4734(S): セキュリティが有効なローカル グループが削除されました。

  • [アーティクル]
Event 4734 illustration

サブカテゴリ: セキュリティ グループ管理の監査

イベントの説明:

このイベントは、セキュリティが有効な (セキュリティ) ローカル グループが削除されるたびに生成されます。

このイベントは、ドメイン コントローラー、メンバー サーバー、およびワークステーションで生成されます。

**注: **  推奨事項については、このイベントの「セキュリティ監視の推奨事項」を参照してください。


イベント XML:

- <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
- <System>
 <Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" /> 
 <EventID>4734</EventID> 
 <Version>0</Version> 
 <Level>0</Level> 
 <Task>13826</Task> 
 <Opcode>0</Opcode> 
 <Keywords>0x8020000000000000</Keywords> 
 <TimeCreated SystemTime="2015-08-19T18:23:42.426245700Z" /> 
 <EventRecordID>175039</EventRecordID> 
 <Correlation /> 
 <Execution ProcessID="520" ThreadID="1072" /> 
 <Channel>Security</Channel> 
 <Computer>DC01.contoso.local</Computer> 
 <Security /> 
 </System>
- <EventData>
 <Data Name="TargetUserName">AccountOperators</Data> 
 <Data Name="TargetDomainName">CONTOSO</Data> 
 <Data Name="TargetSid">S-1-5-21-3457937927-2839227994-823803824-6605</Data> 
 <Data Name="SubjectUserSid">S-1-5-21-3457937927-2839227994-823803824-1104</Data> 
 <Data Name="SubjectUserName">dadmin</Data> 
 <Data Name="SubjectDomainName">CONTOSO</Data> 
 <Data Name="SubjectLogonId">0x35e38</Data> 
 <Data Name="PrivilegeList">-</Data> 
 </EventData>
 </Event>

必須サーバーロール: ありません。

最小 OS バージョン: Windows Server 2008、Windows Vista。

イベント バージョン: 0。

フィールドの説明:

サブジェクト:

  • セキュリティ ID [Type = SID]: "グループの削除" 操作を要求したアカウントの SID。 イベント ビューアーが自動的に SID の解決を試み、アカウント名を表示します。 SID を解決できない場合、イベントにソース データが表示されます。

注:   セキュリティ識別子 (SID) は、トラスティ (セキュリティ プリンシパル) を識別するために使用される可変長で固有の値です。 各アカウントには、Active Directory ドメイン コントローラーなどの機関によって発行され、セキュリティ データベースに格納されている、固有の SID があります。 ユーザーがログオンするたびに、システムはデータベースからそのユーザーの SID を取得し、そのユーザーのアクセス トークンにそれを配置します。 システムはアクセス トークンの SID を使用して、その後の Windows セキュリティとの対話操作でユーザーを識別します。 ユーザーまたはグループ固有の識別子として SID が使用されている場合は、もう一度使用して別のユーザーやグループを識別することはできません。 SID の詳細については、「セキュリティ識別子」を参照してください。

  • アカウント名 [Type = UnicodeString]: "グループの削除" 操作を要求したアカウントの名前。

  • アカウント ドメイン [Type = UnicodeString]: サブジェクトのドメインまたはコンピューター名。 形式はさまざまで、次のようなものがあります。

    • ドメイン NETBIOS 名の例: CONTOSO

    • 小文字の完全なドメイン名: contoso.local

    • 大文字の完全なドメイン名: CONTOSO.LOCAL

    • LOCAL SERVICE や ANONYMOUS LOGON など、一部の既知のセキュリティ プリンシパルでは、このフィールドの値は"NT AUTHORITY"です。

    • ローカル ユーザー アカウントの場合、このフィールドには、このアカウントが属するコンピューターまたはデバイスの名前が表示されます。たとえば、"Win81" などです。

  • ログオン ID [Type = HexInt64]: "4624: アカウントが正常にログオンされました" など、このイベントと同じログオン ID を含む可能性のある最近のイベントを関連付けるのに役立つ 16 進数値。

グループ:

  • セキュリティ ID [Type = SID]: 削除されたグループの SID。 イベント ビューアーは、SID の解決とグループ名の表示を自動的に試行します。 SID を解決できない場合、イベントにソース データが表示されます。

  • グループ名 [Type = UnicodeString]: 削除されたグループの名前。 例: ServiceDesk

  • グループ ドメイン [Type = UnicodeString]: 削除されたグループのドメインまたはコンピューター名。 形式はさまざまで、次のようなものがあります。

    • ドメイン NETBIOS 名の例: CONTOSO

    • 小文字の完全なドメイン名: contoso.local

    • 大文字の完全なドメイン名: CONTOSO.LOCAL

    • ローカル グループの場合、このフィールドには、この新しいグループが属するコンピューターの名前 ("Win81" など) が含まれます。

    • 組み込みグループ: 組み込み

追加情報:

  • Privileges [Type = UnicodeString]: 操作中に使用されたユーザー特権の一覧 (SeBackupPrivilege など)。 このパラメーターはイベントでキャプチャされない可能性があり、その場合は "-" と表示されます。 「表 8」のユーザー特権の完全な一覧を参照してください。 ユーザー特権.".

セキュリティ監視の推奨事項

4734(S): セキュリティが有効なローカル グループが削除されました。

大事な  このイベントについては、「 付録 A: 多くの監査イベントのセキュリティ監視に関する推奨事項」も参照してください。

  • 組織内に重要なローカルまたはドメイン セキュリティ グループの一覧があり、特にグループの削除など、これらのグループの変更を監視する必要がある場合は、重要なローカルまたはドメインのセキュリティ グループに対応する "Group\Group Name" 値を使用してイベントを監視します。 重要なローカルまたはドメイン グループの例としては、組み込みのローカル管理者グループ、ドメイン管理者、エンタープライズ管理者などがあります。

  • ローカルまたはドメインのセキュリティ グループが削除されるたびに監視する必要がある場合は、削除されたユーザーとタイミングを確認するには、このイベントを監視します。 通常、このイベントは情報イベントとして使用され、必要に応じて確認されます。