ID d'événement Windows 4743 – Microsoft-Windows-Security-Auditing : Compte d'ordinateur modifié

Commencez par examiner les détails spécifiques de l'ID d'événement 4743 pour comprendre ce qui a été modifié et par qui.

1. Ouvrez Observateur d'événements sur le contrôleur de domaine où l'événement s'est produit
2. Accédez à Journaux Windows → Sécurité
3. Filtrez pour l'ID d'événement 4743 en utilisant l'option de filtre dans le volet Actions
4. Double-cliquez sur l'événement pour voir les informations détaillées
5. Examinez les champs clés suivants dans les détails de l'événement:
   • Sujet: Indique qui a effectué la modification (ID de sécurité, Nom du compte, Domaine)
   • Compte cible: Identifie le compte d'ordinateur qui a été modifié
   • Attributs modifiés: Liste les attributs spécifiques qui ont été modifiés
   • Informations supplémentaires: Fournit un contexte sur la modification
6. Notez l'horodatage et corrélez-le avec toute activité administrative connue

Utilisez PowerShell pour interroger et analyser les occurrences de l'ID d'événement 4743 sur plusieurs contrôleurs de domaine pour détecter des motifs et des tendances.

1. Ouvrez PowerShell en tant qu'administrateur sur un contrôleur de domaine ou une station de gestion
2. Interrogez les occurrences récentes de l'ID d'événement 4743 :

   Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4743} -MaxEvents 50 | Select-Object TimeCreated, Id, LevelDisplayName, Message

3. Filtrez les événements pour des comptes d'ordinateur spécifiques :

   Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4743} | Where-Object {$_.Message -like "*COMPUTERNAME*"} | Select-Object TimeCreated, Message

4. Interrogez les événements de plusieurs contrôleurs de domaine :

   $DCs = Get-ADDomainController -Filter *
   foreach ($DC in $DCs) {
       Write-Host "Checking $($DC.Name)..."
       Get-WinEvent -ComputerName $DC.Name -FilterHashtable @{LogName='Security'; Id=4743} -MaxEvents 10 -ErrorAction SilentlyContinue
   }

5. Exportez les événements vers un fichier CSV pour analyse :

   Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4743} -MaxEvents 100 | Select-Object TimeCreated, Id, LevelDisplayName, @{Name='ComputerAccount';Expression={($_.Message -split '\n' | Where-Object {$_ -like '*Account Name:*'})[0]}}, @{Name='ModifiedBy';Expression={($_.Message -split '\n' | Where-Object {$_ -like '*Subject:*'})[1]}} | Export-Csv -Path "C:\Temp\Event4743_Analysis.csv" -NoTypeInformation

Assurez-vous de configurer correctement la politique d'audit pour capturer des informations complètes sur les modifications des comptes d'ordinateur.

1. Ouvrez la Console de gestion des stratégies de groupe sur un contrôleur de domaine
2. Accédez à la stratégie par défaut des contrôleurs de domaine ou créez un nouveau GPO
3. Modifiez la stratégie et allez à Configuration de l'ordinateur → Stratégies → Paramètres Windows → Paramètres de sécurité → Configuration avancée de la stratégie d'audit
4. Développez Gestion des comptes et configurez :
   • Audit de la gestion des comptes d'ordinateur : Activer Succès et Échec
   • Audit des autres événements de gestion des comptes : Activer Succès
5. Appliquez la stratégie et forcez la mise à jour sur les contrôleurs de domaine :

   gpupdate /force

6. Vérifiez les paramètres de la politique d'audit à l'aide de auditpol :

   auditpol /get /subcategory:"Computer Account Management"

7. Configurez la taille du journal de sécurité pour accueillir une augmentation de la journalisation :

   wevtutil sl Security /ms:1073741824

Effectuer une enquête détaillée sur les modifications de compte d'ordinateur en utilisant les outils Active Directory et PowerShell.

1. Identifier le compte d'ordinateur cible à partir des détails de l'ID d'événement 4743
2. Vérifier les propriétés actuelles du compte d'ordinateur :

   Get-ADComputer -Identity "COMPUTERNAME" -Properties * | Select-Object Name, Description, OperatingSystem, LastLogonDate, PasswordLastSet, MemberOf

3. Examiner l'historique des attributs du compte d'ordinateur en utilisant repadmin :

   repadmin /showattr DC=domain,DC=com "CN=COMPUTERNAME,CN=Computers,DC=domain,DC=com" /allvalues

4. Vérifier les changements récents de mot de passe :

   Get-ADComputer -Identity "COMPUTERNAME" -Properties PasswordLastSet | Select-Object Name, PasswordLastSet

5. Examiner les changements d'appartenance aux groupes :

   Get-ADPrincipalGroupMembership -Identity "COMPUTERNAME$" | Select-Object Name, GroupCategory, GroupScope

6. Examiner les noms principaux de service (SPN) si applicable :

   Get-ADComputer -Identity "COMPUTERNAME" -Properties ServicePrincipalNames | Select-Object Name, ServicePrincipalNames

7. Recouper avec d'autres événements de sécurité autour de la même période :

   Get-WinEvent -FilterHashtable @{LogName='Security'; StartTime=(Get-Date).AddHours(-2); EndTime=(Get-Date)} | Where-Object {$_.Message -like "*COMPUTERNAME*"} | Select-Object Id, TimeCreated, Message

Configurez la surveillance automatisée pour l'ID d'événement 4743 afin de détecter les modifications non autorisées ou suspectes des comptes d'ordinateur.

1. Créez une tâche planifiée pour surveiller l'ID d'événement 4743:

   $Action = New-ScheduledTaskAction -Execute "PowerShell.exe" -Argument "-File C:\Scripts\Monitor-Event4743.ps1"
   $Trigger = New-ScheduledTaskTrigger -Once -At (Get-Date) -RepetitionInterval (New-TimeSpan -Minutes 15) -RepetitionDuration (New-TimeSpan -Days 365)
   $Settings = New-ScheduledTaskSettingsSet -AllowStartIfOnBatteries -DontStopIfGoingOnBatteries -StartWhenAvailable
   Register-ScheduledTask -TaskName "Monitor-Event4743" -Action $Action -Trigger $Trigger -Settings $Settings -User "SYSTEM"

2. Créez le script de surveillance à C:\Scripts\Monitor-Event4743.ps1:

   # Monitor-Event4743.ps1
   $LastCheck = (Get-Date).AddMinutes(-15)
   $Events = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4743; StartTime=$LastCheck} -ErrorAction SilentlyContinue
   
   if ($Events) {
       foreach ($Event in $Events) {
           $Message = "Changement de compte d'ordinateur détecté : $($Event.Message)"
           Write-EventLog -LogName Application -Source "Custom-Monitor" -EventId 1001 -EntryType Warning -Message $Message
           # Ajoutez ici la notification par email ou l'intégration SIEM
       }
   }

3. Configurez le transfert d'événements Windows (WEF) pour centraliser la collecte de l'ID d'événement 4743:

   wecutil cs C:\Config\Event4743-Subscription.xml

4. Créez la configuration XML d'abonnement aux événements pour la collecte centralisée
5. Configurez la source de journal d'événements personnalisée pour les alertes de surveillance:

   New-EventLog -LogName Application -Source "Custom-Monitor"

6. Testez le système de surveillance en effectuant une modification de compte d'ordinateur test et en vérifiant la génération d'alertes