ID d'événement Windows 4612 – LSA : Modifications de la politique d'audit de sécurité

Commencez par examiner les modifications spécifiques de la politique d'audit enregistrées dans l'ID d'événement 4612 :

1. Ouvrez Observateur d'événements → Journaux Windows → Sécurité
2. Filtrez pour l'ID d'événement 4612 en utilisant l'option de filtre
3. Double-cliquez sur l'événement 4612 le plus récent pour voir les détails
4. Dans l'onglet Général, examinez la description de l'événement et l'horodatage
5. Passez à l'onglet Détails et examinez les données XML
6. Cherchez le champ AuditPolicyChanges montrant quelles catégories ont été modifiées
7. Notez le SubjectUserName et le SubjectDomainName pour identifier qui a effectué les modifications
8. Vérifiez le champ ProcessName pour voir quel outil a été utilisé (auditpol.exe, Stratégie de groupe, etc.)

Utilisez PowerShell pour interroger plusieurs événements 4612 efficacement :

Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4612} -MaxEvents 20 | Format-Table TimeCreated, Id, LevelDisplayName, Message -Wrap

Comparez la politique d'audit actuelle avec les paramètres attendus pour identifier les changements non autorisés :

1. Ouvrez Invite de commandes en tant qu'administrateur
2. Exécutez la commande suivante pour afficher la politique d'audit actuelle :

auditpol /get /category:*

3. Examinez chaque catégorie d'audit et son paramètre actuel (Succès, Échec, Succès et Échec, ou Pas d'audit)
4. Comparez avec la base de sécurité ou les exigences de conformité de votre organisation
5. Pour des informations détaillées sur les sous-catégories, utilisez :

auditpol /get /subcategory:*

6. Exportez les paramètres actuels pour la documentation :

auditpol /backup /file:C:\temp\current_audit_policy.csv

7. Utilisez PowerShell pour obtenir la politique d'audit dans un format plus lisible :

Get-AuditPolicy | Format-Table Category, Subcategory, AuditFlag -AutoSize

Vérifiez si des modifications de la stratégie de groupe ont causé les modifications de la stratégie d'audit :

1. Ouvrez Group Policy Management Console (gpmc.msc)
2. Accédez au GPO pertinent affectant le système cible
3. Modifiez le GPO et allez à Configuration de l'ordinateur → Stratégies → Paramètres Windows → Paramètres de sécurité → Configuration avancée de la stratégie d'audit
4. Examinez chaque catégorie de stratégie d'audit pour les modifications récentes
5. Vérifiez la section Options de sécurité pour les paramètres liés à l'audit
6. Utilisez PowerShell pour analyser les résultats de la stratégie de groupe :

Get-GPResultantSetOfPolicy -ReportType Html -Path C:\temp\gpresult.html

7. Examinez le rapport généré pour les paramètres de la stratégie d'audit
8. Vérifiez les journaux d'événements de la stratégie de groupe pour l'application de la stratégie :

Get-WinEvent -FilterHashtable @{LogName='System'; Id=1502,1503} -MaxEvents 10

9. Vérifiez quand la stratégie de groupe a été appliquée pour la dernière fois :

gpresult /r /scope:computer

Examinez les emplacements du registre où les paramètres de la politique d'audit sont stockés :

1. Ouvrez l'Éditeur du Registre (regedit.exe) en tant qu'Administrateur
2. Accédez à l'emplacement principal de la politique d'audit :

HKLM\SECURITY\Policy\PolAdtEv

3. Vérifiez l'emplacement de la politique d'audit de la stratégie de groupe :

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Audit

4. Utilisez PowerShell pour surveiller les changements du registre en temps réel :

$action = { Write-Host "Changement de registre détecté : $($Event.SourceEventArgs.FullPath)" }
Register-WmiEvent -Query "SELECT * FROM RegistryKeyChangeEvent WHERE Hive='HKEY_LOCAL_MACHINE' AND KeyPath='SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Policies\\System\\Audit'" -Action $action

5. Vérifiez les modifications récentes du registre à l'aide de Process Monitor (ProcMon) :
6. Définissez des filtres pour l'activité du registre sur les clés liées à l'audit
7. Cherchez les processus modifiant les valeurs du registre de la politique d'audit

Configurer une surveillance complète pour les futurs changements de politique d'audit :

1. Créer un script PowerShell pour surveiller l'ID d'événement 4612 :

# Enregistrer sous Monitor-AuditPolicyChanges.ps1
$query = @"

  
    *[System[EventID=4612]]
  

"@

Register-WmiEvent -Query "SELECT * FROM __InstanceCreationEvent WITHIN 5 WHERE TargetInstance ISA 'Win32_NTLogEvent' AND TargetInstance.EventCode = 4612" -Action {
    $event = $Event.SourceEventArgs.NewEvent.TargetInstance
    Write-Host "Changement de politique d'audit détecté à $($event.TimeGenerated)"
    Write-Host "Utilisateur : $($event.User)"
    Write-Host "Message : $($event.Message)"
    # Ajouter une notification par email ou une intégration SIEM ici
}

2. Configurer le transfert des événements Windows pour une surveillance centralisée :
3. Sur le serveur collecteur, créer une vue personnalisée pour l'ID d'événement 4612
4. Configurer l'intégration SIEM pour alerter sur les changements de politique d'audit
5. Créer une configuration de politique d'audit de référence :

auditpol /backup /file:C:\baseline\baseline_audit_policy.csv

6. Planifier des vérifications de conformité régulières :

# Comparer la politique actuelle avec la référence
$baseline = Import-Csv C:\baseline\baseline_audit_policy.csv
$current = auditpol /get /subcategory:* /r /format:csv | ConvertFrom-Csv

$differences = Compare-Object $baseline $current -Property 'Subcategory Name','Inclusion Setting'
if ($differences) {
    Write-Warning "Dérive de politique d'audit détectée !"
    $differences | Format-Table
}