4742(S): учетная запись компьютера была изменена.

  • Статья

Иллюстрация события 4742

Подкатегория: Аудит управления учетными записями компьютера

Описание события:

Это событие создает каждый раз при изменении объекта компьютера.

Это событие создается только на контроллерах домена.

В этом случае могут отображаться одинаковые значения для идентификатора безопасности субъекта\ и учетной записи компьютера, которая была изменена\идентификатором безопасности.**** Обычно это происходит при перезагрузке компьютера после добавления его в домен (изменение вступает в силу после перезагрузки).

Для каждого изменения создается отдельное событие 4742.

Некоторые изменения не вызывают событие 4742, например изменения, внесенные с помощью Пользователи и компьютеры Active Directory консоли управления на вкладке Управляемый в свойствах учетной записи компьютера.

Это событие может отображаться без каких-либо изменений внутри, то есть все измененные атрибуты отображаются как -. Обычно это происходит при изменении атрибута, который не указан в событии. В этом случае невозможно определить, какой атрибут был изменен. Например, это произойдет, если изменить описание объекта группы с помощью Пользователи и компьютеры Active Directory консоли администрирования. Кроме того, при изменении списка управления доступом (DACL) будет создано событие 4742, но все атрибуты будут иметь значение -.

Важно!

  • Если вы вручную измените любой связанный с пользователем параметр или атрибут, например, если задать флаг SMARTCARD_REQUIRED в userAccountControl для учетной записи компьютера, то sAMAccountType учетной записи компьютера будет изменен на NORMAL_USER_ACCOUNT и вы получите "4738: учетная запись пользователя изменена" вместо 4742 для этой учетной записи компьютера. По сути, учетная запись компьютера "станет" учетной записью пользователя. Для NORMAL_USER_ACCOUNT вы всегда будете получать события из подкатегории Audit User Account Management . Настоятельно рекомендуется не изменять параметры, связанные с пользователем, вручную для объектов-компьютеров.

  • Рекомендации см. в статье Рекомендации по мониторингу безопасности для этого события.


XML события:

- <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
- <System>
 <Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" /> 
 <EventID>4742</EventID> 
 <Version>0</Version> 
 <Level>0</Level> 
 <Task>13825</Task> 
 <Opcode>0</Opcode> 
 <Keywords>0x8020000000000000</Keywords> 
 <TimeCreated SystemTime="2015-08-14T02:35:01.252397000Z" /> 
 <EventRecordID>171754</EventRecordID> 
 <Correlation /> 
 <Execution ProcessID="520" ThreadID="1108" /> 
 <Channel>Security</Channel> 
 <Computer>DC01.contoso.local</Computer> 
 <Security /> 
 </System>
- <EventData>
 <Data Name="ComputerAccountChange">-</Data> 
 <Data Name="TargetUserName">WIN81$</Data> 
 <Data Name="TargetDomainName">CONTOSO</Data> 
 <Data Name="TargetSid">S-1-5-21-3457937927-2839227994-823803824-6116</Data> 
 <Data Name="SubjectUserSid">S-1-5-21-3457937927-2839227994-823803824-1104</Data> 
 <Data Name="SubjectUserName">dadmin</Data> 
 <Data Name="SubjectDomainName">CONTOSO</Data> 
 <Data Name="SubjectLogonId">0x2e80c</Data> 
 <Data Name="PrivilegeList">-</Data> 
 <Data Name="SamAccountName">-</Data> 
 <Data Name="DisplayName">-</Data> 
 <Data Name="UserPrincipalName">-</Data> 
 <Data Name="HomeDirectory">-</Data> 
 <Data Name="HomePath">-</Data> 
 <Data Name="ScriptPath">-</Data> 
 <Data Name="ProfilePath">-</Data> 
 <Data Name="UserWorkstations">-</Data> 
 <Data Name="PasswordLastSet">-</Data> 
 <Data Name="AccountExpires">-</Data> 
 <Data Name="PrimaryGroupId">-</Data> 
 <Data Name="AllowedToDelegateTo">%%1793</Data> 
 <Data Name="OldUacValue">0x80</Data> 
 <Data Name="NewUacValue">0x2080</Data> 
 <Data Name="UserAccountControl">%%2093</Data> 
 <Data Name="UserParameters">-</Data> 
 <Data Name="SidHistory">-</Data> 
 <Data Name="LogonHours">-</Data> 
 <Data Name="DnsHostName">-</Data> 
 <Data Name="ServicePrincipalNames">-</Data> 
 </EventData>
 </Event>

Обязательные роли сервера: Контроллер домена Active Directory.

Минимальная версия ОС: Windows Server 2008.

Версии события: 0.

Описания полей:

Тема:

  • Идентификатор безопасности [Type = SID]: идентификатор безопасности учетной записи, запрашивающей операцию "изменение объекта компьютера". Средство просмотра событий автоматически пытается разрешить идентификатор безопасности SID и отобразить имя учетной записи. Если идентификатор безопасности разрешить не удается, в событии будут отображены исходные данные.

Примечание

Идентификатор безопасности (SID) — это уникальное значение переменной длины, используемое для идентификации доверенного лица (субъекта безопасности). Каждая учетная запись имеет уникальный идентификатор безопасности, выданный центром сертификации, таким как контроллер домена Active Directory, который хранится в базе данных безопасности. Каждый раз, когда пользователь входит в систему, система получает идентификатор безопасности этого пользователя из базы данных и помещает ее в маркер доступа этого пользователя. Система использует идентификатор безопасности в маркере доступа для идентификации пользователя во всех последующих операциях с Безопасностью Windows. Если идентификатор SID использовался как уникальный идентификатор для пользователя или группы, он не может использоваться повторно для идентификации другого пользователя или группы. Дополнительные сведения о SID см. в разделе Идентификаторы безопасности.

  • Имя учетной записи [Type = UnicodeString]: имя учетной записи, запрашивающей операцию "изменение объекта компьютера".

  • Домен учетной записи [Type = UnicodeString]: доменное имя субъекта. Форматы различаются и включают в себя следующее:

    • Пример имени домена NETBIOS: CONTOSO

    • Полное имя домена в нижнем регистре: contoso.local

    • Полное имя домена в верхнем регистре: CONTOSO.LOCAL

    • Для некоторых известных субъектов безопасности, таких как LOCAL SERVICE или ANONYMOUS LOGON, значение этого поля равно "NT AUTHORITY".

  • Logon ID [Type = HexInt64]: шестнадцатеричное значение, которое может помочь сопоставить это событие с недавними событиями содержащими тот же идентификатор входа, например: “4624: Учетная запись успешно вошла в систему.”

Учетная запись компьютера, которая была изменена:

  • Идентификатор безопасности [Type = SID]: идентификатор безопасности измененной учетной записи компьютера. Средство просмотра событий автоматически пытается разрешить идентификатор безопасности SID и отобразить имя учетной записи. Если идентификатор безопасности разрешить не удается, в событии будут отображены исходные данные.

  • Имя учетной записи [Type = UnicodeString]: имя измененной учетной записи компьютера. Например: WIN81$

  • Домен учетной записи [Type = UnicodeString]: доменное имя измененной учетной записи компьютера. Форматы различаются и включают в себя следующее:

    • Пример имени домена NETBIOS: CONTOSO

    • Полное имя домена в нижнем регистре: contoso.local

    • Полное имя домена в верхнем регистре: CONTOSO.LOCAL

Измененные атрибуты:

Примечание

Если атрибут не был изменен, он будет иметь - значение.

  • Имя учетной записи SAM [Type = UnicodeString]: имя входа для учетной записи, используемой для поддержки клиентов и серверов из предыдущих версий Windows (имя входа до Windows 2000). Если значение атрибута sAMAccountName объекта computer было изменено, вы увидите новое значение здесь. Например: WIN8$.

  • Отображаемое имя [Type = UnicodeString]: это имя, отображаемое в адресной книге для определенной учетной записи (обычно — учетная запись пользователя). Обычно это сочетание имени пользователя, среднего инициала и фамилии. Для объектов-компьютеров он является необязательным и обычно не задан. Этот атрибут можно изменить с помощью Пользователи и компьютеры Active Directory или, например, с помощью скрипта. Если значение атрибута displayName объекта computer было изменено, вы увидите новое значение здесь.

  • Имя участника-пользователя [Type = UnicodeString]: имя входа в интернет-стиле для учетной записи, основанное на стандарте ИНТЕРНЕТА RFC 822. По соглашению это должно сопоставляться с именем электронной почты учетной записи. Если значение атрибута userPrincipalName объекта computer было изменено, вы увидите новое значение здесь. Для объектов-компьютеров он является необязательным и обычно не задан. Этот атрибут можно изменить с помощью Пользователи и компьютеры Active Directory или, например, с помощью скрипта.

  • Домашний каталог [Type = UnicodeString]: домашний каталог пользователя. Если атрибут homeDrive задан и указывает букву диска, homeDirectory должен быть UNC-путь. Путь должен быть сетевым UNC-адресом в формате \\Server\Share\Directory. Если значение атрибута homeDirectory объекта computer было изменено, новое значение появится здесь. Для объектов-компьютеров он является необязательным и обычно не задан. Этот атрибут можно изменить с помощью Пользователи и компьютеры Active Directory или, например, с помощью скрипта.

  • Home Drive [Type = UnicodeString]: указывает букву диска, с которой сопоставляется UNC-путь, заданный атрибутом учетной записи homeDirectory . Буква диска должна быть указана в формате DRIVE\_LETTER:. Например , — H:. Если значение атрибута homeDrive объекта computer было изменено, вы увидите новое значение здесь. Для объектов-компьютеров он является необязательным и обычно не задан. Этот атрибут можно изменить с помощью Пользователи и компьютеры Active Directory или, например, с помощью скрипта.

  • Путь к скрипту [Type = UnicodeString]: указывает путь к скрипту входа в учетную запись. Если значение атрибута scriptPath объекта computer было изменено, вы увидите новое значение здесь. Для объектов-компьютеров он является необязательным и обычно не задан. Этот атрибут можно изменить с помощью Пользователи и компьютеры Active Directory или, например, с помощью скрипта.

  • Путь к профилю [Type = UnicodeString]: указывает путь к профилю учетной записи. Это значение может быть пустой строкой, локальным абсолютным путем или UNC-путем. Если значение атрибута profilePath объекта computer было изменено, вы увидите новое значение здесь. Для объектов-компьютеров он является необязательным и обычно не задан. Этот атрибут можно изменить с помощью Пользователи и компьютеры Active Directory или, например, с помощью скрипта.

  • Пользовательские рабочие станции [Type = UnicodeString]: содержит список NetBIOS или DNS-имен компьютеров, с которых пользователь может выполнить вход. Каждое имя компьютера отделяется запятой. Имя компьютера — это свойство sAMAccountName объекта компьютера. Если значение атрибута userWorkstations объекта computer было изменено, вы увидите новое значение здесь. Для объектов-компьютеров он является необязательным и обычно не задан. Этот атрибут можно изменить с помощью Пользователи и компьютеры Active Directory или, например, с помощью скрипта.

  • Последний набор пароля [Type = UnicodeString]: время последнего изменения пароля учетной записи. Если значение атрибута pwdLastSet объекта computer было изменено, вы увидите новое значение здесь. Например: 12.08.2015 11:41:39. Это значение будет изменено, например, после действия сброса учетной записи компьютера вручную или автоматически каждые 30 дней по умолчанию для объектов-компьютеров.

  • Срок действия учетной записи [Type = UnicodeString]: дата истечения срока действия учетной записи. Если значение атрибута accountExpires объекта computer было изменено, вы увидите новое значение здесь. Для объектов-компьютеров он является необязательным и обычно не задан. Этот атрибут можно изменить с помощью Пользователи и компьютеры Active Directory или, например, с помощью скрипта.

  • Идентификатор первичной группы [Type = UnicodeString]: относительный идентификатор (RID) первичной группы объектов компьютера.

Примечание

Относительный идентификатор (RID) — это номер переменной длины, который назначается объектам при создании и становится частью идентификатора безопасности (SID) объекта, который однозначно идентифицирует учетную запись или группу в домене.

Это поле будет содержать некоторое значение, если была изменена основная группа объектов компьютера. Вы можете изменить основную группу компьютера с помощью Пользователи и компьютеры Active Directory консоли управления на вкладке Член из свойств объекта компьютера. В качестве значения поля отобразится RID новой первичной группы. Например, 515 (компьютеры домена) для рабочих станций является основной группой по умолчанию.

Типичные значения первичной группы для учетных записей компьютеров:

  • 516 (контроллеры домена) — для контроллеров домена.

  • 521 (контроллеры домена только для чтения) — контроллеры домена только для чтения (RODC).

  • 515 (компьютеры домена) — серверы и рабочие станции.

    Дополнительные сведения см. в разделе Известные субъекты безопасности . Если значение атрибута primaryGroupID объекта computer было изменено, вы увидите новое значение здесь.

  • AllowedToDelegateTo [Type = UnicodeString]: список имен субъектов-служб, которым эта учетная запись может предоставить делегированные учетные данные. Можно изменить с помощью Пользователи и компьютеры Active Directory консоли управления на вкладке Делегирование учетной записи компьютера. Если список имен субъектов-служб на вкладке Делегирование учетной записи компьютера был изменен, вы увидите новый список имен субъектов-служб в поле AllowedToDelegateTo (обратите внимание, что вы увидите новый список вместо изменений) этого события. Ниже приведен пример AllowedToDelegateTo:

    • dcom/WIN2012

    • dcom/WIN2012.contoso.local

      Если значение атрибута msDS-AllowedToDelegateTo объекта computer было изменено, вы увидите новое значение здесь.

      Значением может быть <value not set>, например, если делегирование было отключено.

Примечание

Имя субъекта-службы — это имя, по которому клиент однозначно идентифицирует экземпляр службы. При установке нескольких экземпляров службы на компьютерах в лесу каждый экземпляр должен иметь собственное имя субъекта-службы. При наличии нескольких имен, которые клиенты могут использовать для проверки подлинности, у данного экземпляра службы может быть несколько имен. Например, имя субъекта-службы всегда включает имя главного компьютера, на котором запущен экземпляр службы, поэтому экземпляр службы может зарегистрировать имя субъекта-службы для каждого имени или псевдонима своего узла.

  • Старое значение UAC [Type = UnicodeString]: указывает флаги, управляющие паролем, блокировкой, отключением или включением, скриптом и другим поведением для учетной записи пользователя или компьютера. Этот параметр содержит предыдущее значение атрибута userAccountControl объекта computer.

  • Новое значение UAC [Type = UnicodeString]: указывает флаги, управляющие паролем, блокировкой, отключением или включением, скриптом и другим поведением для учетной записи пользователя или компьютера. Если значение атрибута userAccountControl объекта computer было изменено, вы увидите новое значение здесь.

Чтобы декодировать это значение, можно просмотреть определения значений свойств в таблице 7. Флаги контроля учетных записей пользователя или компьютера". от самого большого к самому маленькому. Сравните каждое значение свойства со значением флагов в событии. Если значение флагов в событии больше или равно значению свойства, то свойство имеет значение set и применяется к событию. Вычитайте значение свойства из значения флагов в событии и обратите внимание, что флаг применяется, а затем перейдите к следующему флагу.

Вот пример: Flags value from event: 0x15

Декодирования:

• PASSWD_NOTREQD 0x0020

• блокировка 0x0010

• HOMEDIR_REQUIRED 0x0008

• (необъявленное) 0x0004

• УЧЕТНАЯ 0X0002

• СКРИПТ 0x0001

> 0x0020 0x15, поэтому PASSWD_NOTREQD не применяется к этому событию

< 0x10 0x15, поэтому к этому событию применяется LOCKOUT. 0x15 — 0x10 = 0x5

< 0x4 0x5, поэтому задано необъявленное значение. Мы сделаем вид, что это ничего не значит. 0x5 — 0x4 = 0x1

> 0x2 0x1, поэтому ACCOUNTDISABLE не применяется к этому событию

0x1 = 0x1, поэтому SCRIPT применяется к этому событию. 0x1 - 0x1 = 0x0, мы закончили.

Таким образом, этот контроль учетных записей помечает декодирование значений в: LOCKOUT и SCRIPT.

  • Контроль учетных записей пользователей [Type = UnicodeString]: отображает список изменений в атрибуте userAccountControl . Для каждого изменения будет отображаться строка текста. Возможные значения см. здесь: "Таблица 7. Флаги контроля учетных записей пользователя или компьютера". В столбце "Текст поля контроля учетных записей пользователей" отображается текст, который будет отображаться в поле Контроль учетных записей пользователей в событии 4742.

  • Параметры пользователя [Type = UnicodeString]: если изменить какой-либо параметр с помощью Пользователи и компьютеры Active Directory консоли управления на вкладке Dial-in свойств учетной записи компьютера, вы увидите <value changed, but not displayed> в этом поле.

  • Журнал SID [Type = UnicodeString]: содержит предыдущие идентификаторы БЕЗОПАСНОСТИ, используемые для объекта, если объект был перемещен из другого домена. При перемещении объекта из одного домена в другой создается новый идентификатор безопасности, который становится objectSID. Предыдущий идентификатор безопасности добавляется в свойство sIDHistory . Если значение атрибута sIDHistory объекта computer было изменено, вы увидите новое значение здесь.

  • Часы входа [Type = UnicodeString]: часы, в которые учетной записи разрешен вход в домен. Если значение атрибута logonHours объекта computer было изменено, вы увидите новое значение здесь. Для объектов-компьютеров он является необязательным и обычно не задан. Этот атрибут можно изменить с помощью Пользователи и компьютеры Active Directory или, например, с помощью скрипта.

  • Dns Host Name [Type = UnicodeString]: имя учетной записи компьютера, зарегистрированной в DNS. Если значение атрибута dNSHostName объекта computer было изменено, вы увидите новое значение здесь.

  • Имена субъектов-служб [Type = UnicodeString]: список имен субъектов-служб, зарегистрированных для учетной записи компьютера. Если список имени субъекта-службы учетной записи компьютера изменился, вы увидите новый список имени субъекта-службы в поле Имена субъектов-служб (обратите внимание, что вместо изменений будет отображаться новый список). Если значение атрибута servicePrincipalName объекта computer было изменено, вы увидите новое значение здесь.

    Ниже приведен пример поля "Имена субъектов-служб " для новой присоединенной к домену рабочей станции в случае 4742 на контроллере домена после перезагрузки рабочей станции:

    HOST/Win81.contoso.local

    RestrictedKrbHost/Win81.contoso.local

    HOST/WIN81

    RestrictedKrbHost/WIN81

TERMSRV/Win81.contoso.local

Дополнительные сведения:

  • Privileges [Type = UnicodeString]: список привилегий пользователей, которые использовались во время операции, например SeBackupPrivilege. Этот параметр может не быть записан в событии и в этом случае отображается как -. Полный список привилегий пользователей см. в таблице 8. Привилегии пользователя.".

Рекомендации по контролю безопасности

Для 4742(S): учетная запись компьютера была изменена.

Важно!

Сведения об этом событии также см. в приложении A. Рекомендации по мониторингу безопасности для многих событий аудита.

  • Если у вас есть учетные записи критически важных доменных компьютеров (серверы баз данных, контроллеры домена, рабочие станции администрирования и т. д.), для которых необходимо отслеживать каждое изменение, отслеживайте это событие с помощью параметра "Учетная запись компьютера, которая была изменена\Идентификатор безопасности" , которая соответствует высокоценной учетной записи или учетным записям.

  • Если у вас есть учетные записи компьютеров, для которых необходимо отслеживать любые изменения в списке служб на вкладке Делегирование , отслеживайте это событие, если значение AllowedToDelegateTo не равно -. Это значение означает, что список служб был изменен.

  • Определите, следует ли отслеживать следующие поля и значения:

Отслеживаемое поле и значение Причины для отслеживания
Отображаемое имя не является .
Имя участника-пользователя не имеет значения .
Домашний каталог не является .
Домашний диск не является -
Путь к скрипту не является .
Путь к профилю не является .
Пользовательские рабочие станции не являются .
Срок действия учетной записи не имеет :
Часы входа не являются .		 Обычно эти поля предназначены - для учетных записей компьютеров. Другие значения могут указывать на аномалию, и ее следует отслеживать.
Изменения последнего набора паролей происходят чаще, чем обычно Изменения, которые чаще, чем по умолчанию (обычно один раз в месяц), могут указывать на аномалию или атаку.
Идентификатор основной группы — не 516, 521 или 515. Как правило, значение идентификатора основной группы имеет одно из следующих значений:
516 для контроллеров домена
521 для контроллеров домена только для чтения (RODC)
515 для серверов и рабочих станций (компьютеры домена)
Другие значения должны отслеживаться.
Для учетных записей компьютеров, для которых список служб (на вкладке Делегирование ) не должен быть пустым: AllowedToDelegateTo помечен. <value not set> Если значение AllowedToDelegateTo помечено <value not set> на компьютерах с ранее списком служб (на вкладке Делегирование ), это означает, что список был очищен.
Журнал идентификаторов безопасности не имеет значение . Это поле всегда будет иметь значение , - если только учетная запись не была перенесена из другого домена.
  • Определите, следует ли отслеживать следующие флаги контроля учетных записей:
Флаг контроля учетных записей пользователей для отслеживания Сведения о флаге
"Пароль не требуется" — включено Не следует задавать для учетных записей компьютеров. Учетные записи компьютеров обычно требуют пароля по умолчанию, за исключением созданных вручную объектов-компьютеров.
"Разрешен пароль для зашифрованного текста" — включено Не следует задавать для учетных записей компьютеров. По умолчанию он не будет задан и не может быть задан в свойствах учетной записи в Пользователи и компьютеры Active Directory.
"Учетная запись доверия сервера" — включено Должен быть включен только для контроллеров домена.
"Учетная запись доверия сервера" — отключено Не должен быть отключен для контроллеров домена.
"Не истекает срок действия пароля" — включено Не должен быть включен для учетных записей компьютеров, так как пароль автоматически изменяется каждые 30 дней по умолчанию. Для учетных записей компьютеров этот флаг нельзя задать в свойствах учетной записи в Пользователи и компьютеры Active Directory.
"Требуется смарт-карта" — включено Не должен быть включен для учетных записей компьютеров.
"Доверенный для делегирования" — включено Означает, что для учетной записи компьютера было включено ограничение Kerberos или неустранимое делегирование. Мы рекомендуем отслеживать это, чтобы определить, является ли это действие утвержденным (выполненным администратором), ошибкой или вредоносным действием.
"Доверенный для делегирования" — отключено Означает, что для учетной записи компьютера было отключено ограничение Kerberos или неустранимое делегирование. Мы рекомендуем отслеживать это, чтобы определить, является ли это действие утвержденным (выполненным администратором), ошибкой или вредоносным действием.
Кроме того, если у вас есть список учетных записей компьютеров, делегирование которых является критическим и не должно быть отключено, отслеживайте это для этих учетных записей.
"Доверенный для проверки подлинности для делегирования" — включен Означает, что для учетной записи компьютера было включено делегирование перехода по протоколу. Мы рекомендуем отслеживать это, чтобы определить, является ли это действие утвержденным (выполненным администратором), ошибкой или вредоносным действием.
"Доверенный для проверки подлинности для делегирования" — отключено Означает, что делегирование перехода по протоколу было отключено для учетной записи компьютера. Мы рекомендуем отслеживать это, чтобы определить, является ли это действие утвержденным (выполненным администратором), ошибкой или вредоносным действием.
Кроме того, если у вас есть список учетных записей компьютеров, делегирование которых является критическим и не должно быть отключено, отслеживайте это для этих учетных записей.
"Не делегировано" — включено Означает, что учетная запись является конфиденциальной и не может быть делегирована для учетной записи компьютера. Для учетных записей компьютеров этот флаг нельзя задать с помощью графического интерфейса. Мы рекомендуем отслеживать это, чтобы определить, является ли это действие утвержденным (выполненным администратором), ошибкой или вредоносным действием.
"Использовать только ключ DES" — включено Не должен быть включен для учетных записей компьютеров. Для учетных записей компьютеров его нельзя задать в свойствах учетной записи в Пользователи и компьютеры Active Directory.
"Не требовать предварительную проверку подлинности" — включено Не должен быть включен для учетных записей компьютеров. Для учетных записей компьютеров его нельзя задать в свойствах учетной записи в Пользователи и компьютеры Active Directory.