてのWindowsセキュリティとのやり取りでユーザーを識別します。SIDがユーザーまたはグループの一意の識別子として使用された場合、それは他のユーザーまたはグループを識別するために再利用されることはありません。SIDの詳細については、セキュリティ識別子を参照してください。
アカウント名 [タイプ = UnicodeString]: 「ドメイン信頼の作成」操作を要求したアカウントの名前。
アカウントドメイン [タイプ = UnicodeString]: サブジェクトのドメインまたはコンピュータ名。形式は以下のように異なります:
ドメインのNETBIOS名の例:CONTOSO
小文字の完全なドメイン名:contoso.local
大文字の完全なドメイン名:CONTOSO.LOCAL
LOCAL SERVICEやANONYMOUS LOGONなどのよく知られたセキュリティプリンシパルの場合、このフィールドの値は「NT AUTHORITY」となります。
ローカルユーザーアカウントの場合、このフィールドにはこのアカウントが属するコンピュータまたはデバイスの名前が含まれます。例:「Win81」。
ログオンID [タイプ = HexInt64]: 16進数の値で、最近のイベントと同じログオンIDを含む可能性のあるこのイベントを関連付けるのに役立ちます。例:「4624: アカウントが正常にログオンされました。」
信頼されたドメイン:
ドメイン名 [タイプ = UnicodeString]: 新しい信頼されたドメインの名前。
ドメインID [タイプ = SID]: 新しい信頼されたドメインのSID。イベントビューアーは自動的にSIDを解決し、アカウント名を表示しようとします。SIDが解決できない場合、イベントにソースデータが表示されます。
信頼情報:
- 信頼タイプ [タイプ = UInt32]: 新しい信頼のタイプ。以下の表には、このフィールドの可能な値が含まれています:
| 値 | 属性値 | 説明 |
|---|---|---|
| 1 | TRUST_TYPE_DOWNLEVEL | 信頼されたドメインのドメインコントローラーは、Windows 2000以前のオペレーティングシステムを実行しているコンピュータです。 |
| 2 | TRUST_TYPE_UPLEVEL | 信頼されたドメインのドメインコントローラーは、Windows 2000以降を実行しているコンピュータです。 |
| 3 | TRUST_TYPE_MIT | 信頼されたドメインは、非WindowsのRFC4120準拠のKerberosディストリビューションを実行しています。このタイプの信頼は、(1) SIDがTDOに必要ないこと、(2) デフォルトのキータイプにはDES-CBCおよびDES-CRC暗号化タイプが含まれること(RFC4120セクション8.1を参照)によって区別されます。 |
| 4 | TRUST_TYPE_DCE | 信頼されたドメインはDCE領域です。歴史的な参照であり、この値はWindowsでは使用されていません。 |
- 信頼の方向 [Type = UInt32]: 新しい信頼の方向。以下の表にこのフィールドの可能な値が含まれています:
| 値 | 属性値 | 説明 |
|---|---|---|
| 0 | TRUST_DIRECTION_DISABLED | 信頼関係は存在するが、無効化されています。 |
| 1 | TRUST_DIRECTION_INBOUND | 信頼されたドメインは、名前の検索や認証などの操作を実行するためにプライマリドメインを信頼します。 |
| 2 | TRUST_DIRECTION_OUTBOUND | プライマリドメインは、名前の検索や認証などの操作を実行するために信頼されたドメインを信頼します。 |
| 3 | TRUST_DIRECTION_BIDIRECTIONAL | 両方のドメインが名前の検索や認証などの操作を相互に信頼します。 |
- 信頼属性 [Type = UInt32]: 新しい信頼の属性の10進値。10進値を16進値に変換し、以下の表で確認してください。以下の表にこのフィールドの可能な値が含まれています:
| 値 | 属性値 | 説明 |
|---|---|---|
| 0x1 | TRUST_ATTRIBUTE_NON_TRANSITIVE | このビットが設定されている場合、信頼は推移的に使用できません。例えば、ドメインAがドメインBを信頼し、BがドメインCを信頼している場合、A<–>Bの信頼にこの属性が設定されていると、ドメインAのクライアントはA<–>B<–>Cの信頼リンクを介してドメインCのサーバーに認証できません。 |
| 0x2 | TRUST_ATTRIBUTE_UPLEVEL_ONLY | このビットが属性に設定されている場合、Windows 2000以降のクライアントのみが信頼リンクを使用できます。Netlogonは、このフラグが設定された信頼オブジェクトを消費しません。 |
| 0x4 | TRUST_ATTRIBUTE_QUARANTINED_DOMAIN | このビットが設定されている場合、信頼されたドメインは隔離され、SIDフィルタリングのルールに従います。詳細は[MS-PAC]セクション4.1.2.2を参照してください。 |
| 0x8 | TRUST_ATTRIBUTE_FOREST_TRANSITIVE | このビットが設定されている場合、信頼リンクは2つのフォレストのルートドメイン間のクロスフォレスト信頼です。両方のフォレストはDS_BEHAVIOR_WIN2003以上のフォレスト機能レベルで動作しています。Windows Server 2003、Windows Server 2008、Windows Server 2008 R2、Windows Server 2012、Windows Server 2012 R2、およびWindows Server 2016でのみ評価されます。フォレストおよび信頼されたフォレストがDS_BEHAVIOR_WIN2003以上のフォレスト機能レベルで動作している場合にのみ設定できます。 |
| 0x10 | TRUST_ATTRIBUTE_CROSS_ORGANIZATION | このビットが設定されている場合、信頼は組織の一部ではないドメインまたはフォレストに対するものです。このビットによって制御される動作は、[MS-KILE]セクション3.3.5.7.5および[MS-APDS]セクション3.1.5で説明されています。Windows Server 2003、Windows Server 2008、Windows Server 2008 R2、Windows Server 2012、Windows Server 2012 R2、およびWindows Server 2016でのみ評価されます。フォレストおよび信頼されたフォレストがDS_BEHAVIOR_WIN2003以上のフォレスト機能レベルで動作している場合にのみ設定できます。 |
| 0x20 | TRUST_ATTRIBUTE_WITHIN_FOREST | このビットが設定されている場合、信頼されたドメインは同じフォレスト内にあります。Windows Server 2003、Windows Server 2008、Windows Server 2008 R2、Windows Server 2012、Windows Server 2012 R2、およびWindows Server 2016でのみ評価されます。 |
| 0x40 | TRUST_ATTRIBUTE_TREAT_AS_EXTERNAL | このビットが設定されている場合、ドメインへのクロスフォレスト信頼はSIDフィルタリングの目的で外部信頼として扱われます。クロスフォレスト信頼は外部信頼よりも厳密にフィルタリングされます。この属性は、クロスフォレスト信頼を外部信頼と同等に緩和します。各信頼タイプがどのようにフィルタリングされるかの詳細は、[MS-PAC]セクション4.1.2.2を参照してください。Windows Server 2003、Windows Server 2008、Windows Server 2008 R2、Windows Server 2012、Windows Server 2012 R2、およびWindows Server 2016でのみ評価されます。SIDフィルタリングが使用されている場合にのみ評価されます。TRUST_ATTRIBUTE_FOREST_TRANSITIVEを持つクロスフォレスト信頼にのみ評価されます。フォレストおよび信頼されたフォレストがDS_BEHAVIOR_WIN2003以上のフォレスト機能レベルで動作している場合にのみ設定できます。 |
| 0x80 | TRUST_ATTRIBUTE_USES_RC4_ENCRYPTION | このビットは、RC4キーを使用できるTRUST_TYPE_MITに設定された信頼に設定されます。歴史的に、MIT KerberosディストリビューションはDESおよび3DESキーのみをサポートしていました([RFC4120]、[RFC3961])。MIT 1.4.1は、Windows 2000で一般的なRC4HMAC暗号化タイプを採用しました([MS-KILE])、したがって、MITディストリビューションの後のバージョンを展開する信頼されたドメインにはこのビットが必要でした。詳細は「キーと信頼」、セクション6.1.6.9.1を参照してください。TRUST_TYPE_MITでのみ評価されます。 |
| 0x200 | TRUST_ATTRIBUTE_CROSS_ORGANIZATION_NO_TGT_DELEGATION | このビットが設定されている場合、この信頼の下で発行されたチケットは委任のために信頼されてはなりません。このビットによって制御される動作は、[MS-KILE]セクション3.3.5.7.5に指定されています。Windows Server 2012、Windows Server 2012 R2、およびWindows Server 2016でのみサポートされています。 |
| 0x400 | TRUST_ATTRIBUTE_PIM_TRUST | このビットとTATEビットが設定されている場合、ドメインへのクロスフォレスト信頼はSIDフィルタリングの目的で特権ID管理信頼として扱われます。各信頼タイプがどのようにフィルタリングされるかの詳細は、[MS-PAC]セクション4.1.2.2を参照してください。Windows Server 2016でのみ評価されます。SIDフィルタリングが使用されている場合にのみ評価されます。TRUST_ATTRIBUTE_FOREST_TRANSITIVEを持つクロスフォレスト信頼にのみ評価されます。フォレストおよび信頼されたフォレストがDS_BEHAVIOR_WINTHRESHOLD以上のフォレスト機能レベルで動作している場合にのみ設定できます。 |
SID フィルタリング [Type = UnicodeString]: 新しい信頼のための SID フィルタリング の状態:
有効
無効
セキュリティ監視の推奨事項
4706(S): ドメインへの新しい信頼が作成されました。
- Active Directory ドメイン信頼に関連する変更(特に新しい信頼の作成)はすべて監視され、アラートがトリガーされるべきです。この変更が計画されていない場合は、変更の理由を調査してください。