ID d'événement Windows 4610 – LSA : Package d'authentification chargé

Commencez par examiner les détails spécifiques du package d'authentification dans le Visualiseur d'événements pour comprendre ce qui a été chargé.

1. Ouvrez Visualiseur d'événements en appuyant sur Win + R, en tapant eventvwr.msc, et en appuyant sur Entrée
2. Accédez à Journaux Windows → Sécurité
3. Filtrez pour l'ID d'événement 4610 en cliquant avec le bouton droit sur le journal Sécurité et en sélectionnant Filtrer le journal actuel
4. Entrez 4610 dans le champ ID d'événements et cliquez sur OK
5. Double-cliquez sur un événement 4610 pour voir les détails
6. Examinez le champ Nom du package d'authentification pour identifier quel package a été chargé
7. Vérifiez l'horodatage pour le corréler avec les temps de démarrage du système
8. Notez tout nom de package d'authentification inhabituel ou inattendu

Utilisez PowerShell pour interroger et analyser efficacement les événements de chargement de packages d'authentification sur plusieurs systèmes.

1. Ouvrez PowerShell en tant qu'administrateur
2. Interrogez les événements récents 4610 avec cette commande :

Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4610} -MaxEvents 50 | Select-Object TimeCreated, Id, @{Name='AuthPackage';Expression={($_.Message -split '\n' | Where-Object {$_ -like '*Authentication Package Name:*'}) -replace '.*Authentication Package Name:\s*',''}}

3. Pour une analyse détaillée des packages d'authentification chargés lors du dernier démarrage :

$LastBoot = (Get-CimInstance -ClassName Win32_OperatingSystem).LastBootUpTime
Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4610; StartTime=$LastBoot} | ForEach-Object {
    $AuthPackage = ($_.Message -split '\n' | Where-Object {$_ -like '*Authentication Package Name:*'}) -replace '.*Authentication Package Name:\s*',''
    [PSCustomObject]@{
        TimeCreated = $_.TimeCreated
        AuthenticationPackage = $AuthPackage
        ProcessId = $_.ProcessId
    }
} | Sort-Object TimeCreated

4. Exportez les résultats au format CSV pour une analyse plus approfondie :

$Results | Export-Csv -Path "C:\Temp\AuthPackages_$(Get-Date -Format 'yyyyMMdd').csv" -NoTypeInformation

Examinez le registre pour comprendre quels paquets d'authentification sont configurés pour se charger et identifiez toute addition non autorisée.

1. Ouvrez Éditeur du Registre en appuyant sur Win + R, en tapant regedit, et en appuyant sur Entrée
2. Accédez à la clé de registre des paquets d'authentification :

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

3. Examinez la valeur REG_MULTI_SZ Authentication Packages
4. Vérifiez la valeur REG_MULTI_SZ Security Packages
5. Documentez tous les paquets listés et recherchez toute entrée inconnue
6. Utilisez PowerShell pour interroger les valeurs du registre de manière programmatique :

$LSAKey = "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa"
$AuthPackages = Get-ItemProperty -Path $LSAKey -Name "Authentication Packages" -ErrorAction SilentlyContinue
$SecurityPackages = Get-ItemProperty -Path $LSAKey -Name "Security Packages" -ErrorAction SilentlyContinue

Write-Host "Authentication Packages:" -ForegroundColor Green
$AuthPackages."Authentication Packages" | ForEach-Object { Write-Host "  $_" }

Write-Host "\nSecurity Packages:" -ForegroundColor Green
$SecurityPackages."Security Packages" | ForEach-Object { Write-Host "  $_" }

Configurez la surveillance pour suivre quand de nouveaux paquets d'authentification sont installés ou que les existants sont modifiés.

1. Créez un script PowerShell pour établir une base de référence des paquets d'authentification actuels :

# Créer une base de référence des paquets d'authentification
$BaselinePath = "C:\Scripts\AuthPackageBaseline.xml"
$LSAKey = "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa"

$Baseline = @{
    Timestamp = Get-Date
    AuthenticationPackages = (Get-ItemProperty -Path $LSAKey -Name "Authentication Packages")."Authentication Packages"
    SecurityPackages = (Get-ItemProperty -Path $LSAKey -Name "Security Packages")."Security Packages"
}

$Baseline | Export-Clixml -Path $BaselinePath
Write-Host "Baseline created at $BaselinePath" -ForegroundColor Green

2. Créez un script de surveillance pour détecter les changements :

# Comparer l'état actuel à la base de référence
$BaselinePath = "C:\Scripts\AuthPackageBaseline.xml"
$Baseline = Import-Clixml -Path $BaselinePath
$LSAKey = "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa"

$Current = @{
    AuthenticationPackages = (Get-ItemProperty -Path $LSAKey -Name "Authentication Packages")."Authentication Packages"
    SecurityPackages = (Get-ItemProperty -Path $LSAKey -Name "Security Packages")."Security Packages"
}

$AuthDiff = Compare-Object $Baseline.AuthenticationPackages $Current.AuthenticationPackages
$SecDiff = Compare-Object $Baseline.SecurityPackages $Current.SecurityPackages

if ($AuthDiff -or $SecDiff) {
    Write-Host "Authentication package changes detected!" -ForegroundColor Red
    $AuthDiff | ForEach-Object { Write-Host "Auth Package: $($_.InputObject) ($($_.SideIndicator))" }
    $SecDiff | ForEach-Object { Write-Host "Security Package: $($_.InputObject) ($($_.SideIndicator))" }
} else {
    Write-Host "No changes detected" -ForegroundColor Green
}

3. Planifiez le script de surveillance à l'aide du Planificateur de tâches pour des vérifications régulières

Effectuer une analyse complète pour identifier les menaces de sécurité potentielles liées aux modifications des packages d'authentification.

1. Créer un script d'analyse PowerShell avancé :

# Analyse avancée des packages d'authentification
$StartDate = (Get-Date).AddDays(-30)
$Events = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4610; StartTime=$StartDate}

# Regrouper par package d'authentification et analyser la fréquence
$PackageStats = $Events | ForEach-Object {
    $AuthPackage = ($_.Message -split '\n' | Where-Object {$_ -like '*Authentication Package Name:*'}) -replace '.*Authentication Package Name:\s*',''
    [PSCustomObject]@{
        Date = $_.TimeCreated.Date
        AuthPackage = $AuthPackage
        ProcessId = $_.ProcessId
    }
} | Group-Object AuthPackage | Select-Object Name, Count, @{Name='FirstSeen';Expression={($_.Group | Sort-Object Date)[0].Date}}, @{Name='LastSeen';Expression={($_.Group | Sort-Object Date)[-1].Date}}

$PackageStats | Format-Table -AutoSize

2. Vérifier les installations suspectes de packages d'authentification :

# Rechercher les packages d'authentification récemment installés
$RecentInstalls = Get-WinEvent -FilterHashtable @{LogName='System'; Id=7045; StartTime=(Get-Date).AddDays(-7)} | Where-Object {$_.Message -like '*authentication*' -or $_.Message -like '*security*'}

$RecentInstalls | ForEach-Object {
    Write-Host "Installation de service : $($_.TimeCreated)" -ForegroundColor Yellow
    Write-Host $_.Message
    Write-Host "---"
}

3. Corréler avec les événements d'installation de logiciels :

# Vérifier les journaux de Windows Installer pour les installations liées à la sécurité
$InstallerEvents = Get-WinEvent -FilterHashtable @{LogName='Application'; ProviderName='MsiInstaller'; StartTime=(Get-Date).AddDays(-7)} | Where-Object {$_.Message -like '*security*' -or $_.Message -like '*authentication*'}

$InstallerEvents | Select-Object TimeCreated, Id, LevelDisplayName, Message | Format-List

4. Générer un rapport de sécurité complet :

# Générer un rapport de sécurité
$Report = @{
    GeneratedDate = Get-Date
    AuthenticationPackages = $PackageStats
    RecentServiceInstalls = $RecentInstalls.Count
    RecentSoftwareInstalls = $InstallerEvents.Count
    SystemUptime = (Get-Date) - (Get-CimInstance -ClassName Win32_OperatingSystem).LastBootUpTime
}

$Report | ConvertTo-Json -Depth 3 | Out-File "C:\Temp\AuthPackageSecurityReport_$(Get-Date -Format 'yyyyMMdd_HHmm').json"