Apoyo
 
Nosotros: + 1888 720 9500
Estados Unidos: +1888791 1189
Internacional: +1925924 9500
Aus: +1800 631268
Reino Unido: 0800 028 6590
CN: +86400660 8680

Marcación interna directa: +1 408 916 9892

Características

Id. De evento de Windows 4742: se cambió una cuenta de computadora

Introducción

Puede haber ocasiones en las que el ID de evento 4742 no muestre ningún cambio, es decir, todos los atributos modificados aparecen como "-". Esto suele suceder cuando se realiza un cambio en un atributo que no figura en el evento, como la lista de control de acceso discrecional (DACL). En este caso, no hay forma de determinar qué atributo se cambió.

Descripción de los campos del evento.

Figura 1. Id. De evento 4742: pestaña General en Propiedades del evento.

Id. De evento 4742: pestaña General en Propiedades del evento.

Figura 2. Id. De evento 4742: pestaña Detalles en Propiedades del evento.

Id. De evento 4742: pestaña Detalles en Propiedades del evento.

informes-de-gestión-de-usuarios

ID de seguridad: el SID de la cuenta que intentó cambiar una cuenta de computadora.

Nombre de cuenta: el nombre de la cuenta que intentó cambiar una cuenta de computadora.

Cuenta de dominio: La del Sujeto nombre de dominio. Los formatos pueden variar para incluir el nombre NETBIOS, el nombre de dominio completo en minúsculas o el nombre de dominio completo en mayúsculas.

ID de inicio de sesión: el ID de inicio de sesión le ayuda a correlacionar este evento con eventos recientes que pueden contener el mismo ID de inicio de sesión (por ejemplo , ID de evento 4624 ).

ID de seguridad: el SID de la cuenta de la computadora que se modificó.

Nombre de cuenta: el nombre de la cuenta que se modificó.

Dominio de la cuenta: el nombre de dominio de la cuenta de computadora que se cambió. Los formatos pueden variar para incluir el nombre NETBIOS, el nombre de dominio completo en minúsculas o el nombre de dominio completo en mayúsculas.

Nombre de cuenta SAM: el nombre de inicio de sesión anterior a Windows 2000.

Nombre para mostrar: por lo general, una combinación del nombre, la inicial del segundo nombre y el apellido del usuario. Este atributo es opcional para los objetos de la computadora y normalmente no está predeterminado.

Nombre principal de usuario: el nombre de inicio de sesión al estilo de Internet para la cuenta, basado en el estándar de Internet RFC 822. Por convención, debe asignarse a la dirección de correo electrónico de la cuenta. Este atributo es opcional para los objetos informáticos y normalmente no está preestablecido.

Directorio de inicio: el directorio de inicio del usuario. Este atributo es opcional para los objetos de la computadora y normalmente no está predeterminado.
Si el atributo homeDrive está configurado y especifica una letra de unidad, homeDirectory debe ser una ruta de Convención de nomenclatura universal (UNC) y la ruta debe ser una red UNC de la forma \\ Server \ Share \ Directory.

Unidad de inicio: la letra de la unidad a la que se asignará la ruta UNC especificada por el atributo directorio de inicio de la cuenta . Este atributo es opcional para los objetos de la computadora y normalmente no está predeterminado.

Ruta de la secuencia de comandos: la ruta de la secuencia de comandos de inicio de sesión de la cuenta. Este atributo es opcional para los objetos de la computadora y normalmente no está predeterminado.

Ruta del perfil: una ruta al perfil de la cuenta. Este atributo es opcional para los objetos de la computadora y normalmente no está predeterminado.

Estaciones de trabajo del usuario: la lista de nombres NetBIOS o DNS de las computadoras desde las que el usuario puede iniciar sesión. Cada nombre de computadora está separado por una coma. Este atributo es opcional para los objetos de la computadora y normalmente no está predeterminado.

Última configuración de contraseña: la última vez que se modificó la contraseña de la cuenta. Por ejemplo, después de restablecer manualmente la contraseña de una cuenta de computadora o restablecerla automáticamente (para los objetos de la computadora, las contraseñas se restablecen cada 30 días de forma predeterminada).

Caducidad de la cuenta: la fecha de caducidad de la cuenta. Este atributo es opcional para los objetos de la computadora y normalmente no está predeterminado.

ID de grupo principal: el identificador relativo (RID) del grupo principal de un objeto de computadora.

AllowToDelegateTo: la lista de nombres principales de servicio (SPN) a los que esta cuenta puede presentar credenciales delegadas.

Valor de UAC antiguo: especifica los indicadores que controlan la contraseña, el bloqueo, la desactivación / activación, el script, etc. para la cuenta de la computadora. Contiene el valor anterior del atributo userAccountControl del objeto de computadora .

Nuevo valor de UAC: si se cambió el valor del atributo userAccountControl del objeto de computadora, verá el nuevo valor aquí.

Control de cuentas de usuario: la lista de cambios en el atributo userAccountControl .

Parámetros de usuario: si cambia cualquier configuración utilizando la consola de administración de equipos y usuarios de Active Directory en la pestaña de acceso telefónico de las propiedades de una cuenta de usuario, verá aquí.

Historial de SID: contiene los SID anteriores utilizados para el objeto si el objeto se movió desde otro dominio.
Nota: Siempre que un objeto se mueve de un dominio a otro, se crea un nuevo SID y se convierte en el objectSID.

Horas de inicio de sesión: las horas durante las cuales la cuenta puede iniciar sesión en el dominio. Este atributo es opcional para los objetos de la computadora y normalmente no está predeterminado.

Nombre de host DNS: el nombre de la cuenta de la computadora registrada en DNS.

Nombres principales del servicio: la lista de SPN registrados para la cuenta de la computadora. Si se cambió el valor del atributo servicePrincipalName del objeto de computadora , verá el nuevo valor aquí.

Privilegios: la lista de privilegios de usuario utilizados durante la operación.

Supervisión de ID de evento 4742.

  • Supervise el ID de evento 4742 cuando la cuenta de equipo que se modificó / ID de seguridad corresponde a cuentas de alto valor, incluidos servidores de bases de datos, controladores de dominio y estaciones de trabajo de administración. Para monitorear su entorno de AD en busca de abuso de privilegios.
  • Supervisar los cambios en AllowToDelegateTo para identificar cualquier cambio en la lista de servicios a los que la cuenta delega autoridad. De esta forma se evita el acceso no autorizado a las aplicaciones y, por tanto, se reduce la superficie de ataque.
  • Supervise los cambios frecuentes en pwdLastSet: la configuración predeterminada es una vez al mes para las cuentas de computadora. Los cambios frecuentes pueden indicar una anomalía o un ataque.
  • Si configura el indicador SMARTCARD_REQUIRED en userAccountControl para la cuenta de la computadora, entonces el sAMAccountType de la cuenta de la computadora se cambiará a NORMAL_USER_ACCOUNT (es decir, la cuenta de la computadora se "convertirá" en una cuenta de usuario y obtendrá “4738: Se cambió una cuenta de usuario "En lugar de 4742 para esta cuenta de computadora). Los atacantes pueden explotar esto para pasar desapercibido incluso si tiene configuradas alertas para cuentas de computadora dentro de su red. Las acciones que realiza esta cuenta tampoco aparecerán en los registros de la cuenta de usuario , ya que generalmente la mayoría de las herramientas omiten buscar eventos de cambio para los nombres de asunto / cuenta que terminan en $.
  • Se recomienda encarecidamente que evite cambiar manualmente la configuración relacionada con el usuario para los objetos de la computadora y que supervise userAccountControl para cada cambio.

La necesidad de una solución de auditoría.

Las soluciones de auditoría como ADAudit Plus ofrecen monitoreo en tiempo real, análisis de comportamiento de usuarios y entidades e informes; Juntas, estas características ayudan a proteger su entorno de AD.

Monitoreo en tiempo real las 24 horas.

Aunque puede adjuntar una tarea al registro de seguridad y pedirle a Windows que le envíe un correo electrónico, solo recibirá un correo electrónico cada vez que se genere ese ID de evento en particular. Windows también carece de la capacidad de aplicar filtros más granulares que se requieren para cumplir con las recomendaciones de seguridad.

Por ejemplo, Windows puede enviarle un correo electrónico cada vez que se genera el ID de evento 4742, pero no puede diferenciar entre cuentas normales y de alto valor. Recibir alertas específicamente para cuentas de alto valor reduce la posibilidad de perderse notificaciones críticas entre un montón de alertas de falsos positivos.

Con una herramienta como ADAudit Plus, no solo puede aplicar filtros granulares para enfocarse en amenazas reales, también puede recibir alertas en tiempo real a través de SMS.

Análisis de comportamiento de usuarios y entidades (UEBA).

Aproveche el análisis estadístico avanzado y las técnicas de aprendizaje automático para detectar comportamientos anómalos dentro de su red.

Informes listos para el cumplimiento.

Cumpla con varios estándares de cumplimiento, como SOX, HIPAA, PCI, FISMA, GLBA y el RGPD con informes de cumplimiento listos para usar.

Verdadero llave en mano: no hay nada más simple que esto.

Pase de descargar ADAudit Plus a recibir alertas en tiempo real en menos de 30 minutos. Con más de 200 informes y alertas preconfigurados, ADAudit Plus garantiza que su Active Directory se mantenga seguro y conforme.

¡Pruébalo gratis!

 

Los 8 identificadores de eventos de seguridad de
Windows más críticos

Al hacer clic en ' Descargar guía gratuita ', acepta el procesamiento de datos personales de acuerdo con la Política de privacidad .

 
 
 
 

ADAudit Plus cuenta con la confianza de