ID d'événement Windows 4746 – Microsoft-Windows-Security-Auditing : Compte d'ordinateur supprimé

Commencez par examiner les détails spécifiques de l'occurrence de l'ID d'événement 4746 pour comprendre quel compte d'ordinateur a été supprimé et par qui.

1. Ouvrez Observateur d'événements sur le contrôleur de domaine
2. Accédez à Journaux Windows → Sécurité
3. Filtrez pour l'ID d'événement 4746 en utilisant l'option de filtre
4. Double-cliquez sur l'événement pour voir les informations détaillées
5. Examinez les champs clés suivants :
   • Sujet : Utilisateur qui a supprimé le compte
   • Compte cible : Compte d'ordinateur qui a été supprimé
   • Informations supplémentaires : Privilèges utilisés pour la suppression

Utilisez PowerShell pour interroger les suppressions récentes de comptes d'ordinateur :

Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4746} -MaxEvents 50 | Select-Object TimeCreated, @{Name='User';Expression={$_.Properties[1].Value}}, @{Name='Computer';Expression={$_.Properties[5].Value}}

Recoupez les événements de suppression avec les événements de création pour comprendre le cycle de vie des comptes d'ordinateur supprimés.

1. Recherchez les entrées correspondantes avec l'ID d'événement 4741 (compte d'ordinateur créé)
2. Utilisez PowerShell pour corréler les événements de création et de suppression :

# Obtenir les suppressions de comptes d'ordinateur
$deletions = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4746} -MaxEvents 100

# Obtenir les créations de comptes d'ordinateur
$creations = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4741} -MaxEvents 500

# Corréler par nom d'ordinateur
foreach ($deletion in $deletions) {
    $computerName = $deletion.Properties[5].Value
    $matchingCreation = $creations | Where-Object {$_.Properties[5].Value -eq $computerName} | Select-Object -First 1
    if ($matchingCreation) {
        Write-Output "Ordinateur : $computerName, Créé : $($matchingCreation.TimeCreated), Supprimé : $($deletion.TimeCreated)"
    }
}

3. Analysez la durée entre la création et la suppression pour identifier des motifs
4. Recherchez des comptes d'ordinateur de courte durée qui pourraient indiquer une activité suspecte

Examinez qui a effectué la suppression et vérifiez qu'ils avaient les autorisations appropriées pour l'action.

1. Extraire les informations de l'utilisateur à partir des détails de l'événement
2. Vérifier les appartenances aux groupes et les autorisations de l'utilisateur :

# Obtenir l'utilisateur qui a supprimé les comptes d'ordinateur
$events = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4746} -MaxEvents 20
foreach ($event in $events) {
    $userName = $event.Properties[1].Value
    $domain = $event.Properties[2].Value
    Write-Output "Vérification des autorisations pour : $domain\$userName"
    
    # Vérifier les appartenances aux groupes
    try {
        $user = Get-ADUser -Identity $userName -Properties MemberOf
        $user.MemberOf | ForEach-Object {
            $group = Get-ADGroup -Identity $_
            Write-Output "  Membre de : $($group.Name)"
        }
    } catch {
        Write-Warning "Impossible de récupérer les informations de l'utilisateur pour $userName"
    }
}

3. Vérifiez si l'utilisateur appartient à des groupes administratifs appropriés (Domain Admins, Account Operators)
4. Vérifiez toute escalade de privilèges récente ou accès administratif inhabituel
5. Vérifiez que la suppression a été effectuée pendant les heures ouvrables normales et suit les procédures de gestion des changements

Examinez les modèles de suppression de comptes informatiques pour identifier les préoccupations de sécurité potentielles ou les problèmes opérationnels.

1. Générez un rapport complet des activités de suppression au fil du temps :

# Analyser les modèles de suppression au cours des 30 derniers jours
$startDate = (Get-Date).AddDays(-30)
$deletions = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4746; StartTime=$startDate}

# Regrouper par utilisateur
$byUser = $deletions | Group-Object {$_.Properties[1].Value} | Sort-Object Count -Descending
Write-Output "Suppressions par utilisateur :"
$byUser | ForEach-Object {
    Write-Output "$($_.Name): $($_.Count) suppressions"
}

# Regrouper par jour
$byDay = $deletions | Group-Object {$_.TimeCreated.Date} | Sort-Object Name
Write-Output "`nSuppressions par jour :"
$byDay | ForEach-Object {
    Write-Output "$($_.Name): $($_.Count) suppressions"
}

# Vérifier les suppressions en masse (plus de 10 en une heure)
$bulkDeletions = $deletions | Group-Object {$_.TimeCreated.ToString("yyyy-MM-dd HH")} | Where-Object {$_.Count -gt 10}
if ($bulkDeletions) {
    Write-Warning "Suppression en masse potentielle détectée :"
    $bulkDeletions | ForEach-Object {
        Write-Output "$($_.Name): $($_.Count) suppressions"
    }
}

2. Recherchez des pics inhabituels dans l'activité de suppression
3. Identifiez les suppressions se produisant en dehors des fenêtres de maintenance normales
4. Recoupez avec les tickets de gestion des changements ou la maintenance programmée

Configurez une surveillance proactive pour détecter et alerter sur les activités suspectes de suppression de comptes d'ordinateur.

1. Créez une tâche planifiée pour surveiller l'ID d'événement 4746 :

# Créer un script de surveillance
$monitorScript = @'
$events = Get-WinEvent -FilterHashtable @{LogName="Security"; Id=4746; StartTime=(Get-Date).AddHours(-1)} -ErrorAction SilentlyContinue
if ($events) {
    $alertMessage = "Suppression de compte d'ordinateur détectée:`n"
    foreach ($event in $events) {
        $user = $event.Properties[1].Value
        $computer = $event.Properties[5].Value
        $time = $event.TimeCreated
        $alertMessage += "Utilisateur : $user a supprimé l'ordinateur : $computer à $time`n"
    }
    
    # Envoyer une alerte (personnaliser selon votre système d'alerte)
    Write-EventLog -LogName Application -Source "AD Monitor" -EventId 1001 -Message $alertMessage -EntryType Warning
}
'@

# Enregistrer le script dans un fichier
$monitorScript | Out-File -FilePath "C:\Scripts\Monitor-ComputerDeletions.ps1" -Encoding UTF8

2. Configurez le transfert d'événements Windows pour centraliser l'ID d'événement 4746 de tous les contrôleurs de domaine
3. Configurez des filtres de journal d'événements personnalisés dans votre solution SIEM
4. Créez des alertes pour :

• Suppressions multiples par le même utilisateur dans un court laps de temps
• Suppressions par des utilisateurs non administratifs
• Suppressions se produisant en dehors des heures de bureau
• Opérations de suppression en masse dépassant les seuils normaux

5. Implémentez une sauvegarde automatisée des informations de compte d'ordinateur avant la suppression en utilisant PowerShell :

# Sauvegarder les détails du compte d'ordinateur avant la suppression
function Backup-ComputerAccount {
    param([string]$ComputerName)
    
    try {
        $computer = Get-ADComputer -Identity $ComputerName -Properties *
        $backupData = @{
            Name = $computer.Name
            DistinguishedName = $computer.DistinguishedName
            SID = $computer.SID
            Created = $computer.Created
            LastLogonDate = $computer.LastLogonDate
            OperatingSystem = $computer.OperatingSystem
            Description = $computer.Description
        }
        
        $backupPath = "C:\ADBackups\ComputerAccounts\$ComputerName-$(Get-Date -Format 'yyyyMMdd-HHmmss').json"
        $backupData | ConvertTo-Json | Out-File -FilePath $backupPath
        Write-Output "Compte d'ordinateur sauvegardé dans : $backupPath"
    } catch {
        Write-Error "Échec de la sauvegarde du compte d'ordinateur : $($_.Exception.Message)"
    }
}