前回「Windows Update(2026年4月)適用前に確認しておきたいイベントログ」で取得したいセキュリティログがドメインコントローラで収集できるようになりましたので、実際にログを確認した内容をご報告です。
前提条件
以下の対応は完了してる前提で、これ以降のログ確認が可能となります。
- ドメインコントローラにて詳細監査ポリシーを有効化
- Kerberos 認証サービス / サービスチケット操作の監査(成功)を有効化
- auditpolで「成功」になっていることを確認済み
これによりイベントID 4769のログが収集されている環境のドメインコントローラでログを確認した、という内容です。
今回はイベントID:4769のログを確認してみます。主にイベントID:4769のイベントからRC4(0x17)の使用有無と廃止の影響有無を確認します。
それによって、
これが来月の2026年4月の更新プログラムでこれまでの初期展開フェーズから「手動ロールバックによる強制フェーズ」に移行するため、Active Directory環境、特にドメインコントローラでのWindows Update適用後の動作に問題が出ることを事前に防ぎたいと考えています。
ログの確認
まず、イベントID:4769が収集できたドメインコントローラのイベントビューアから、セキュリティログを開き、「現在のログをフィルター」で抽出していきました。
フィルタ画面では、イベントIDで4769を指定して、
イベントビューアに表示されるログを絞りこみました。
この状態のログから「検索」をしてみます。
検索する文字列は「0x17」としました。
検索すると、
イベントビューアのメッセージ「選択されたイベントから一覧の最後まで検索しましたが、指定された文字列を含むイベントはありませんでした。すべてのイベントを検索するには、一覧の最初のイベントを選択し、再度検索を実行してください。」が表示されました。問題となる「0x17」が検出されなかったという結論です。
ログのサンプル
イベントID:4769のサンプルです。
-------------------------------------------------------------
Kerberos サービス チケットが要求されました。
アカウント情報:
アカウント名: testuser-2@Domain.TEST
アカウント ドメイン: Domain.TEST
ログオン GUID: {00000000-0000-0000-0000-00000000}
MSDS-SupportedEncryptionTypes: N/A
使用可能なキー: N/A
サービス情報:
サービス名: TestDC3$
サービス ID: Domain\TestDC3$
MSDS-SupportedEncryptionTypes: 0x1F (DES, RC4, AES128-SHA96, AES256-SHA96)
使用可能なキー: AES-SHA1, RC4
ドメイン コントローラー情報:
MSDS-SupportedEncryptionTypes: 0x1F (DES, RC4, AES128-SHA96, AES256-SHA96)
使用可能なキー: AES-SHA1, RC4
ネットワーク情報:
クライアント アドレス: ::ffff:192.168.0.101
クライアント ポート: 49939
宣伝された Etypes:
AES256-CTS-HMAC-SHA1-96
AES128-CTS-HMAC-SHA1-96
RC4-HMAC-NT
RC4-HMAC-NT-EXP
RC4-HMAC-OLD-EXP
追加情報:
チケット オプション: 0x40810000
チケット暗号化の種類: 0x12
セッション暗号化の種類: 0x12
エラー コード: 0x0
移行されたサービス: -
チケット情報
要求チケット ハッシュ: 0x0000x000000000000000000000000000000000000=
応答チケット ハッシュ: 0x0000x000000000000000000000000000000000000=
このイベントは、コンピューターや Windows サービスなどのリソースへのアクセスが要求されるたびに生成されます。サービス名は、アクセスが要求されたリソースを示しています。
このイベントは、各イベントのログオン GUID フィールドを比較することで Windows ログオン イベントと関連付けることができます。ログオン イベントは、アクセスされたコンピューターで発生します。これは多くの場合、サービス チケットを発行したドメイン コントローラーとは異なるコンピューターです。
事前認証型のチケット オプション、暗号化の種類、結果コードは、RFC 4120 で定義されています。
-------------------------------------------------------------
このログから、testuser-2の認証によって記録されたログには、
- チケット暗号化の種類:0x12
- セッション暗号化の種類:0x12
と記載があるため、0x12が示すAES256
が使われており、2026年4月のWindows Updateで問題となるRC4(0x17)が使われていないことが分かりました。
チケット暗号化がKDCが発行するチケットで、セッション暗号化が通信に使う鍵を示すようです。この環境では0x12と表示されているため、RC4は使われておらず、AES256が使われていることが分かります。
実際には「RC4-HMAC-NT」のように旧環境の互換性維持のため候補としては提示されているのですが、使用している(選択肢から選ばれている)のはAES256が優先されているようです。
あと、「MSDS-SupportedEncryptionTypes:」の箇所が、これでは「N/A」となっているのですが、ログによっては「0x1F」となっているログもありました。これは「DES/RC4/AES128/AES256」が許可されていて、実際にどれを使うかはWindows(ドメインコントローラ側)が選択している、ということのようです。
なお、これらの確認はドメインコントローラ全台で実施することが推奨されます。
一応XMLでのフィルタも
XMLのフィルタのやり方もメモしておきます。
タブでXMLに切り替えて、以下の画面にします。
この画面で、画面下部の「手動でクエリを編集する」にチェックを入れて有効化します。
メッセージが出ますがクリックで閉じて、XML欄に次のように入力します。
-------------------------------------------------------------
テスト用:0x12を探すXML
-------------------------------------------------------------
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">
*[System[(EventID=4769)]]
and
*[EventData[Data[@Name='TicketEncryptionType']='0x12']]
</Select>
</Query>
</QueryList>
-------------------------------------------------------------
これで「チケット暗号化の種類が0x12」のイベントがフィルタされます。
今回探したいのは「チケット暗号化の種類が0x17」なので、以下のように再入力。
-------------------------------------------------------------
テスト用:0x17を探すXML
-------------------------------------------------------------
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">
*[System[(EventID=4769)]]
and
*[EventData[Data[@Name='TicketEncryptionType']='0x17']]
</Select>
</Query>
</QueryList>
-------------------------------------------------------------
これでもフィルタとしては問題なく動作します。検索しなくていい分だけこちらの方が便利かもしれません。
調査完了(or継続?)
ログの有効化してから、調査をするまでの期間で使用されたIDや機器の認証には、2026年4月のWindows Updateで影響が出る(廃止予定の)RC4の認証が使われている形跡は確認できませんでした。
このため、次回2026年4月のWindows Updateは通常通り適用しても問題ないと考えることができます。
しかし、ログ収集の期間中に使用された分だけの検証なので、もしログ収集期間で使われていない機能や機器はこのログ調査の対象になっていません。このため、このログ収集をもう少し続けるか(ログが飽和するので)ひとまずここで調査を終了しログ設定を元の「監査なし」に戻す(ログを収集しない)かは、判断の分かれるところだと思います。
