ID d'événement Windows 4701 – Sécurité : Une tâche planifiée a été désactivée

Commencez par examiner les détails spécifiques de l'entrée de l'ID d'événement 4701 pour comprendre quelle tâche a été désactivée et par qui.

1. Ouvrez Observateur d'événements en appuyant sur Win + R, en tapant eventvwr.msc, et en appuyant sur Entrée
2. Accédez à Journaux Windows → Sécurité
3. Filtrez le journal pour l'ID d'événement 4701 en cliquant avec le bouton droit sur Sécurité → Filtrer le journal actuel
4. Entrez 4701 dans le champ ID d'événements et cliquez sur OK
5. Double-cliquez sur les entrées de l'ID d'événement 4701 pour voir les informations détaillées
6. Notez les champs Nom de la tâche, Chemin de la tâche, et Sujet
7. Vérifiez l'horodatage pour le corréler avec les changements récents du système

Les détails de l'événement montreront exactement quelle tâche a été désactivée et le compte utilisateur responsable du changement. Recoupez ces informations avec vos dossiers de gestion des changements.

Utilisez PowerShell pour rechercher et analyser efficacement les occurrences de l'ID d'événement 4701 dans votre environnement.

1. Ouvrez PowerShell en tant qu'administrateur
2. Exécutez la commande suivante pour récupérer les entrées récentes de l'ID d'événement 4701 :

Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4701} -MaxEvents 50 | Format-Table TimeCreated, Id, LevelDisplayName, Message -Wrap

3. Pour une analyse plus détaillée, extrayez des champs spécifiques :

Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4701} | ForEach-Object {
    $xml = [xml]$_.ToXml()
    [PSCustomObject]@{
        TimeCreated = $_.TimeCreated
        TaskName = $xml.Event.EventData.Data | Where-Object {$_.Name -eq 'TaskName'} | Select-Object -ExpandProperty '#text'
        SubjectUserName = $xml.Event.EventData.Data | Where-Object {$_.Name -eq 'SubjectUserName'} | Select-Object -ExpandProperty '#text'
        SubjectDomainName = $xml.Event.EventData.Data | Where-Object {$_.Name -eq 'SubjectDomainName'} | Select-Object -ExpandProperty '#text'
    }
}

4. Pour rechercher des noms de tâches spécifiques :

Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4701} | Where-Object {$_.Message -like '*TaskName*'}

Cette approche fournit un accès programmatique aux données d'événement et permet une analyse en masse sur plusieurs systèmes.

Vérifiez l'état actuel de la tâche désactivée et réactivez-la si la désactivation était involontaire.

1. Ouvrez Planificateur de tâches en appuyant sur Win + R, en tapant taskschd.msc, et en appuyant sur Entrée
2. Accédez au chemin de la tâche identifié dans les détails de l'ID d'événement 4701
3. Localisez la tâche spécifique qui a été désactivée
4. Cliquez avec le bouton droit sur la tâche et sélectionnez Propriétés
5. Vérifiez l'onglet Général pour voir si la tâche est actuellement désactivée
6. Si vous devez réactiver la tâche, décochez Désactivé dans la section Paramètres
7. Alternativement, utilisez PowerShell pour vérifier et activer les tâches :

# Vérifier l'état de la tâche
Get-ScheduledTask -TaskName "YourTaskName" | Select-Object TaskName, State

# Activer la tâche si nécessaire
Enable-ScheduledTask -TaskName "YourTaskName"

8. Vérifiez que la tâche est maintenant activée :

Get-ScheduledTask -TaskName "YourTaskName" | Format-List TaskName, State, LastRunTime, NextRunTime

Configurez une surveillance proactive pour détecter quand des tâches planifiées critiques sont désactivées de manière inattendue.

1. Créez un script PowerShell pour surveiller l'ID d'événement 4701 :

# Monitor-TaskDisabling.ps1
$CriticalTasks = @('Backup-SystemState', 'Security-Scan', 'Maintenance-Cleanup')

$Events = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4701; StartTime=(Get-Date).AddHours(-1)} -ErrorAction SilentlyContinue

foreach ($Event in $Events) {
    $xml = [xml]$Event.ToXml()
    $TaskName = $xml.Event.EventData.Data | Where-Object {$_.Name -eq 'TaskName'} | Select-Object -ExpandProperty '#text'
    
    if ($TaskName -in $CriticalTasks) {
        Write-Warning "Critical task '$TaskName' was disabled at $($Event.TimeCreated)"
        # Add your alerting logic here (email, SIEM, etc.)
    }
}

2. Planifiez ce script de surveillance pour s'exécuter toutes les heures :

$Action = New-ScheduledTaskAction -Execute 'PowerShell.exe' -Argument '-File C:\Scripts\Monitor-TaskDisabling.ps1'
$Trigger = New-ScheduledTaskTrigger -Once -At (Get-Date) -RepetitionInterval (New-TimeSpan -Hours 1)
$Settings = New-ScheduledTaskSettingsSet -AllowStartIfOnBatteries -DontStopIfGoingOnBatteries
Register-ScheduledTask -TaskName 'Monitor-Task-Disabling' -Action $Action -Trigger $Trigger -Settings $Settings

3. Configurez le transfert d'événements Windows pour une surveillance centralisée dans les environnements d'entreprise
4. Configurez des abonnements de journal d'événements personnalisés pour transférer l'ID d'événement 4701 vers votre SIEM ou système de surveillance

Examinez et resserrez les autorisations sur les tâches planifiées pour éviter les modifications non autorisées.

1. Auditez les autorisations actuelles du Planificateur de tâches à l'aide de PowerShell :

# Obtenir le descripteur de sécurité de la tâche
$TaskName = "VotreTâcheCritique"
$Task = Get-ScheduledTask -TaskName $TaskName
$TaskPath = "\$($Task.TaskPath.TrimStart('\'))$TaskName"

# Utiliser schtasks pour obtenir des informations de sécurité
schtasks /query /tn $TaskPath /xml | Select-String -Pattern "" -Context 0,5

2. Examinez qui a les autorisations pour modifier les tâches planifiées en vérifiant les autorisations du service Planificateur de tâches :

# Vérifier les autorisations du service
$Service = Get-WmiObject -Class Win32_Service -Filter "Name='Schedule'"
$Service.GetSecurityDescriptor()

3. Mettez en œuvre un accès au moindre privilège en modifiant les autorisations des tâches :

# Définir des autorisations spécifiques sur une tâche (nécessite un accès administratif)
# Cet exemple supprime les autorisations de modification pour les utilisateurs non administrateurs
schtasks /change /tn "VotreTâcheCritique" /ru "SYSTEM"

4. Activez l'audit avancé pour l'accès aux objets afin de suivre toutes les modifications des tâches :

# Activer l'audit d'accès aux objets via la stratégie de groupe ou localement
auditpol /set /subcategory:"Other Object Access Events" /success:enable /failure:enable

5. Documentez toutes les tâches planifiées critiques et leurs autorisations requises dans votre base de sécurité
6. Examinez régulièrement les journaux de l'ID d'événement 4701 dans le cadre de vos procédures de surveillance de la sécurité