ID d'événement Windows 4742 – Microsoft-Windows-Security-Auditing : Compte d'ordinateur modifié

Commencez par examiner les détails spécifiques de l'événement pour comprendre ce qui a changé et qui a initié la modification.

1. Ouvrez Observateur d'événements sur le contrôleur de domaine où l'événement s'est produit
2. Accédez à Journaux Windows → Sécurité
3. Filtrez pour l'ID d'événement 4742 en utilisant l'option de filtre ou la fonctionnalité de recherche
4. Double-cliquez sur l'événement pour voir des informations détaillées incluant :
   • Champs de sujet montrant qui a effectué le changement
   • Champs de compte d'ordinateur identifiant l'ordinateur cible
   • Section Attributs modifiés listant les propriétés modifiées
5. Notez l'horodatage, la station de travail source et le type de connexion pour la corrélation

Utilisez PowerShell pour interroger plusieurs événements efficacement :

Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4742} -MaxEvents 50 | Select-Object TimeCreated, Id, LevelDisplayName, Message | Format-Table -Wrap

Utilisez PowerShell pour extraire et analyser les modèles de modification des comptes d'ordinateur sur vos contrôleurs de domaine.

1. Interrogez les événements de plusieurs contrôleurs de domaine pour obtenir une vue d'ensemble complète :

$DCs = Get-ADDomainController -Filter *
$Events = @()
foreach ($DC in $DCs) {
    $Events += Get-WinEvent -ComputerName $DC.Name -FilterHashtable @{LogName='Security'; Id=4742; StartTime=(Get-Date).AddDays(-7)} -ErrorAction SilentlyContinue
}
$Events | Select-Object TimeCreated, MachineName, @{Name='ComputerAccount';Expression={($_.Message -split '\n' | Where-Object {$_ -like '*Account Name:*'})[1] -replace '.*Account Name:\s*',''}}

2. Filtrez les événements par comptes d'ordinateur spécifiques ou plages de temps :

Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4742; StartTime=(Get-Date).AddHours(-24)} | Where-Object {$_.Message -like '*COMPUTER01*'} | Format-List TimeCreated, Message

3. Exportez les événements pour une analyse plus approfondie ou un rapport de conformité :

Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4742; StartTime=(Get-Date).AddDays(-30)} | Export-Csv -Path "C:\Temp\ComputerAccountChanges.csv" -NoTypeInformation

Recoupez l'ID d'événement 4742 avec les événements de réplication Active Directory et d'autres journaux de sécurité pour comprendre le contexte complet des modifications de compte d'ordinateur.

1. Vérifiez les événements connexes qui pourraient indiquer la source des modifications :

# Recherchez les événements de connexion liés du même utilisateur
$UserSID = "S-1-5-21-..."
Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4624,4625,4648; StartTime=(Get-Date).AddHours(-2)} | Where-Object {$_.Message -like "*$UserSID*"}

2. Vérifiez l'état du compte d'ordinateur dans Active Directory :

Get-ADComputer -Identity "COMPUTER01" -Properties * | Select-Object Name, Enabled, LastLogonDate, PasswordLastSet, MemberOf

3. Vérifiez le traitement des stratégies de groupe qui pourrait déclencher des modifications de compte d'ordinateur :

Get-WinEvent -FilterHashtable @{LogName='System'; Id=1502,1503} -MaxEvents 20 | Where-Object {$_.Message -like '*COMPUTER01*'}

4. Examinez les journaux d'événements du service d'annuaire pour les problèmes de réplication :

Get-WinEvent -FilterHashtable @{LogName='Directory Service'; Id=1644,1645} -MaxEvents 10

Configurez une surveillance complète des modifications de comptes d'ordinateur pour détecter les modifications non autorisées et maintenir la conformité de sécurité.

1. Créez une vue personnalisée dans le Visualiseur d'événements pour la surveillance des comptes d'ordinateur :
2. Ouvrez Visualiseur d'événements → Vues personnalisées → Créer une vue personnalisée
3. Configurez les critères de filtrage :
   • Journaux d'événements : Sécurité
   • ID d'événements : 4742
   • Mots-clés : Succès de l'audit
4. Enregistrez sous "Modifications de comptes d'ordinateur"

2. Configurez un script de surveillance basé sur PowerShell :

# Surveiller les modifications suspectes de comptes d'ordinateur
$LastCheck = (Get-Date).AddMinutes(-15)
$SuspiciousEvents = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4742; StartTime=$LastCheck} | Where-Object {
    $_.Message -notlike '*SYSTEM*' -and 
    $_.Message -like '*Account Name:*' -and
    ($_.Message -like '*Enabled*' -or $_.Message -like '*Group*')
}

if ($SuspiciousEvents) {
    $SuspiciousEvents | ForEach-Object {
        Send-MailMessage -To "admin@company.com" -From "monitoring@company.com" -Subject "Changement suspect de compte d'ordinateur" -Body $_.Message -SmtpServer "mail.company.com"
    }
}

3. Configurez le transfert d'événements Windows pour une surveillance centralisée :
4. Sur le serveur collecteur, exécutez : wecutil qc
5. Créez un fichier de configuration d'abonnement :

<Subscription xmlns="http://schemas.microsoft.com/2006/03/windows/events/subscription">
    <SubscriptionId>ComputerAccountChanges</SubscriptionId>
    <Query>
        <Select Path="Security">*[System[EventID=4742]]</Select>
    </Query>
</Subscription>

4. Importez l'abonnement : wecutil cs subscription.xml

Effectuer une analyse médico-légale détaillée des modifications de comptes informatiques pour les enquêtes de sécurité et les audits de conformité.

1. Extraire des informations d'événements détaillées pour l'analyse médico-légale :

# Créer un rapport médico-légal détaillé
$Events = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4742; StartTime=(Get-Date).AddDays(-90)}
$Report = @()

foreach ($Event in $Events) {
    $XML = [xml]$Event.ToXml()
    $EventData = @{}
    $XML.Event.EventData.Data | ForEach-Object {
        $EventData[$_.Name] = $_.'#text'
    }
    
    $Report += [PSCustomObject]@{
        TimeCreated = $Event.TimeCreated
        SubjectUserName = $EventData.SubjectUserName
        SubjectDomainName = $EventData.SubjectDomainName
        TargetUserName = $EventData.TargetUserName
        TargetDomainName = $EventData.TargetDomainName
        ChangedAttributes = ($XML.Event.EventData.Data | Where-Object {$_.Name -like '*Changed*'} | ForEach-Object {$_.'#text'}) -join '; '
    }
}

$Report | Export-Csv -Path "C:\Forensics\ComputerAccountChanges_$(Get-Date -Format 'yyyyMMdd').csv" -NoTypeInformation

2. Analyser les modèles et les anomalies :

# Identifier les modèles de modification inhabituels
$Report | Group-Object SubjectUserName | Sort-Object Count -Descending | Select-Object Name, Count
$Report | Group-Object TargetUserName | Sort-Object Count -Descending | Select-Object Name, Count

3. Générer des rapports de conformité avec des périodes spécifiques :

# Rapport de conformité mensuel
$StartDate = (Get-Date).AddDays(-30)
$ComplianceReport = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4742; StartTime=$StartDate} | 
    Select-Object TimeCreated, @{Name='ModifiedBy';Expression={($_.Message -split '\n' | Where-Object {$_ -like '*Subject:*'} | Select-Object -Skip 1 -First 1) -replace '.*Account Name:\s*',''}}, 
    @{Name='ComputerModified';Expression={($_.Message -split '\n' | Where-Object {$_ -like '*Computer Account:*'} | Select-Object -Skip 1 -First 1) -replace '.*Account Name:\s*',''}}

$ComplianceReport | Export-Csv -Path "C:\Compliance\Monthly_Computer_Changes_$(Get-Date -Format 'yyyy-MM').csv" -NoTypeInformation