Windows 事件 ID 4735 但没有信息?

Windows 事件 ID 4735 但没有信息?

我们收到很多事件 ID 4735,如下所示:

Subject:
    Security ID:        SYSTEM
    Account Name:       xxx$
    Account Domain:     xxx
    Logon ID:       0x3E7

Group:
    Security ID:        BUILTIN\Administrators
    Group Name:     Administrators
    Group Domain:       Builtin

Changed Attributes:
    SAM Account Name:   -
    SID History:        -

Additional Information:
    Privileges:     -
Event Xml:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
  <System>
    <Provider Name="Microsoft-Windows-Security-Auditing" Guid="{xxx}" />
    <EventID>4735</EventID>
    <Version>0</Version>
    <Level>0</Level>
    <Task>13826</Task>
    <Opcode>0</Opcode>
    <Keywords>0x8020000000000000</Keywords>
    <TimeCreated SystemTime="2023-10-13T16:56:50.930730000Z" />
    <EventRecordID>113144987</EventRecordID>
    <Correlation ActivityID="{xxx}" />
    <Execution ProcessID="840" ThreadID="10404" />
    <Channel>Security</Channel>
    <Computer>xxx</Computer>
    <Security />
  </System>
  <EventData>
    <Data Name="TargetUserName">Administrators</Data>
    <Data Name="TargetDomainName">Builtin</Data>
    <Data Name="TargetSid">S-xxx</Data>
    <Data Name="SubjectUserSid">S-xxx</Data>
    <Data Name="SubjectUserName">xxx$</Data>
    <Data Name="SubjectDomainName">xxx</Data>
    <Data Name="SubjectLogonId">0x3e7</Data>
    <Data Name="PrivilegeList">-</Data>
    <Data Name="SamAccountName">-</Data>
    <Data Name="SidHistory">-</Data>
  </EventData>
</Event>

根据文档,“此事件记录在 Active Directory 域本地组的域控制器上,以更改组中标识的安全本地组。”但是,它似乎不包含有关更改内容的信息。“PrivilegeList”、“SamAccountName”、“SidHistory”均为“-”

我们在 DC 和成员服务器中都看到了这一点。

有人知道吗?

答案1

如果这种情况发生在域组上,您可以启用目录服务更改审核。这需要在域控制器组策略中以及要审核的对象(域和站点和服务对象的顶层)上启用。

5136 事件将记录在安全事件日志中以进行修改,并包括以前的值和新的值。

请注意,sidHistory 是一个多值属性。它也是受保护的,并且通常在特殊系统操作中更改。请注意,理想情况下,这种情况不会出现,除非从一个域迁移到另一个域,这通常是 sidHistory 唯一更新的时间。

https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc731764(v=ws.10)

https://learn.microsoft.com/en-us/windows/win32/ad/using-dsaddsidhistory

答案2

我相信“-”是预期行为。“已更改属性:注意,如果属性未更改,则其值将为“-”。如此处所述https://learn.microsoft.com/en-us/windows/security/threat-protection/auditing/event-4735

还,

“从 4735 事件中,您可以获得有关 sAMAccountName 和 sIDHistory 属性变化的信息,或者您会看到某些内容发生了变化,但无法看到具体发生了哪些变化。”

您可能可以使用其他事件。我会检查您当前的审计策略,看看这个 4735 是否与任何其他事件相关。

相关内容