ID d'événement Windows 4867 – Audit de sécurité : Descripteur de sécurité du modèle de services de certificats modifié

Commencez par examiner les détails spécifiques de l'ID d'événement 4867 pour comprendre quel modèle a été modifié et par qui.

1. Ouvrez Observateur d'événements sur le contrôleur de domaine ou le serveur CA
2. Accédez à Journaux Windows → Sécurité
3. Filtrez pour l'ID d'événement 4867 en utilisant l'option de filtre
4. Double-cliquez sur l'événement pour voir les informations détaillées, y compris :
   • Sujet : Compte utilisateur qui a effectué le changement
   • Nom du modèle : Modèle de certificat qui a été modifié
   • Ancien descripteur de sécurité : Permissions précédentes
   • Nouveau descripteur de sécurité : Permissions mises à jour
5. Notez l'horodatage et corrélez-le avec toute maintenance planifiée ou activité administrative

Utilisez PowerShell pour interroger plusieurs événements efficacement :

Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4867} -MaxEvents 50 | Select-Object TimeCreated, Id, @{Name='User';Expression={$_.Properties[1].Value}}, @{Name='Template';Expression={$_.Properties[4].Value}}

Vérifiez les autorisations actuelles sur le modèle de certificat affecté pour comprendre l'impact des modifications.

1. Ouvrez la console Autorité de Certification sur le serveur CA
2. Cliquez avec le bouton droit sur Modèles de Certificat et sélectionnez Gérer
3. Localisez le modèle mentionné dans l'ID d'événement 4867
4. Cliquez avec le bouton droit sur le modèle et sélectionnez Propriétés
5. Cliquez sur l'onglet Sécurité pour examiner les autorisations actuelles
6. Documentez qui a les autorisations d'Inscription, Lecture, Écriture et Contrôle Total
7. Comparez avec la politique de sécurité PKI de votre organisation

Utilisez PowerShell pour auditer les autorisations des modèles de manière programmatique :

Import-Module ActiveDirectory
$templateName = "WebServer" # Remplacez par le nom réel du modèle
$template = Get-ADObject -Filter "Name -eq '$templateName'" -SearchBase "CN=Certificate Templates,CN=Public Key Services,CN=Services,CN=Configuration,$((Get-ADDomain).DistinguishedName)" -Properties nTSecurityDescriptor
$template.nTSecurityDescriptor.Access | Format-Table IdentityReference, AccessControlType, ActiveDirectoryRights -AutoSize

Comparez les anciens et les nouveaux descripteurs de sécurité pour comprendre exactement quelles autorisations ont été modifiées.

1. Extraire les informations du descripteur de sécurité à partir de l'ID d'événement 4867
2. Utiliser le format Security Descriptor Definition Language (SDDL) affiché dans l'événement
3. Convertir les chaînes SDDL en format lisible pour l'analyse

Script PowerShell pour décoder SDDL à partir de l'événement :

# Extraire SDDL de l'événement 4867
$event = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4867} -MaxEvents 1
$oldSDDL = $event.Properties[5].Value
$newSDDL = $event.Properties[6].Value

# Convertir SDDL en format lisible
$oldSD = New-Object System.Security.AccessControl.DirectorySecurity
$oldSD.SetSecurityDescriptorSddlForm($oldSDDL)
$newSD = New-Object System.Security.AccessControl.DirectorySecurity
$newSD.SetSecurityDescriptorSddlForm($newSDDL)

Write-Host "Anciennes autorisations :" -ForegroundColor Yellow
$oldSD.Access | Format-Table IdentityReference, AccessControlType, ActiveDirectoryRights
Write-Host "Nouvelles autorisations :" -ForegroundColor Green
$newSD.Access | Format-Table IdentityReference, AccessControlType, ActiveDirectoryRights

Cette analyse aide à identifier si des autorisations ont été ajoutées, supprimées ou modifiées pour des principaux de sécurité spécifiques.

Recoupez la modification du modèle avec d'autres événements système et journaux administratifs pour établir le contexte.

1. Vérifiez l'ID d'événement 4624 (connexion réussie) autour du même moment pour le compte utilisateur
2. Examinez l'ID d'événement 4648 (utilisation explicite des informations d'identification) si le changement a été effectué avec des informations d'identification différentes
3. Examinez les journaux opérationnels des services de certificats pour les événements connexes
4. Interrogez les journaux de stratégie de groupe si le changement pourrait être motivé par une politique

Requête PowerShell pour corréler les événements dans une fenêtre temporelle :

# Obtenez l'horodatage et l'utilisateur de l'événement 4867
$templateEvent = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4867} -MaxEvents 1
$eventTime = $templateEvent.TimeCreated
$userName = $templateEvent.Properties[1].Value

# Recherchez les événements de connexion liés dans un délai d'une heure
$startTime = $eventTime.AddHours(-1)
$endTime = $eventTime.AddHours(1)

$relatedEvents = Get-WinEvent -FilterHashtable @{
    LogName='Security'
    Id=4624,4648,4672
    StartTime=$startTime
    EndTime=$endTime
} | Where-Object {$_.Message -like "*$userName*"}

$relatedEvents | Select-Object TimeCreated, Id, LevelDisplayName, Message | Format-Table -Wrap

Vérifiez également les journaux des services de certificats :

Get-WinEvent -LogName "Microsoft-Windows-CertificateServicesClient-Lifecycle-System/Operational" -StartTime $startTime -EndTime $endTime | Select-Object TimeCreated, Id, LevelDisplayName, Message

Configurez une surveillance proactive pour détecter les modifications non autorisées des modèles de certificats en temps réel.

1. Créez une vue personnalisée dans l'Observateur d'événements pour l'ID d'événement 4867
2. Configurez le transfert d'événements Windows pour centraliser les événements d'audit PKI
3. Mettez en place des alertes automatisées pour les modifications critiques des modèles

Script PowerShell pour créer une tâche planifiée de surveillance :

# Créer un script de surveillance
$monitorScript = @'
Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4867; StartTime=(Get-Date).AddMinutes(-5)} | ForEach-Object {
    $templateName = $_.Properties[4].Value
    $user = $_.Properties[1].Value
    $timestamp = $_.TimeCreated
    
    # Envoyer une alerte pour les modèles critiques
    if ($templateName -in @("Administrator", "DomainController", "WebServer")) {
        $subject = "ALERTE : Modèle de certificat critique modifié"
        $body = "Modèle : $templateName`nUtilisateur : $user`nHeure : $timestamp"
        # Ajoutez votre mécanisme d'alerte ici (email, SIEM, etc.)
        Write-EventLog -LogName Application -Source "PKI Monitor" -EventId 1001 -EntryType Warning -Message $body
    }
}
'@

# Enregistrer le script et créer une tâche planifiée
$monitorScript | Out-File -FilePath "C:\Scripts\PKIMonitor.ps1" -Encoding UTF8

$action = New-ScheduledTaskAction -Execute "PowerShell.exe" -Argument "-ExecutionPolicy Bypass -File C:\Scripts\PKIMonitor.ps1"
$trigger = New-ScheduledTaskTrigger -RepetitionInterval (New-TimeSpan -Minutes 5) -RepetitionDuration (New-TimeSpan -Days 365) -Once -At (Get-Date)
$principal = New-ScheduledTaskPrincipal -UserId "SYSTEM" -LogonType ServiceAccount

Register-ScheduledTask -TaskName "PKI Template Monitor" -Action $action -Trigger $trigger -Principal $principal -Description "Surveiller les changements de sécurité des modèles de certificats"