ID d'événement Windows 4713 – Microsoft-Windows-Security-Auditing : Politique Kerberos modifiée

Commencez par examiner les détails complets de l'événement pour comprendre quel paramètre Kerberos a changé et qui a initié la modification.

1. Ouvrez Observateur d'événements sur le contrôleur de domaine affecté
2. Accédez à Journaux Windows → Sécurité
3. Filtrez pour l'ID d'événement 4713 en utilisant l'option de filtre
4. Double-cliquez sur l'événement pour voir les informations détaillées
5. Examinez l'onglet Général pour les détails de la modification de la politique, y compris :
• Identifiant de sécurité du sujet et nom du compte
• Attributs de politique modifiés et leurs nouvelles valeurs
• Nom et ID du processus responsable du changement
• Nom de l'ordinateur source
6. Vérifiez l'onglet Détails pour la vue XML avec les données complètes de l'événement
7. Notez l'horodatage pour le corréler avec d'autres activités administratives

Utilisez PowerShell pour interroger plusieurs événements efficacement :

Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4713} -MaxEvents 50 | Format-Table TimeCreated, Id, LevelDisplayName, Message -Wrap

Utilisez PowerShell pour extraire et analyser des modifications spécifiques de la politique Kerberos à partir des entrées de l'ID d'événement 4713.

1. Interroger les événements avec un filtrage détaillé :

$Events = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4713; StartTime=(Get-Date).AddDays(-7)}
foreach ($Event in $Events) {
    $EventXML = [xml]$Event.ToXml()
    $EventData = $EventXML.Event.EventData.Data
    Write-Host "Time: $($Event.TimeCreated)"
    Write-Host "Subject: $($EventData | Where-Object {$_.Name -eq 'SubjectUserName'} | Select-Object -ExpandProperty '#text')"
    Write-Host "Policy Changed: $($EventData | Where-Object {$_.Name -eq 'PolicyChanged'} | Select-Object -ExpandProperty '#text')"
    Write-Host "New Value: $($EventData | Where-Object {$_.Name -eq 'NewValue'} | Select-Object -ExpandProperty '#text')"
    Write-Host "---"
}

2. Exporter les événements vers un fichier CSV pour analyse :

Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4713} | Select-Object TimeCreated, Id, LevelDisplayName, UserId, ProcessId, MachineName | Export-Csv -Path "C:\Temp\Kerberos_Policy_Changes.csv" -NoTypeInformation

3. Vérifier les paramètres actuels de la politique Kerberos :

Get-ADDomain | Select-Object MaxPwdAge, MinPwdAge, LockoutDuration, LockoutObservationWindow

Enquêter sur les objets de stratégie de groupe pour identifier la source des modifications de la stratégie Kerberos et vérifier les paramètres actuels.

1. Ouvrir Group Policy Management Console (gpmc.msc)
2. Accéder au domaine et développer Group Policy Objects
3. Cliquez avec le bouton droit sur la stratégie de domaine par défaut et sélectionnez Modifier
4. Accédez à Configuration de l'ordinateur → Stratégies → Paramètres Windows → Paramètres de sécurité → Stratégies de compte → Stratégie Kerberos
5. Examiner les paramètres actuels pour :
• Durée de vie maximale des tickets utilisateur
• Durée de vie maximale des tickets de service
• Tolérance maximale pour la synchronisation de l'horloge de l'ordinateur
• Durée de vie maximale pour le renouvellement des tickets utilisateur
6. Vérifiez l'onglet Sécurité pour voir qui a les autorisations pour modifier la stratégie
7. Utilisez PowerShell pour interroger les paramètres de stratégie de groupe :

Get-GPO -All | Where-Object {$_.DisplayName -like "*Default Domain Policy*"} | Get-GPOReport -ReportType HTML -Path "C:\Temp\DomainPolicy.html"

7. Générez les résultats de la stratégie de groupe pour voir les paramètres effectifs :

gpresult /h "C:\Temp\GPResult.html" /f

Recoupez l'ID d'événement 4713 avec d'autres événements de sécurité pour obtenir une image complète des activités administratives.

1. Recherchez des événements de connexion liés autour de la même période :

$StartTime = (Get-Date).AddHours(-2)
$EndTime = (Get-Date)
Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4624,4625,4648; StartTime=$StartTime; EndTime=$EndTime} | Where-Object {$_.Message -like "*administrator*" -or $_.Message -like "*domain admin*"}

2. Vérifiez les événements de modification de la stratégie de groupe (ID d'événement 5136) :

Get-WinEvent -FilterHashtable @{LogName='Security'; Id=5136; StartTime=(Get-Date).AddDays(-1)} | Where-Object {$_.Message -like "*Kerberos*" -or $_.Message -like "*policy*"}

3. Examinez les événements de création de processus (ID d'événement 4688) pour les outils administratifs :

Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4688; StartTime=(Get-Date).AddHours(-4)} | Where-Object {$_.Message -like "*gpmc.msc*" -or $_.Message -like "*powershell*" -or $_.Message -like "*dsa.msc*"}

4. Vérifiez le journal opérationnel de Windows PowerShell pour l'utilisation des cmdlets :

Get-WinEvent -LogName "Microsoft-Windows-PowerShell/Operational" -MaxEvents 100 | Where-Object {$_.Message -like "*Set-AD*" -or $_.Message -like "*Kerberos*"}

5. Générez un rapport chronologique combinant plusieurs sources d'événements :

$Timeline = @()
$Timeline += Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4713,4624,4648,5136; StartTime=(Get-Date).AddDays(-1)}
$Timeline | Sort-Object TimeCreated | Select-Object TimeCreated, Id, LevelDisplayName, Message | Format-Table -Wrap

Configurez une surveillance complète des modifications de la politique Kerberos pour détecter les modifications non autorisées en temps réel.

1. Créez une tâche planifiée pour surveiller l'ID d'événement 4713 :

$Action = New-ScheduledTaskAction -Execute "PowerShell.exe" -Argument "-Command Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4713; StartTime=(Get-Date).AddMinutes(-5)} | ForEach-Object {Send-MailMessage -To 'admin@company.com' -From 'dc@company.com' -Subject 'Kerberos Policy Changed' -Body $_.Message -SmtpServer 'mail.company.com'}"
$Trigger = New-ScheduledTaskTrigger -Once -At (Get-Date) -RepetitionInterval (New-TimeSpan -Minutes 5) -RepetitionDuration (New-TimeSpan -Days 365)
Register-ScheduledTask -TaskName "Monitor-KerberosPolicy" -Action $Action -Trigger $Trigger -RunLevel Highest

2. Configurez le transfert d'événements Windows pour une surveillance centralisée :

# Sur le serveur collecteur
wecutil cs subscription.xml

# Créez subscription.xml avec le filtre ID d'événement 4713
@"
<Subscription xmlns="http://schemas.microsoft.com/2006/03/windows/events/subscription">
    <SubscriptionId>KerberosPolicyMonitoring</SubscriptionId>
    <SubscriptionType>SourceInitiated</SubscriptionType>
    <Query>
        <![CDATA[
        <QueryList>
            <Query Id="0">
                <Select Path="Security">*[System[EventID=4713]]</Select>
            </Query>
        </QueryList>
        ]]>
    </Query>
</Subscription>
"@ | Out-File subscription.xml

3. Configurez des vues personnalisées dans le Visualiseur d'événements pour la surveillance de la politique Kerberos :

# Créez le XML de vue personnalisée
$CustomView = @"
<ViewerConfig>
  <QueryConfig>
    <QueryParams>
      <Simple>
        <Channel>Security</Channel>
        <EventId>4713</EventId>
        <RelativeTimeInfo>604800000</RelativeTimeInfo>
      </Simple>
    </QueryParams>
  </QueryConfig>
</ViewerConfig>
"@
$CustomView | Out-File "C:\Windows\System32\winevt\Logs\KerberosPolicyView.xml"

4. Configurez la politique d'audit pour garantir la génération de l'ID d'événement 4713 :

auditpol /set /subcategory:"Authentication Policy Change" /success:enable /failure:enable
auditpol /get /subcategory:"Authentication Policy Change"