ID d'événement Windows 4715 – Microsoft-Windows-Security-Auditing : Politique de contrôle d'accès de la sécurité du système modifiée

Commencez par examiner les détails spécifiques de l'ID d'événement 4715 pour comprendre quels changements de politique ont eu lieu.

1. Ouvrez Observateur d'événements en appuyant sur Win + R, en tapant eventvwr.msc, et en appuyant sur Entrée
2. Accédez à Journaux Windows → Sécurité
3. Filtrez pour l'ID d'événement 4715 en cliquant avec le bouton droit sur le journal Sécurité et en sélectionnant Filtrer le journal actuel
4. Entrez 4715 dans le champ ID d'événements et cliquez sur OK
5. Double-cliquez sur les événements 4715 récents pour voir des informations détaillées
6. Examinez les données de l'événement, y compris la catégorie de politique, les changements de sous-catégorie et les informations sur le processus

Utilisez PowerShell pour interroger plusieurs événements efficacement :

Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4715} -MaxEvents 50 | Format-Table TimeCreated, Id, LevelDisplayName, Message -Wrap

Recoupez l'ID d'événement 4715 avec les événements de traitement de la stratégie de groupe pour comprendre la source des modifications de la stratégie.

1. Ouvrez Observateur d'événements et accédez à Journaux des applications et des services → Microsoft → Windows → GroupPolicy → Operational
2. Cherchez des événements autour du même moment que les événements 4715, en particulier les ID d'événement 1502 (début du traitement de la stratégie de groupe) et 1503 (fin du traitement de la stratégie de groupe)
3. Vérifiez le journal Système pour l'ID d'événement 1129 (traitement de la stratégie de groupe terminé avec succès)
4. Utilisez PowerShell pour corréler les événements par horodatage :

# Obtenez les événements 4715 des dernières 24 heures
$securityEvents = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4715; StartTime=(Get-Date).AddDays(-1)}

# Obtenez les événements de stratégie de groupe de la même période
$gpEvents = Get-WinEvent -FilterHashtable @{LogName='Microsoft-Windows-GroupPolicy/Operational'; StartTime=(Get-Date).AddDays(-1)}

# Affichez les événements corrélés
$securityEvents | ForEach-Object {
    $eventTime = $_.TimeCreated
    Write-Host "Changement de politique de sécurité : $eventTime"
    $gpEvents | Where-Object {$_.TimeCreated -gt $eventTime.AddMinutes(-5) -and $_.TimeCreated -lt $eventTime.AddMinutes(5)} | Select-Object TimeCreated, Id, LevelDisplayName
}

Comparez les paramètres actuels de la politique de sécurité avec les configurations précédentes pour identifier les changements spécifiques.

1. Exportez la configuration actuelle de la politique de sécurité en utilisant secedit :

# Exporter la base de données de sécurité actuelle dans un format lisible
secedit /export /cfg C:\temp\current_security_policy.inf /areas SECURITYPOLICY

# Générer un rapport d'analyse de sécurité
secedit /analyze /cfg C:\temp\current_security_policy.inf /db C:\temp\security_analysis.sdb /log C:\temp\analysis.log

2. Examinez le fichier de politique exporté pour comprendre les paramètres actuels :

# Voir des sections spécifiques de la politique de sécurité
Get-Content C:\temp\current_security_policy.inf | Select-String -Pattern "Audit|Rights|Privilege"

3. Vérifiez le jeu de politiques résultant de la stratégie de groupe (RSoP) pour des informations détaillées sur la politique :

# Générer un rapport RSoP pour l'utilisateur et l'ordinateur actuels
gpresult /h C:\temp\gpresult.html /f

# Voir des paramètres de sécurité spécifiques
gpresult /z | Select-String -Pattern "Security Settings|Audit Policy"

4. Utilisez PowerShell pour interroger des paramètres spécifiques de la politique d'audit :

# Obtenir la configuration actuelle de la politique d'audit
auditpol /get /category:*

# Obtenir des informations détaillées sur les sous-catégories
auditpol /get /subcategory:* /r

Configurez la surveillance améliorée pour suivre plus efficacement les futurs changements de politique et leurs sources.

1. Activez les sous-catégories de politique d'audit avancée pour un meilleur suivi :

# Activer le suivi des changements de politique d'audit
auditpol /set /subcategory:"Audit Policy Change" /success:enable /failure:enable

# Activer l'audit de l'extension du système de sécurité
auditpol /set /subcategory:"Security System Extension" /success:enable /failure:enable

# Activer l'audit de l'intégrité du système
auditpol /set /subcategory:"System Integrity" /success:enable /failure:enable

2. Configurez la stratégie de groupe pour enregistrer des informations détaillées sur le traitement des politiques :
3. Accédez à Configuration de l'ordinateur → Modèles d'administration → Système → Stratégie de groupe
4. Activez Configurer le traitement de la stratégie de groupe pour utiliser le rafraîchissement synchrone de la politique de premier plan
5. Activez Activer la journalisation de la stratégie de groupe
6. Configurez un script de surveillance PowerShell pour le suivi en temps réel :

# Créer un script de surveillance pour les changements de politique
$action = {
    $event = $Event.SourceEventArgs.NewEvent
    $message = "Changement de politique détecté : {0} à {1}" -f $event.Id, $event.TimeCreated
    Write-Host $message -ForegroundColor Yellow
    
    # Enregistrer dans un fichier personnalisé
    $logEntry = "{0}: Événement {1} - {2}" -f $event.TimeCreated, $event.Id, $event.Message
    Add-Content -Path "C:\temp\policy_changes.log" -Value $logEntry
}

# Enregistrer le surveillant d'événements
Register-WmiEvent -Query "SELECT * FROM Win32_NTLogEvent WHERE LogFile='Security' AND EventCode=4715" -Action $action

Effectuer une analyse judiciaire lorsque l'ID d'événement 4715 indique des modifications potentielles non autorisées de la politique de sécurité.

1. Identifier le processus source et le contexte utilisateur pour les modifications de politique :

# Interroger les informations détaillées de l'événement, y compris les détails du processus
Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4715} -MaxEvents 20 | ForEach-Object {
    $xml = [xml]$_.ToXml()
    $processId = $xml.Event.EventData.Data | Where-Object {$_.Name -eq 'ProcessId'} | Select-Object -ExpandProperty '#text'
    $processName = $xml.Event.EventData.Data | Where-Object {$_.Name -eq 'ProcessName'} | Select-Object -ExpandProperty '#text'
    $subjectUserName = $xml.Event.EventData.Data | Where-Object {$_.Name -eq 'SubjectUserName'} | Select-Object -ExpandProperty '#text'
    
    Write-Host "Heure : $($_.TimeCreated) | Processus : $processName ($processId) | Utilisateur : $subjectUserName"
}

2. Vérifier les événements de connexion liés pour identifier la source des modifications :

# Rechercher les événements de connexion autour de l'heure des modifications de politique
$policyChangeTime = (Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4715} -MaxEvents 1).TimeCreated
$startTime = $policyChangeTime.AddMinutes(-30)
$endTime = $policyChangeTime.AddMinutes(30)

Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4624,4625; StartTime=$startTime; EndTime=$endTime} | Format-Table TimeCreated, Id, Message -Wrap

3. Analyser les modifications du registre liées aux politiques de sécurité :

# Vérifier les emplacements du registre de la politique de sécurité
$securityKeys = @(
    'HKLM\SYSTEM\CurrentControlSet\Control\Lsa',
    'HKLM\SYSTEM\CurrentControlSet\Services\EventLog\Security',
    'HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System'
)

foreach ($key in $securityKeys) {
    Write-Host "Vérification de la clé de registre : $key"
    try {
        Get-ItemProperty -Path "Registry::$key" -ErrorAction Stop | Format-List
    } catch {
        Write-Host "Impossible d'accéder à $key" -ForegroundColor Red
    }
}

4. Examiner les modifications du système de fichiers sur les fichiers liés aux politiques :

# Vérifier les horodatages sur les fichiers de stratégie de groupe
$gpPaths = @(
    "$env:WINDIR\System32\GroupPolicy",
    "$env:WINDIR\System32\GroupPolicyUsers"
)

foreach ($path in $gpPaths) {
    if (Test-Path $path) {
        Get-ChildItem $path -Recurse -File | Where-Object {$_.LastWriteTime -gt (Get-Date).AddDays(-1)} | Format-Table Name, LastWriteTime, Length
    }
}