ItemBox

4742(S) コンピューターアカウントが変更されました。

4742(S): コンピューターアカウントが変更されました。

:::image type=“content” source=“images/event-4742.png” alt-text=“Event 4742 illustration”:::

サブカテゴリ: コンピューターアカウント管理の監査

イベントの説明:

このイベントは、コンピューターオブジェクトが変更されるたびに生成されます。

このイベントはドメインコントローラーでのみ生成されます。

このイベントでは、Subject\Security IDComputer Account That Was Changed\Security ID の値が同じになることがあります。これは通常、コンピューターをドメインに追加した後に再起動したときに発生します(変更は再起動後に有効になります)。

変更ごとに、別々の4742イベントが生成されます。

一部の変更では4742イベントが発生しないことがあります。例えば、Active Directoryユーザーとコンピューター管理コンソールのコンピューターアカウントプロパティの Managed By タブで行われた変更などです。

変更がない状態でこのイベントが表示されることがあります。つまり、すべての Changed Attributes- と表示される場合です。これは、イベントにリストされていない属性が変更された場合に通常発生します。この場合、どの属性が変更されたかを特定する方法はありません。例えば、Active Directoryユーザーとコンピューター管理コンソールを使用してグループオブジェクトの Description を変更した場合に発生します。また、任意アクセス制御リスト (DACL) が変更された場合、4742イベントが生成されますが、すべての属性は - になります。

[!IMPORTANT]

  • ユーザー関連の設定や属性を手動で変更した場合、例えばコンピューターアカウントの userAccountControl に SMARTCARD_REQUIRED フラグを設定した場合、コンピューターアカウントの sAMAccountType が NORMAL_USER_ACCOUNT に変更され、4742の代わりに「4738: ユーザーアカウントが変更されました」が生成されます。実質的に、コンピューターアカウントはユーザーアカウントに「変わります」。NORMAL_USER_ACCOUNT については、常に ユーザーアカウント管理の監査 サブカテゴリからイベントが生成されます。コンピューターオブジェクトに対してユーザー関連の設定を手動で変更することは強くお勧めしません。

  • 推奨事項については、このイベントの セキュリティ監視の推奨事項 を参照してください。

イベント XML:

- <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
- <System>
 <Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" /> 
 <EventID>4742</EventID> 
 <Version>0</Version> 
 <Level>0</Level> 
 <Task>13825</Task> 
 <Opcode>0</Opcode> 
 <Keywords>0x8020000000000000</Keywords> 
 <TimeCreated SystemTime="2015-08-14T02:35:01.252397000Z" /> 
 <EventRecordID>171754</EventRecordID> 
 <Correlation /> 
 <Execution ProcessID="520" ThreadID="1108" /> 
 <Channel>Security</Channel> 
 <Computer>DC01.contoso.local</Computer> 
 <Security /> 
 </System>
- <EventData>
 <Data Name="ComputerAccountChange">-</Data> 
 <Data Name="TargetUserName">WIN81$</Data> 
 <Data Name="TargetDomainName">CONTOSO</Data> 
 <Data Name="TargetSid">S-1-5-21-3457937927-2839227994-823803824-6116</Data> 
 <Data Name="SubjectUserSid">S-1-5-21-3457937927-2839227994-823803824-1104</Data> 
 <Data Name="SubjectUserName">dadmin</Data> 
 <Data Name="SubjectDomainName">CONTOSO</Data> 
 <Data Name="SubjectLogonId">0x2e80c</Data> 
 <Data Name="PrivilegeList">-</Data> 
 <Data Name="SamAccountName">-</Data> 
 <Data Name="DisplayName">-</Data> 
 <Data Name="UserPrincipalName">-</Data> 
 <Data Name="HomeDirectory">-</Data> 
 <Data Name="HomePath">-</Data> 
 <Data Name="ScriptPath">-</Data> 
 <Data Name="ProfilePath">-</Data> 
 <Data Name="UserWorkstations">-</Data> 
 <Data Name="PasswordLastSet">-</Data> 
 <Data Name="AccountExpires">-</Data> 
 <Data Name="PrimaryGroupId">-</Data> 
 <Data Name="AllowedToDelegateTo">%%1793</Data> 
 <Data Name="OldUacValue">0x80</Data> 
 <Data Name="NewUacValue">0x2080</Data> 
 <Data Name="UserAccountControl">%%2093</Data> 
 <Data Name="UserParameters">-</Data> 
 <Data Name="SidHistory">-</Data> 
 <Data Name="LogonHours">-</Data> 
 <Data Name="DnsHostName">-</Data> 
 <Data Name="ServicePrincipalNames">-</Data> 
 </EventData>
 </Event>

必要なサーバーの役割: Active Directory ドメイン コントローラー。

最小 OS バージョン: Windows Server 2008。

イベント バージョン: 0。

フィールドの説明:

サブジェクト:

  • セキュリティ ID [タイプ = SID]: 「コンピューター オブジェクトの変更」操作を要求したアカウントの SID。イベント ビューアーは自動的に SID を解決してアカウント名を表示しようとします。SID を解決できない場合、イベントにはソース データが表示されます。

[!NOTE] セキュリティ識別子 (SID) は、トラスティ (セキュリティ プリンシパル) を識別するために使用される可変長の一意の値です。各アカウントには、Active Directory ドメイン コントローラーなどの権限によって発行され、セキュリティ データベースに保存される一意の SID があります。ユーザーがログオンするたびに、システムはデータベースからそのユーザーの SID を取得し、そのユーザーのアクセストークンに配置します。システムは、アクセストークン内の SID を使用して、以降のすべての Windows セキュリティとのやり取りでユーザーを識別します。SID がユーザーまたはグループの一意の識別子として使用された場合、それは他のユーザーまたはグループを識別するために再利用されることはありません。SID の詳細については、セキュリティ識別子 を参照してください。

  • アカウント名 [タイプ = UnicodeString]: 「コンピューター オブジェクトの変更」操作を要求したアカウントの名前。

  • アカウント ドメイン [タイプ = UnicodeString]: サブジェクトのドメイン名。形式はさまざまで、次のようなものがあります:

    • ドメイン NETBIOS 名の例: CONTOSO

    • 小文字の完全なドメイン名: contoso.local

    • 大文字の完全なドメイン名: CONTOSO.LOCAL

    • LOCAL SERVICE や ANONYMOUS LOGON などの よく知られたセキュリティ プリンシパル の場合、このフィールドの値は「NT AUTHORITY」となります。

  • ログオン ID [タイプ = HexInt64]: 16 進数の値で、このイベントを最近のイベントと関連付けるのに役立ちます。たとえば、同じログオン ID を含む可能性のある「4624: アカウントが正常にログオンされました。」などです。

変更されたコンピュータアカウント:

  • セキュリティID [タイプ = SID]: 変更されたコンピュータアカウントのSID。イベントビューアーは自動的にSIDを解決し、アカウント名を表示しようとします。SIDが解決できない場合、イベントにはソースデータが表示されます。

  • アカウント名 [タイプ = UnicodeString]: 変更されたコンピュータアカウントの名前。例: WIN81$

  • アカウントドメイン [タイプ = UnicodeString]: 変更されたコンピュータアカウントのドメイン名。形式はさまざまで、以下のようなものがあります:

    • ドメインNETBIOS名の例: CONTOSO

    • 小文字の完全なドメイン名: contoso.local

    • 大文字の完全なドメイン名: CONTOSO.LOCAL

変更された属性:

[!NOTE] 属性が変更されていない場合、その値は - になります。

  • SAMアカウント名 [タイプ = UnicodeString]: 以前のバージョンのWindows(Windows 2000以前のログオン名)をサポートするために使用されるアカウントのログオン名。コンピュータオブジェクトのsAMAccountName属性の値が変更された場合、新しい値がここに表示されます。例: WIN8$。

  • 表示名 [タイプ = UnicodeString]: 特定のアカウント(通常はユーザーアカウント)のアドレス帳に表示される名前。通常はユーザーの名前、ミドルネームの頭文字、姓の組み合わせです。コンピュータオブジェクトの場合、これはオプションであり、通常は設定されていません。この属性はActive Directoryユーザーとコンピュータを使用して変更するか、スクリプトを使用して変更できます。コンピュータオブジェクトのdisplayName属性の値が変更された場合、新しい値がここに表示されます。

  • ユーザープリンシパル名 [タイプ = UnicodeString]: インターネット標準RFC 822に基づいたアカウントのインターネットスタイルのログイン名。慣例として、これはアカウントのメール名にマップされるべきです。コンピュータオブジェクトのuserPrincipalName属性の値が変更された場合、新しい値がここに表示されます。コンピュータオブジェクトの場合、これはオプションであり、通常は設定されていません。この属性はActive Directoryユーザーとコンピュータを使用して変更するか、スクリプトを使用して変更できます。

  • ホームディレクトリ [タイプ = UnicodeString]: ユーザーのホームディレクトリ。homeDrive 属性が設定されており、ドライブ文字を指定している場合、homeDirectory は UNC パスでなければなりません。パスは \\Server\Share\Directory の形式のネットワーク UNC でなければなりません。コンピュータオブジェクトの homeDirectory 属性の値が変更された場合、ここに新しい値が表示されます。コンピュータオブジェクトの場合、これはオプションであり、通常は設定されていません。この属性は Active Directory ユーザーとコンピュータを使用するか、スクリプトを通じて変更できます。

  • ホームドライブ [タイプ = UnicodeString]: homeDirectory アカウントの属性で指定された UNC パスにマップするドライブ文字を指定します。ドライブ文字は DRIVE\_LETTER: の形式で指定する必要があります。例えば – H:。コンピュータオブジェクトの homeDrive 属性の値が変更された場合、ここに新しい値が表示されます。コンピュータオブジェクトの場合、これはオプションであり、通常は設定されていません。この属性は Active Directory ユーザーとコンピュータを使用するか、スクリプトを通じて変更できます。

  • スクリプトパス [タイプ = UnicodeString]: アカウントのログオンスクリプトのパスを指定します。コンピュータオブジェクトの scriptPath 属性の値が変更された場合、ここに新しい値が表示されます。コンピュータオブジェクトの場合、これはオプションであり、通常は設定されていません。この属性は Active Directory ユーザーとコンピュータを使用するか、スクリプトを通じて変更できます。

  • プロファイルパス [タイプ = UnicodeString]: アカウントのプロファイルへのパスを指定します。この値は、null 文字列、ローカルの絶対パス、または UNC パスである可能性があります。コンピュータオブジェクトの profilePath 属性の値が変更された場合、ここに新しい値が表示されます。コンピュータオブジェクトの場合、これはオプションであり、通常は設定されていません。この属性は Active Directory ユーザーとコンピュータを使用するか、スクリプトを通じて変更できます。

  • ユーザーのワークステーション [タイプ = UnicodeString]: ユーザーがログオンできるコンピュータの NetBIOS または DNS 名のリストを含みます。各コンピュータ名はカンマで区切られています。コンピュータの名前はコンピュータオブジェクトの sAMAccountName プロパティです。コンピュータオブジェクトの userWorkstations 属性の値が変更された場合、ここに新しい値が表示されます。コンピュータオブジェクトの場合、これはオプションであり、通常は設定されていません。この属性は Active Directory ユーザーとコンピュータを使用するか、スクリプトを通じて変更できます。

  • パスワード最終設定 [タイプ = UnicodeString]: アカウントのパスワードが最後に変更された日時。コンピュータオブジェクトの pwdLastSet 属性の値が変更された場合、ここに新しい値が表示されます。例えば: 2015年8月12日 11:41:39 AM。この値は、手動でコンピュータアカウントをリセットした場合や、デフォルトで30日ごとに自動的に変更されます。

  • アカウントの有効期限 [タイプ = UnicodeString]: アカウントの有効期限の日付。コンピュータオブジェクトの accountExpires 属性の値が変更された場合、ここに新しい値が表示されます。コンピュータオブジェクトの場合、これはオプションであり、通常は設定されていません。この属性は、Active Directory ユーザーとコンピュータを使用するか、スクリプトを通じて変更できます。

  • プライマリグループID [タイプ = UnicodeString]: コンピュータオブジェクトのプライマリグループの相対識別子 (RID)。

[!NOTE] 相対識別子 (RID) は、オブジェクトの作成時に割り当てられる可変長の番号で、オブジェクトのセキュリティ識別子 (SID) の一部となり、ドメイン内のアカウントやグループを一意に識別します。

このフィールドには、コンピュータオブジェクトのプライマリグループが変更された場合に値が含まれます。Active Directory ユーザーとコンピュータ管理コンソールのコンピュータオブジェクトプロパティの メンバー タブを使用して、コンピュータのプライマリグループを変更できます。新しいプライマリグループのRIDがフィールド値として表示されます。例えば、ワークステーションの場合、515 (ドメインコンピュータ) がデフォルトのプライマリグループです。

コンピュータアカウントの典型的な プライマリグループ の値:

  • 516 (ドメインコントローラー) – ドメインコントローラー用。

  • 521 (読み取り専用ドメインコントローラー) – 読み取り専用ドメインコントローラー (RODC)。

  • 515 (ドメインコンピュータ) – サーバーおよびワークステーション用。

    詳細については、よく知られているセキュリティプリンシパル を参照してください。コンピュータオブジェクトの primaryGroupID 属性の値が変更された場合、ここに新しい値が表示されます。

  • AllowedToDelegateTo [タイプ = UnicodeString]: このアカウントが委任された資格情報を提示できるSPNのリスト。Active Directory ユーザーとコンピュータ管理コンソールの 委任 タブを使用して変更できます。コンピュータアカウントの 委任 タブのSPNリストが変更された場合、このイベントの AllowedToDelegateTo フィールドに新しいSPNリストが表示されます(変更ではなく新しいリストが表示されることに注意してください)。これは AllowedToDelegateTo の例です:

    • dcom/WIN2012

    • dcom/WIN2012.contoso.local

      コンピュータオブジェクトの msDS-AllowedToDelegateTo 属性の値が変更された場合、ここに新しい値が表示されます。

      値が <value not set> になることがあります。例えば、委任が無効化されている場合です。

[!NOTE] サービスプリンシパル名 (SPN) は、クライアントがサービスのインスタンスを一意に識別するための名前です。フォレスト内のコンピュータに複数のサービスインスタンスをインストールする場合、各インスタンスには独自のSPNが必要です。特定のサービスインスタンスには、クライアントが認証に使用する可能性のある複数の名前がある場合、複数のSPNを持つことができます。例えば、SPNには常にサービスインスタンスが実行されているホストコンピュータの名前が含まれるため、サービスインスタンスはホストの各名前やエイリアスに対してSPNを登録することがあります。

  • 旧UAC値 [タイプ = UnicodeString]: ユーザーまたはコンピュータアカウントのパスワード、ロックアウト、無効/有効、スクリプト、およびその他の動作を制御するフラグを指定します。このパラメータには、アカウントフラグのSAM実装の以前の値が含まれます(ADのuserAccountControlとは定義が異なります)。

  • 新UAC値 [タイプ = UnicodeString]: ユーザーまたはコンピュータアカウントのパスワード、ロックアウト、無効/有効、スクリプト、およびその他の動作を制御するフラグを指定します。このパラメータには、アカウントフラグのSAM実装の値が含まれます(ADのuserAccountControlとは定義が異なります)。値が変更された場合、ここに新しい値が表示されます。ここに表示される可能性のあるアカウントフラグのリストについては、[MS-SAMR]: USER_ACCOUNT Codes を参照してください。

  • ユーザーパラメータ [タイプ = UnicodeString]: Active Directoryユーザーとコンピュータ管理コンソールを使用してコンピュータのアカウントプロパティのダイヤルインタブで設定を変更した場合、このフィールドには <value changed, but not displayed> が表示されます。

  • SID履歴 [タイプ = UnicodeString]: オブジェクトが別のドメインから移動された場合に使用された以前のSIDが含まれます。オブジェクトがあるドメインから別のドメインに移動されるたびに、新しいSIDが作成され、objectSIDになります。以前のSIDは sIDHistory プロパティに追加されます。コンピュータオブジェクトの sIDHistory 属性の値が変更された場合、ここに新しい値が表示されます。

  • ログオン時間 [タイプ = UnicodeString]: アカウントがドメインにログオンできる時間。このコンピュータオブジェクトの logonHours 属性の値が変更された場合、新しい値がここに表示されます。コンピュータオブジェクトの場合、これはオプションであり、通常は設定されていません。この属性は、Active Directory ユーザーとコンピュータを使用するか、スクリプトを通じて変更できます。

  • DNS ホスト名 [タイプ = UnicodeString]: DNS に登録されたコンピュータアカウントの名前。このコンピュータオブジェクトの dNSHostName 属性の値が変更された場合、新しい値がここに表示されます。

  • サービスプリンシパル名 [タイプ = UnicodeString]: コンピュータアカウントに登録された SPN のリスト。コンピュータアカウントの SPN リストが変更された場合、サービスプリンシパル名 フィールドに新しい SPN リストが表示されます(変更ではなく新しいリストが表示されることに注意してください)。このコンピュータオブジェクトの servicePrincipalName 属性の値が変更された場合、新しい値がここに表示されます。

    ドメインコントローラー上のイベント 4742 で、新しいドメインに参加したワークステーションが再起動した後の サービスプリンシパル名 フィールドの例を以下に示します:

    HOST/Win81.contoso.local

    RestrictedKrbHost/Win81.contoso.local

    HOST/WIN81

    RestrictedKrbHost/WIN81

TERMSRV/Win81.contoso.local

追加情報:

  • 特権 [タイプ = UnicodeString]: 操作中に使用されたユーザー特権のリスト。例えば、SeBackupPrivilege。このパラメータはイベントでキャプチャされない場合があり、その場合は - と表示されます。ユーザー特権の完全なリストは「表 8. ユーザー特権」を参照してください。

セキュリティ監視の推奨事項

4742(S): コンピュータアカウントが変更されました。

[!重要] このイベントについては、付録 A: 多くの監査イベントに対するセキュリティ監視の推奨事項 も参照してください。

  • 各変更を監視する必要がある重要なドメインコンピュータアカウント(データベースサーバー、ドメインコントローラー、管理ワークステーションなど)がある場合、このイベントを 「変更されたコンピュータアカウント\セキュリティ ID」 と対応する高価値アカウントまたはアカウントで監視します。

  • コンピューターアカウントに対して、委任タブのサービスリストの変更を監視する必要がある場合、AllowedToDelegateToが-でないときにこのイベントを監視します。この値は、サービスリストが変更されたことを意味します。

  • 次のフィールドと値を追跡するかどうかを検討してください:

追跡するフィールドと値追跡する理由
表示名が-でないユーザープリンシパル名が-でないホームディレクトリが-でないホームドライブが-でないスクリプトパスが-でないプロファイルパスが-でないユーザー作業ステーションが-でないアカウントの有効期限が-でないログオン時間が-でない通常、これらのフィールドはコンピューターアカウントに対して-です。他の値は異常を示す可能性があり、監視する必要があります。
パスワード最終設定の変更が通常より頻繁に発生するデフォルト(通常は月に一度)よりも頻繁な変更は、異常や攻撃を示す可能性があります。
プライマリグループIDが516、521、または515でない通常、プライマリグループIDの値は次のいずれかです:516 ドメインコントローラー用521 読み取り専用ドメインコントローラー(RODC)用515 サーバーおよびワークステーション(ドメインコンピューター)用他の値は監視する必要があります。
サービスリスト(委任タブ)が空であってはならないコンピューターアカウントの場合:AllowedToDelegateTo<value not set>とマークされている以前にサービスリスト(委任タブ)があったコンピューターでAllowedToDelegateTo<value not set>とマークされている場合、リストがクリアされたことを意味します。
SID履歴が-でないこのフィールドは、アカウントが他のドメインから移行された場合を除き、常に-に設定されます。
  • 次のアカウント制御フラグを追跡するかどうかを検討してください:
追跡するユーザーアカウント制御フラグフラグに関する情報
‘パスワード不要’ – 有効コンピューターアカウントには設定されるべきではありません。コンピューターアカウントは通常、デフォルトでパスワードを必要としますが、手動で作成されたコンピューターオブジェクトは例外です。
‘暗号化されたテキストパスワード許可’ – 有効コンピューターアカウントには設定されるべきではありません。デフォルトでは設定されず、Active Directoryユーザーとコンピューターのアカウントプロパティで設定することはできません。
‘サーバートラストアカウント’ – 有効ドメインコントローラーにのみ有効にする必要があります。
‘サーバートラストアカウント’ – 無効ドメインコントローラーには無効にするべきではありません。
‘パスワードの有効期限なし’ – 有効コンピューターアカウントには有効にするべきではありません。デフォルトでパスワードは30日ごとに自動的に変更されます。コンピューターアカウントの場合、このフラグはActive Directoryユーザーとコンピューターのアカウントプロパティで設定することはできません。
‘スマートカード必須’ – 有効コンピューターアカウントには有効にするべきではありません。
‘委任のために信頼された’ – 有効コンピューターアカウントに対してKerberos制約または非制約の委任が有効になっていることを意味します。これが管理者による承認されたアクションか、誤りか、悪意のあるアクションかを発見するために監視することをお勧めします。
‘委任のために信頼された’ – 無効コンピューターアカウントに対してKerberos制約または非制約の委任が無効になっていることを意味します。これが管理者による承認されたアクションか、誤りか、悪意のあるアクションかを発見するために監視することをお勧めします。また、委任が重要で無効にすべきでないコンピューターアカウントのリストがある場合、それらのアカウントについても監視してください。
‘委任のために認証する信頼された’ – 有効コンピューターアカウントに対してプロトコル遷移の委任が有効になっていることを意味します。これが管理者による承認されたアクションか、誤りか、悪意のあるアクションかを発見するために監視することをお勧めします。
‘委任のために認証する信頼された’ – 無効コンピューターアカウントに対してプロトコル遷移の委任が無効になっていることを意味します。これが管理者による承認されたアクションか、誤りか、悪意のあるアクションかを発見するために監視することをお勧めします。また、委任が重要で無効にすべきでないコンピューターアカウントのリストがある場合、それらのアカウントについても監視してください。
‘委任されない’ – 有効コンピューターアカウントに対してアカウントが機密であり、委任できないが選択されたことを意味します。コンピューターアカウントの場合、このフラグはグラフィカルインターフェイスを使用して設定することはできません。これが管理者による承認されたアクションか、誤りか、悪意のあるアクションかを発見するために監視することをお勧めします。
‘DESキーのみ使用’ – 有効コンピューターアカウントには有効にするべきではありません。コンピューターアカウントの場合、Active Directoryユーザーとコンピューターのアカウントプロパティで設定することはできません。
‘事前認証不要’ - 有効コンピューターアカウントには有効にするべきではありません。コンピューターアカウントの場合、Active Directoryユーザーとコンピューターのアカウントプロパティで設定することはできません。

It looks like you haven’t pasted the Markdown content yet. Please provide the content you want translated into Japanese.