我们收到很多事件 ID 4735,如下所示:
Subject:
Security ID: SYSTEM
Account Name: xxx$
Account Domain: xxx
Logon ID: 0x3E7
Group:
Security ID: BUILTIN\Administrators
Group Name: Administrators
Group Domain: Builtin
Changed Attributes:
SAM Account Name: -
SID History: -
Additional Information:
Privileges: -
Event Xml:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Microsoft-Windows-Security-Auditing" Guid="{xxx}" />
<EventID>4735</EventID>
<Version>0</Version>
<Level>0</Level>
<Task>13826</Task>
<Opcode>0</Opcode>
<Keywords>0x8020000000000000</Keywords>
<TimeCreated SystemTime="2023-10-13T16:56:50.930730000Z" />
<EventRecordID>113144987</EventRecordID>
<Correlation ActivityID="{xxx}" />
<Execution ProcessID="840" ThreadID="10404" />
<Channel>Security</Channel>
<Computer>xxx</Computer>
<Security />
</System>
<EventData>
<Data Name="TargetUserName">Administrators</Data>
<Data Name="TargetDomainName">Builtin</Data>
<Data Name="TargetSid">S-xxx</Data>
<Data Name="SubjectUserSid">S-xxx</Data>
<Data Name="SubjectUserName">xxx$</Data>
<Data Name="SubjectDomainName">xxx</Data>
<Data Name="SubjectLogonId">0x3e7</Data>
<Data Name="PrivilegeList">-</Data>
<Data Name="SamAccountName">-</Data>
<Data Name="SidHistory">-</Data>
</EventData>
</Event>
根据文档,“此事件记录在 Active Directory 域本地组的域控制器上,以更改组中标识的安全本地组。”但是,它似乎不包含有关更改内容的信息。“PrivilegeList”、“SamAccountName”、“SidHistory”均为“-”
我们在 DC 和成员服务器中都看到了这一点。
有人知道吗?
答案1
如果这种情况发生在域组上,您可以启用目录服务更改审核。这需要在域控制器组策略中以及要审核的对象(域和站点和服务对象的顶层)上启用。
5136 事件将记录在安全事件日志中以进行修改,并包括以前的值和新的值。
请注意,sidHistory 是一个多值属性。它也是受保护的,并且通常在特殊系统操作中更改。请注意,理想情况下,这种情况不会出现,除非从一个域迁移到另一个域,这通常是 sidHistory 唯一更新的时间。
https://learn.microsoft.com/en-us/windows/win32/ad/using-dsaddsidhistory
答案2
我相信“-”是预期行为。“已更改属性:注意,如果属性未更改,则其值将为“-”。如此处所述https://learn.microsoft.com/en-us/windows/security/threat-protection/auditing/event-4735。
还,
“从 4735 事件中,您可以获得有关 sAMAccountName 和 sIDHistory 属性变化的信息,或者您会看到某些内容发生了变化,但无法看到具体发生了哪些变化。”
您可能可以使用其他事件。我会检查您当前的审计策略,看看这个 4735 是否与任何其他事件相关。