我们收到很多事件 ID 4735,如下所示:
Subject:
Security ID: SYSTEM
Account Name: xxx$
Account Domain: xxx
Logon ID: 0x3E7
Group:
Security ID: BUILTIN\Administrators
Group Name: Administrators
Group Domain: Builtin
Changed Attributes:
SAM Account Name: -
SID History: -
Additional Information:
Privileges: -
Event Xml:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Microsoft-Windows-Security-Auditing" Guid="{xxx}" />
<EventID>4735</EventID>
<Version>0</Version>
<Level>0</Level>
<Task>13826</Task>
<Opcode>0</Opcode>
<Keywords>0x8020000000000000</Keywords>
<TimeCreated SystemTime="2023-10-13T16:56:50.930730000Z" />
<EventRecordID>113144987</EventRecordID>
<Correlation ActivityID="{xxx}" />
<Execution ProcessID="840" ThreadID="10404" />
<Channel>Security</Channel>
<Computer>xxx</Computer>
<Security />
</System>
<EventData>
<Data Name="TargetUserName">Administrators</Data>
<Data Name="TargetDomainName">Builtin</Data>
<Data Name="TargetSid">S-xxx</Data>
<Data Name="SubjectUserSid">S-xxx</Data>
<Data Name="SubjectUserName">xxx$</Data>
<Data Name="SubjectDomainName">xxx</Data>
<Data Name="SubjectLogonId">0x3e7</Data>
<Data Name="PrivilegeList">-</Data>
<Data Name="SamAccountName">-</Data>
<Data Name="SidHistory">-</Data>
</EventData>
</Event>
根据文档,“此事件记录在 Active Directory 域本地组的域控制器上,以更改组中标识的安全本地组。” 但是,它似乎不包含有关更改内容的信息。“PrivilegeList”、“SamAccountName”、“SidHistory”均为“-”
我们在 DC 和成员服务器中都看到了这一点。
有人有线索吗?
如果域组上发生这种情况,您可以启用目录服务更改审核。这需要在域控制器组策略以及要审核的对象(顶级域、站点和服务对象)上启用。
5136 事件将记录在安全事件日志中以进行修改,并包括以前的值和新值。
请注意,sidHistory 是一个多值属性。它也受到保护,并且通常在特殊的系统操作中更改。请注意,理想情况下这是不存在的,除非已从一个域迁移到另一个域,这通常是 sidHistory 唯一更新的时间。
https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc731764(v=ws.10)
https://learn.microsoft.com/en-us/windows/win32/ad/using-dsaddsidhistory
我相信“-”是有意的行为。“更改的属性:注意如果属性未更改,它将具有“-”值。”如此处所述https://learn.microsoft.com/en-us/windows/security/threat-protection/auditing/event-4735。
还,
“从 4735 事件中,您可以获得有关 sAMAccountName 和 sIDHistory 属性更改的信息,或者您将看到某些内容发生了变化,但无法看到到底发生了什么变化。”
您可能还可以使用另一个事件。我会检查您当前的审核政策,看看此 4735 是否与任何其他事件相关。