ID d'événement Windows 4877 – Audit de sécurité : Modifications des autorisations de sécurité du modèle de services de certificats

Commencez par examiner les détails spécifiques de l'occurrence de l'événement 4877 pour comprendre ce qui a changé et qui a effectué la modification.

1. Ouvrez Observateur d'événements sur votre contrôleur de domaine ou serveur CA

2. Accédez à Journaux Windows → Sécurité

3. Filtrez pour l'ID d'événement 4877 en utilisant la commande PowerShell suivante :

Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4877} -MaxEvents 50 | Format-Table TimeCreated, Id, LevelDisplayName, Message -Wrap

4. Double-cliquez sur l'événement pour voir les informations détaillées, y compris :

• Sujet : Compte qui a effectué le changement de permission
• Objet : Modèle de certificat qui a été modifié
• Informations sur la demande d'accès : Permissions spécifiques qui ont changé
• Informations sur le processus : Application ou service qui a initié le changement

5. Recoupez l'horodatage avec toute maintenance programmée ou activité administrative pour déterminer si le changement était autorisé.

Utilisez PowerShell pour examiner les autorisations actuelles sur le modèle de certificat affecté et les comparer avec votre configuration de référence.

1. Connectez-vous à votre serveur d'autorité de certification et exécutez :

# Obtenez tous les modèles de certificats et leurs autorisations
Get-CATemplate | ForEach-Object {
    $template = $_
    Write-Host "Template: $($template.Name)" -ForegroundColor Green
    Get-ADObject -Identity $template.DistinguishedName -Properties nTSecurityDescriptor | 
    Select-Object -ExpandProperty nTSecurityDescriptor | 
    Select-Object -ExpandProperty Access
}

2. Pour un modèle spécifique mentionné dans l'événement 4877, exécutez :

# Remplacez 'TemplateName' par le modèle réel de l'événement
$templateName = "WebServer"
$template = Get-CATemplate -Name $templateName
Get-ADObject -Identity $template.DistinguishedName -Properties nTSecurityDescriptor

3. Comparez les autorisations actuelles avec votre référence documentée en utilisant :

# Exportez les autorisations actuelles pour comparaison
$acl = Get-ADObject -Identity $template.DistinguishedName -Properties nTSecurityDescriptor
$acl.nTSecurityDescriptor.Access | Export-Csv -Path "C:\Temp\Template_Permissions_$(Get-Date -Format 'yyyyMMdd').csv" -NoTypeInformation

4. Examinez les autorisations exportées par rapport à votre politique de sécurité PKI pour identifier les modifications non autorisées.

Exploitez la stratégie d'audit avancée de Windows pour obtenir des détails complets sur les modifications des autorisations des modèles de certificats.

1. Vérifiez que l'audit des services de certification est activé :

# Vérifiez les paramètres actuels de la stratégie d'audit
auditpol /get /subcategory:"Certification Services" /r

2. Si ce n'est pas activé, configurez l'audit pour les services de certification :

# Activez l'audit des services de certification
auditpol /set /subcategory:"Certification Services" /success:enable /failure:enable

3. Interrogez les événements de sécurité liés autour du moment de l'événement 4877 :

# Obtenez les événements liés aux services de certification
$startTime = (Get-Date).AddHours(-2)
$endTime = (Get-Date).AddHours(2)
Get-WinEvent -FilterHashtable @{
    LogName='Security'
    Id=4876,4877,4878,4879,4880,4881,4882,4883,4884,4885,4886,4887,4888,4889,4890,4891,4892,4893,4894,4895,4896,4897,4898
    StartTime=$startTime
    EndTime=$endTime
} | Sort-Object TimeCreated

4. Analysez la séquence des événements pour comprendre le contexte complet du changement d'autorisation.

Enquêter pour savoir si le changement de permission du modèle de certificat faisait partie de modifications plus larges d'Active Directory ou de changements de groupes de sécurité.

1. Vérifiez les événements liés à Active Directory :

# Rechercher les modifications d'objets AD autour du même moment
$eventTime = (Get-Date "2026-03-18 14:30:00") # Remplacer par l'heure réelle de l'événement
$timeWindow = 30 # minutes
Get-WinEvent -FilterHashtable @{
    LogName='Security'
    Id=5136,5137,5138,5139,5141
    StartTime=$eventTime.AddMinutes(-$timeWindow)
    EndTime=$eventTime.AddMinutes($timeWindow)
} | Where-Object {$_.Message -like "*CN=Certificate Templates*"}

2. Examiner les changements d'appartenance aux groupes qui pourraient affecter les permissions des modèles :

# Vérifier les modifications d'appartenance aux groupes
Get-WinEvent -FilterHashtable @{
    LogName='Security'
    Id=4728,4729,4732,4733,4756,4757
    StartTime=$eventTime.AddMinutes(-$timeWindow)
    EndTime=$eventTime.AddMinutes($timeWindow)
}

3. Examiner la partition de configuration pour les objets de modèles de certificats :

# Interroger les modèles de certificats dans la partition de configuration AD
$configDN = (Get-ADRootDSE).configurationNamingContext
Get-ADObject -SearchBase "CN=Certificate Templates,CN=Public Key Services,CN=Services,$configDN" -Filter * -Properties whenChanged, whenCreated | Sort-Object whenChanged -Descending

4. Documenter la corrélation entre les changements AD et les modifications de permissions des modèles de certificats pour votre rapport d'incident de sécurité.

Configurez une surveillance proactive pour détecter les futurs changements non autorisés des autorisations des modèles de certificats et établissez des configurations de sécurité de référence.

1. Créez un script PowerShell pour une surveillance continue :

# Script de surveillance des autorisations des modèles de certificats
$logName = "Security"
$eventId = 4877
$lastCheck = (Get-Date).AddMinutes(-5)

# Obtenez les occurrences récentes de l'événement 4877
$events = Get-WinEvent -FilterHashtable @{
    LogName=$logName
    Id=$eventId
    StartTime=$lastCheck
} -ErrorAction SilentlyContinue

foreach ($event in $events) {
    $eventXML = [xml]$event.ToXml()
    $subject = $eventXML.Event.EventData.Data | Where-Object {$_.Name -eq "SubjectUserName"} | Select-Object -ExpandProperty "#text"
    $templateName = $eventXML.Event.EventData.Data | Where-Object {$_.Name -eq "ObjectName"} | Select-Object -ExpandProperty "#text"
    
    # Envoyer une alerte (personnalisez pour votre environnement)
    Write-Warning "Changement d'autorisation du modèle de certificat détecté : Modèle=$templateName, Utilisateur=$subject, Heure=$($event.TimeCreated)"
}

2. Planifiez le script de surveillance à l'aide du Planificateur de tâches :

# Créer une tâche planifiée pour la surveillance
$action = New-ScheduledTaskAction -Execute "PowerShell.exe" -Argument "-File C:\Scripts\Monitor-CertTemplatePermissions.ps1"
$trigger = New-ScheduledTaskTrigger -RepetitionInterval (New-TimeSpan -Minutes 5) -RepetitionDuration (New-TimeSpan -Days 365) -At (Get-Date)
$settings = New-ScheduledTaskSettingsSet -AllowStartIfOnBatteries -DontStopIfGoingOnBatteries -StartWhenAvailable
Register-ScheduledTask -TaskName "Certificate Template Permission Monitor" -Action $action -Trigger $trigger -Settings $settings -User "SYSTEM"

3. Établissez des autorisations de modèle de référence et stockez-les en toute sécurité :

# Créer une référence de toutes les autorisations des modèles de certificats
$baseline = @{}
Get-CATemplate | ForEach-Object {
    $template = $_
    $permissions = Get-ADObject -Identity $template.DistinguishedName -Properties nTSecurityDescriptor
    $baseline[$template.Name] = $permissions.nTSecurityDescriptor.Sddl
}
$baseline | ConvertTo-Json | Out-File "C:\PKI\Baseline\CertTemplate_Permissions_Baseline_$(Get-Date -Format 'yyyyMMdd').json"