ID d'événement Windows 4663 – Sécurité : Une tentative d'accès à un objet a été effectuée

Commencez par examiner les détails spécifiques de l'ID d'événement 4663 pour comprendre quel objet a été accédé et par qui.

1. Ouvrez Observateur d'événements en appuyant sur Win + R, en tapant eventvwr.msc, et en appuyant sur Entrée
2. Accédez à Journaux Windows → Sécurité
3. Filtrez pour l'ID d'événement 4663 en cliquant avec le bouton droit sur le journal Sécurité et en sélectionnant Filtrer le journal actuel
4. Entrez 4663 dans le champ ID d'événements et cliquez sur OK
5. Double-cliquez sur un événement 4663 pour voir des informations détaillées, y compris :
   • Sujet : Compte utilisateur qui a tenté l'accès
   • Objet : Chemin complet et type de l'objet accédé
   • Informations sur le processus : Nom et ID du processus qui a initié l'accès
   • Informations sur la demande d'accès : Permissions spécifiques demandées
6. Notez la valeur du Masque d'accès pour comprendre quel type d'accès a été tenté (0x1 = Lecture, 0x2 = Écriture, 0x20 = Exécution)

Utilisez PowerShell pour interroger et analyser efficacement les entrées d'ID d'événement 4663 pour des motifs ou des objets spécifiques.

1. Ouvrez PowerShell en tant qu'administrateur
2. Interrogez les événements récents 4663 avec un filtrage de base :

   Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4663} -MaxEvents 50 | Select-Object TimeCreated, Id, LevelDisplayName, Message

3. Filtrez les événements pour un chemin d'objet spécifique :

   Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4663} | Where-Object {$_.Message -like "*C:\Sensitive\*"} | Select-Object TimeCreated, Message

4. Extrayez des données structurées des propriétés de l'événement :

   $Events = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4663} -MaxEvents 100
   foreach ($Event in $Events) {
       $XML = [xml]$Event.ToXml()
       $EventData = $XML.Event.EventData.Data
       [PSCustomObject]@{
           TimeCreated = $Event.TimeCreated
           SubjectUserName = ($EventData | Where-Object {$_.Name -eq 'SubjectUserName'}).'#text'
           ObjectName = ($EventData | Where-Object {$_.Name -eq 'ObjectName'}).'#text'
           ProcessName = ($EventData | Where-Object {$_.Name -eq 'ProcessName'}).'#text'
           AccessMask = ($EventData | Where-Object {$_.Name -eq 'AccessMask'}).'#text'
       }
   }

5. Exportez les résultats pour une analyse plus approfondie :

   $Results | Export-Csv -Path "C:\Temp\Event4663_Analysis.csv" -NoTypeInformation

Configurez correctement les politiques d'audit pour contrôler quand l'ID d'événement 4663 est généré et réduire le bruit des événements inutiles.

1. Ouvrez Stratégie de sécurité locale en exécutant secpol.msc ou via la gestion des stratégies de groupe
2. Accédez à Paramètres de sécurité → Configuration avancée de la stratégie d'audit → Accès aux objets
3. Configurez les politiques suivantes en fonction de vos besoins de surveillance :
   • Audit du système de fichiers : Activer pour la surveillance de l'accès aux fichiers et dossiers
   • Audit du registre : Activer pour le suivi de l'accès aux clés de registre
   • Audit de la manipulation des poignées : Activer pour le suivi détaillé des poignées d'objets
4. Pour l'audit spécifique de fichiers/dossiers, configurez les SACL (Listes de contrôle d'accès système) :

   # Définir l'audit sur un dossier spécifique
   $Path = "C:\Sensitive"
   $AuditRules = New-Object System.Security.AccessControl.FileSystemAuditRule("Everyone", "FullControl", "ContainerInherit,ObjectInherit", "None", "Success,Failure")
   $ACL = Get-Acl $Path
   $ACL.SetAuditRule($AuditRules)
   Set-Acl -Path $Path -AclObject $ACL

5. Vérifiez les paramètres de la politique d'audit :

   auditpol /get /category:"Object Access"

6. Testez la configuration en accédant à l'objet audité et en vérifiant la génération de l'ID d'événement 4663

Analysez les modèles d'ID d'événement 4663 pour identifier les incidents de sécurité potentiels ou les tentatives d'accès non autorisées.

1. Créez un script PowerShell pour identifier les modèles d'accès inhabituels :

   # Identifier les tentatives d'accès à haute fréquence
   $StartTime = (Get-Date).AddHours(-24)
   $Events = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4663; StartTime=$StartTime}
   
   # Regrouper par utilisateur et objet pour trouver des modèles
   $AccessPatterns = $Events | ForEach-Object {
       $XML = [xml]$_.ToXml()
       $EventData = $XML.Event.EventData.Data
       [PSCustomObject]@{
           User = ($EventData | Where-Object {$_.Name -eq 'SubjectUserName'}).'#text'
           Object = ($EventData | Where-Object {$_.Name -eq 'ObjectName'}).'#text'
           Process = ($EventData | Where-Object {$_.Name -eq 'ProcessName'}).'#text'
           Time = $_.TimeCreated
       }
   } | Group-Object User, Object | Where-Object {$_.Count -gt 10}
   
   $AccessPatterns | Select-Object Name, Count

2. Vérifiez les tentatives d'accès en dehors des heures de bureau :

   # Trouver les accès en dehors des heures (en dehors de 8h à 18h)
   $AfterHoursEvents = $Events | Where-Object {
       $Hour = $_.TimeCreated.Hour
       $Hour -lt 8 -or $Hour -gt 18
   }

3. Corrélez avec les événements de connexion échouée (ID d'événement 4625) pour identifier les modèles d'attaque potentiels
4. Examinez les noms de processus pour des exécutables inhabituels ou suspects accédant à des objets sensibles
5. Recoupez avec les journaux réseau et les outils de détection des points de terminaison pour une analyse complète
6. Documentez les résultats et créez des alertes pour des modèles similaires à l'avenir

Ajustez l'audit d'accès aux objets pour équilibrer les besoins de surveillance de la sécurité avec les exigences de performance du système et de stockage des journaux.

1. Analysez le volume actuel des journaux d'audit et l'impact sur les performances :

   # Vérifiez la taille du journal de sécurité et le nombre d'événements
   Get-WinEvent -ListLog Security | Select-Object LogName, RecordCount, MaximumSizeInBytes, LogFilePath
   
   # Comptez les événements 4663 au cours des dernières 24 heures
   $Count = (Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4663; StartTime=(Get-Date).AddDays(-1)} -ErrorAction SilentlyContinue).Count
   Write-Host "Nombre d'événements ID 4663 (24h) : $Count"

2. Configurez la stratégie d'audit avancée pour réduire le bruit :

   # Désactivez l'audit pour les processus spécifiques qui génèrent des événements excessifs
   auditpol /set /subcategory:"File System" /success:enable /failure:enable
   auditpol /set /subcategory:"Registry" /success:enable /failure:disable

3. Mettez en œuvre l'audit conditionnel en utilisant les politiques d'audit basées sur des expressions dans la stratégie de groupe :
   • Créez des conditions basées sur des groupes d'utilisateurs, des noms de processus ou des chemins d'objets
   • Utilisez le mode de mise en scène pour tester les politiques d'audit avant le déploiement complet
4. Configurez la rétention et l'archivage du journal de sécurité :

   # Augmentez la taille du journal de sécurité (nécessite un redémarrage)
   Limit-EventLog -LogName Security -MaximumSize 512MB -OverflowAction OverwriteAsNeeded

5. Configurez le transfert de journaux vers un système SIEM centralisé ou de gestion des journaux :

   # Configurez l'abonnement au transfert d'événements Windows
   wecutil cs subscription.xml

6. Surveillez l'impact sur les performances du système et ajustez la portée de l'audit si nécessaire