ID d'événement Windows 4707 – Microsoft-Windows-Security-Auditing : Confiance cryptographique supprimée

Commencez par examiner les détails complets de l'événement pour comprendre quelle confiance a été retirée et par qui.

1. Ouvrez Observateur d'événements en appuyant sur Win + R, en tapant eventvwr.msc, et en appuyant sur Entrée
2. Accédez à Journaux Windows → Sécurité
3. Filtrez pour l'ID d'événement 4707 en utilisant l'option Filtrer le journal actuel
4. Double-cliquez sur l'événement pour voir des informations détaillées incluant :
   • Sujet : Compte utilisateur qui a effectué l'action
   • Informations sur le certificat : Empreinte, émetteur et détails du sujet
   • Informations sur le processus : Application qui a initié la suppression
5. Notez l'horodatage et corrélez-le avec les récents changements ou activités de maintenance du système

Utilisez PowerShell pour interroger plusieurs événements efficacement :

Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4707} -MaxEvents 50 | Select-Object TimeCreated, Id, LevelDisplayName, Message | Format-Table -Wrap

Vérifiez l'état actuel des magasins de certificats pour comprendre quelles confiances restent et identifier les certificats manquants.

1. Ouvrez Gestionnaire de certificats en exécutant certlm.msc en tant qu'administrateur
2. Développez Autorités de certification racines de confiance → Certificats
3. Examinez la liste des AC racines de confiance et comparez-la avec la liste des certificats approuvés de votre organisation
4. Vérifiez les Autorités de certification intermédiaires pour tout certificat intermédiaire manquant
5. Utilisez PowerShell pour énumérer les magasins de certificats de manière programmatique :

# Lister tous les certificats dans le magasin Racine de confiance
Get-ChildItem -Path Cert:\LocalMachine\Root | Select-Object Subject, Issuer, Thumbprint, NotAfter | Format-Table -AutoSize

# Vérifier un certificat spécifique par empreinte digitale à partir de l'événement 4707
$thumbprint = "COLLER_EMPREINTE_DIGITALE_DE_L'ÉVÉNEMENT_ICI"
Get-ChildItem -Path Cert:\LocalMachine\Root | Where-Object {$_.Thumbprint -eq $thumbprint}

Documentez tout certificat manquant qui pourrait devoir être réinstallé pour le bon fonctionnement du système.

Enquêtez pour savoir si des modifications de la stratégie de groupe ou des politiques de sécurité ont déclenché la suppression du certificat.

1. Ouvrez la Console de gestion des stratégies de groupe (gpmc.msc) si vous êtes dans un environnement de domaine
2. Examinez les modifications récentes des politiques affectant la gestion des certificats:
   • Configuration de l'ordinateur → Paramètres Windows → Paramètres de sécurité → Politiques de clés publiques
   • Paramètres de validation du chemin d'accès des certificats
   • Politiques des autorités de certification racines de confiance
3. Vérifiez les paramètres de la politique de sécurité locale en utilisant secpol.msc
4. Utilisez PowerShell pour examiner les résultats de la stratégie de groupe :

# Générer un rapport de stratégie de groupe
Get-GPResultantSetOfPolicy -ReportType Html -Path "C:\Temp\GPReport.html"

# Vérifier les paramètres de registre liés aux certificats
Get-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\SystemCertificates\Root\Certificates" -ErrorAction SilentlyContinue

Déterminez quel processus ou utilisateur a initié la suppression du certificat pour identifier la cause première.

1. À partir des détails de l'événement 4707, notez le Nom du processus et l'ID du processus
2. Recoupez avec d'autres événements de sécurité autour de la même période :

# Trouver des événements liés par ID de processus
$processId = "1234"  # Remplacez par le PID réel de l'événement
$startTime = (Get-Date).AddHours(-2)
$endTime = Get-Date

Get-WinEvent -FilterHashtable @{
    LogName='Security'
    StartTime=$startTime
    EndTime=$endTime
} | Where-Object {$_.Message -like "*$processId*"} | Select-Object TimeCreated, Id, Message

3. Vérifiez si le processus était une maintenance système légitime ou une activité potentiellement malveillante
4. Examinez les détails du compte utilisateur et vérifiez si l'action était autorisée
5. Examinez le contexte d'exécution du processus à l'aide de Process Monitor si le problème persiste
6. Vérifiez les journaux de Windows Defender ou d'autres logiciels de sécurité pour des actions liées aux certificats

Restaurez les certificats nécessaires et mettez en place une surveillance pour prévenir les problèmes futurs.

1. Si des certificats légitimes ont été supprimés par erreur, restaurez-les à partir de la sauvegarde ou téléchargez-les depuis l'AC émettrice
2. Pour les environnements de domaine, utilisez la stratégie de groupe pour déployer des certificats de confiance :

# Importer le certificat dans le magasin des racines de confiance
$certPath = "C:\Temp\TrustedCA.cer"
Import-Certificate -FilePath $certPath -CertStoreLocation Cert:\LocalMachine\Root

# Vérifier l'installation du certificat
Get-ChildItem -Path Cert:\LocalMachine\Root | Where-Object {$_.Subject -like "*YourCA*"}

3. Configurez la politique d'audit avancée pour surveiller les modifications de certificats :

# Activer l'audit pour les opérations sur les certificats
auditpol /set /subcategory:"Other Object Access Events" /success:enable /failure:enable

# Vérifier les paramètres de la politique d'audit
auditpol /get /subcategory:"Other Object Access Events"

4. Mettez en place une surveillance automatisée à l'aide de scripts PowerShell ou d'une intégration SIEM
5. Créez des alertes pour les occurrences de l'ID d'événement 4707 afin de détecter les modifications non autorisées futures
6. Documentez l'incident et mettez à jour les procédures de gestion des changements pour prévenir la récurrence

Envisagez de mettre en œuvre le pinning de certificats ou des mécanismes de validation supplémentaires pour les applications critiques afin de réduire la dépendance aux magasins de confiance du système.