ID d'événement Windows 4872 – Microsoft-Windows-Security-Auditing : Modifications des autorisations de sécurité du modèle de services de certificats

Commencez par examiner les détails spécifiques de l'ID d'événement 4872 pour comprendre ce qui a changé et qui a effectué la modification.

1. Ouvrez Observateur d'événements sur le serveur de l'autorité de certification
2. Accédez à Journaux Windows → Sécurité
3. Filtrez pour l'ID d'événement 4872 en utilisant l'option de filtre
4. Double-cliquez sur l'événement pour voir des informations détaillées
5. Examinez les champs clés suivants:
   • Sujet: Compte qui a effectué le changement
   • Nom du modèle: Modèle de certificat qui a été modifié
   • Ancien descripteur de sécurité: Permissions précédentes
   • Nouveau descripteur de sécurité: Permissions actuelles

Utilisez PowerShell pour interroger plusieurs événements :

Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4872} -MaxEvents 50 | Format-Table TimeCreated, Id, LevelDisplayName, Message -Wrap

Vérifiez les autorisations actuelles du modèle de certificat et comparez-les avec les politiques de sécurité de l'organisation.

1. Ouvrez le composant logiciel enfichable Modèles de certificats MMC sur le serveur CA
2. Cliquez avec le bouton droit sur le modèle concerné et sélectionnez Propriétés
3. Cliquez sur l'onglet Sécurité pour examiner les autorisations actuelles
4. Documentez les paramètres ACL actuels pour comparaison
5. Utilisez PowerShell pour énumérer les autorisations du modèle :

# Obtenir des informations sur le modèle de certificat
Get-CATemplate | Where-Object {$_.Name -eq "YourTemplateName"} | Format-List *

# Vérifier les autorisations du modèle en utilisant ADSI
$templateDN = "CN=YourTemplateName,CN=Certificate Templates,CN=Public Key Services,CN=Services,CN=Configuration,DC=domain,DC=com"
$template = [ADSI]"LDAP://$templateDN"
$template.nTSecurityDescriptor

Comparez le descripteur de sécurité de l'événement avec les autorisations actuelles du modèle pour identifier exactement ce qui a changé.

Déterminez si le compte qui a effectué la modification était autorisé et examinez le contexte d'authentification.

1. Identifiez le compte utilisateur à partir du champ Sujet de l'événement
2. Vérifiez si le compte dispose de droits administratifs légitimes :

# Vérifiez l'appartenance au groupe pour l'utilisateur
Get-ADUser -Identity "username" -Properties MemberOf | Select-Object -ExpandProperty MemberOf

# Vérifiez les permissions administratives de l'Autorité de Certification
Get-ADGroupMember -Identity "Cert Publishers" | Where-Object {$_.Name -eq "username"}
Get-ADGroupMember -Identity "Enterprise Admins" | Where-Object {$_.Name -eq "username"}

3. Examinez les événements de connexion autour de la même période pour comprendre le contexte d'authentification :

# Recherchez les événements de connexion du même utilisateur autour du moment du changement de modèle
$startTime = (Get-Date).AddHours(-2)
$endTime = (Get-Date).AddHours(2)
Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4624,4625; StartTime=$startTime; EndTime=$endTime} | Where-Object {$_.Message -like "*username*"}

Faites une référence croisée avec les enregistrements de gestion des changements pour vérifier s'il s'agissait d'une modification planifiée.

Configurez un audit complet pour prévenir les modifications non autorisées des modèles et améliorer les capacités de détection.

1. Activez les politiques d'audit avancées pour les services de certification :

# Activer la politique d'audit des services de certification
auditpol /set /subcategory:"Certification Services" /success:enable /failure:enable

# Activer l'audit d'accès aux objets pour un suivi détaillé
auditpol /set /subcategory:"Directory Service Access" /success:enable /failure:enable

2. Configurez la stratégie de groupe pour un audit PKI amélioré :
   • Ouvrez Group Policy Management Console
   • Accédez à Computer Configuration → Policies → Windows Settings → Security Settings → Advanced Audit Policy Configuration
   • Activez Audit Certification Services pour les succès et les échecs
3. Configurez une surveillance automatisée à l'aide de PowerShell :

# Créer une tâche planifiée pour surveiller l'ID d'événement 4872
$action = New-ScheduledTaskAction -Execute "PowerShell.exe" -Argument "-File C:\Scripts\Monitor-CertTemplateChanges.ps1"
$trigger = New-ScheduledTaskTrigger -AtStartup
$principal = New-ScheduledTaskPrincipal -UserId "SYSTEM" -LogonType ServiceAccount
Register-ScheduledTask -TaskName "Monitor Certificate Template Changes" -Action $action -Trigger $trigger -Principal $principal

Établissez des procédures de contrôle des modifications appropriées et des contrôles techniques pour empêcher les modifications non autorisées des modèles de certificats.

1. Créez une base de référence de toutes les autorisations des modèles de certificats :

# Exporter toutes les configurations de modèles de certificats
$templates = Get-CATemplate
$baseline = @()
foreach ($template in $templates) {
    $templateInfo = @{
        Name = $template.Name
        DisplayName = $template.DisplayName
        Permissions = (Get-ACL "AD:\CN=$($template.Name),CN=Certificate Templates,CN=Public Key Services,CN=Services,CN=Configuration,$((Get-ADDomain).DistinguishedName)").Access
    }
    $baseline += $templateInfo
}
$baseline | Export-Clixml -Path "C:\PKI\TemplateBaseline-$(Get-Date -Format 'yyyyMMdd').xml"

2. Implémentez un script de surveillance des autorisations des modèles :

# Surveiller les changements de modèles et envoyer des alertes
$lastCheck = (Get-Date).AddMinutes(-15)
$events = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4872; StartTime=$lastCheck}
if ($events) {
    $alertMessage = "Modifications des autorisations des modèles de certificats : $($events.Count) événements détectés"
    # Envoyer une alerte par email ou écrire dans le système de surveillance
    Write-EventLog -LogName Application -Source "PKI Monitor" -EventId 1001 -Message $alertMessage
}

3. Configurez la sécurité des modèles à l'aide de PowerShell DSC ou de la stratégie de groupe pour maintenir des autorisations cohérentes
4. Implémentez des flux de travail d'approbation pour les modifications de modèles à l'aide de workflows PowerShell ou de systèmes de gestion des changements tiers