ID d'événement Windows 4794 – Sécurité : Une tentative a été faite pour définir le mot de passe de l'administrateur du mode de restauration des services d'annuaire

Commencez par examiner les détails complets de l'événement pour comprendre qui a initié le changement de mot de passe DSRM et quand il a eu lieu.

1. Ouvrez Observateur d'événements sur le contrôleur de domaine affecté
2. Accédez à Journaux Windows → Sécurité
3. Filtrez pour l'ID d'événement 4794 en utilisant l'option de filtre
4. Double-cliquez sur l'événement pour voir les informations détaillées, y compris :
   • ID de sécurité du sujet et nom du compte
   • Nom du compte cible (administrateur DSRM)
   • Informations sur le processus et nom du processus
   • Informations réseau si applicable
5. Documentez l'horodatage, le poste de travail source et le compte utilisateur à des fins d'audit

Utilisez PowerShell pour interroger plusieurs contrôleurs de domaine simultanément :

Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4794} -ComputerName DC01,DC02,DC03 | Select-Object TimeCreated,MachineName,Message | Format-Table -AutoSize

Confirmez si le changement de mot de passe DSRM a été autorisé et suit les procédures de gestion des changements de votre organisation.

1. Vérifiez votre système de gestion des changements pour les demandes approuvées de rotation de mot de passe DSRM
2. Vérifiez que le compte utilisateur dispose des autorisations appropriées pour les opérations DSRM
3. Examinez les appartenances aux groupes administratifs Active Directory :

Get-ADGroupMember "Domain Admins" | Select-Object Name,SamAccountName
Get-ADGroupMember "Enterprise Admins" | Select-Object Name,SamAccountName

4. Recoupez l'horodatage de l'événement avec les fenêtres de maintenance ou les tâches planifiées
5. Interrogez l'utilisateur identifié dans l'événement pour confirmer une activité légitime
6. Vérifiez les événements correspondants sur d'autres contrôleurs de domaine dans le même laps de temps

Examinez les informations sur le processus et le contexte réseau pour déterminer comment le changement de mot de passe DSRM a été initié.

1. Examinez le champ Nom du processus dans l'ID d'événement 4794 pour identifier l'outil utilisé (typiquement ntdsutil.exe)
2. Vérifiez les processus suspects ou les applications inattendues effectuant des opérations DSRM
3. Analysez les informations réseau si le changement provient d'un système distant :

# Vérifiez les événements de connexion associés autour de la même heure
Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4624,4625; StartTime=(Get-Date).AddHours(-2)} | Where-Object {$_.Message -like "*username_from_4794*"}

4. Examinez les processus parents et les arguments de ligne de commande si disponibles grâce à l'audit avancé
5. Corrélez avec d'autres événements de sécurité comme l'ID d'événement 4672 (Privilèges spéciaux attribués à une nouvelle connexion)
6. Examinez les journaux de pare-feu et les outils de surveillance réseau pour des connexions suspectes au contrôleur de domaine

Activez l'audit avancé des processus pour une surveillance future :

auditpol /set /subcategory:"Process Creation" /success:enable /failure:enable

Déployer une surveillance complète pour détecter et alerter en temps réel sur les futurs changements de mot de passe DSRM.

1. Configurer le transfert d'événements Windows pour centraliser la collecte de l'ID d'événement 4794 :

<QueryList>
  <Query Id="0">
    <Select Path="Security">*[System[EventID=4794]]</Select>
  </Query>
</QueryList>

2. Créer un script de surveillance PowerShell pour une alerte immédiate :

# Surveillance des changements de mot de passe DSRM
Register-WmiEvent -Query "SELECT * FROM Win32_NTLogEvent WHERE LogFile='Security' AND EventCode=4794" -Action {
    $Event = $Event.SourceEventArgs.NewEvent
    Send-MailMessage -To "security@company.com" -Subject "Changement de mot de passe DSRM détecté" -Body "ID d'événement 4794 détecté sur $($Event.ComputerName) à $($Event.TimeGenerated)"
}

3. Configurer l'intégration SIEM pour corréler les événements DSRM avec d'autres indicateurs de sécurité
4. Mettre en place des flux de travail de réponse automatisée pour les changements de mot de passe DSRM non autorisés
5. Mettre en œuvre une stratégie de groupe pour appliquer la complexité et la rotation des mots de passe DSRM

Effectuez une analyse médico-légale approfondie lorsque l'ID d'événement 4794 indique des incidents de sécurité potentiels ou des violations de politique.

1. Préservez les preuves en créant des copies médico-légales des fichiers journaux pertinents :

# Exporter les journaux de sécurité pour l'analyse médico-légale
wevtutil epl Security C:\Forensics\Security_$(Get-Date -Format 'yyyyMMdd_HHmmss').evtx
wevtutil epl System C:\Forensics\System_$(Get-Date -Format 'yyyyMMdd_HHmmss').evtx

2. Analysez les modifications du registre liées à la configuration DSRM :

# Vérifier les clés de registre liées à DSRM
Get-ItemProperty -Path "HKLM\SYSTEM\CurrentControlSet\Control\Lsa" -Name "DsrmAdminLogonBehavior" -ErrorAction SilentlyContinue

3. Examinez les journaux de réplication Active Directory pour détecter des anomalies
4. Examinez les vidages de mémoire si disponibles pour l'analyse des processus
5. Coordonnez-vous avec l'équipe de réponse aux incidents pour déterminer l'étendue et l'impact
6. Documentez les résultats et mettez en œuvre des mesures de remédiation