ANAVEM
FrancaisEnglish
ANAVEM
Languageen
Windows security monitoring dashboard displaying Event Viewer with PKI security audit logs
Event ID 4880InformationMicrosoft-Windows-Security-AuditingWindows

ID d'événement Windows 4880 – Sécurité : Autorisations de sécurité du modèle de services de certificats modifiées

L'ID d'événement 4880 enregistre lorsque les autorisations de sécurité sur un modèle d'autorité de certification sont modifiées, indiquant des changements concernant qui peut demander ou gérer des types de certificats spécifiques dans votre infrastructure PKI.

Emanuel DE ALMEIDAEmanuel DE ALMEIDA
18 mars 20269 min de lecture 0
Event ID 4880Microsoft-Windows-Security-Auditing 5 méthodes 9 min
Référence événement

Signification de cet événement

L'ID d'événement Windows 4880 représente un événement d'audit de sécurité critique dans les environnements Active Directory Certificate Services. Lorsque cet événement se déclenche, il indique que quelqu'un a modifié les autorisations de sécurité sur un modèle de certificat stocké dans Active Directory. Les modèles de certificats définissent les propriétés et les autorisations pour les certificats pouvant être émis par votre autorité de certification, rendant les modifications d'autorisation des événements de sécurité significatifs.

L'événement capture des détails complets, y compris le nom du modèle, le principal de sécurité effectuant la modification, l'ancien descripteur de sécurité et le nouveau descripteur de sécurité. Cette journalisation granulaire permet aux administrateurs de suivre exactement quelles autorisations ont été modifiées, quand le changement a eu lieu et qui l'a initié. Les descripteurs de sécurité sont enregistrés au format Security Descriptor Definition Language (SDDL), fournissant des détails précis sur les autorisations.

Dans les déploiements PKI modernes, les modèles de certificats contrôlent l'accès à divers types de certificats, y compris les certificats d'authentification utilisateur, les certificats d'ordinateur, les certificats de signature de code et les certificats de chiffrement. Des modifications d'autorisation non autorisées ou inappropriées peuvent entraîner des vulnérabilités de sécurité, permettant une inscription de certificat non autorisée ou empêchant les utilisateurs légitimes d'obtenir les certificats requis. L'événement 4880 sert de mécanisme de détection principal pour de tels changements.

L'événement apparaît généralement sur les contrôleurs de domaine où le conteneur des modèles de certificats est répliqué, ainsi que sur les serveurs d'autorité de certification d'entreprise. Dans les environnements multi-CA, vous pouvez voir cet événement sur plusieurs serveurs à mesure que la réplication Active Directory propage les modifications de modèle dans toute votre forêt.

S'applique à

Windows Server 2019Windows Server 2022Windows Server 2025
Analyse

Causes possibles

  • Administrateur modifiant les autorisations de modèle de certificat via le composant logiciel enfichable MMC des modèles de certificats
  • Scripts PowerShell utilisant des cmdlets PKI pour mettre à jour les paramètres de sécurité des modèles
  • Modifications de la stratégie de groupe affectant les autorisations de modèle de certificat
  • Modifications programmatiques via ADSI, LDAP ou les API de gestion de certificats .NET
  • Changements d'appartenance à des groupes de sécurité affectant les utilisateurs ayant des droits de modification de modèle
  • Outils de gestion de certificats automatisés mettant à jour les autorisations de modèle
  • Outils de migration ou de synchronisation modifiant la configuration PKI
  • Solutions tierces de gestion de certificats effectuant des modifications de modèle
Méthodes de résolution

Étapes de dépannage

01

Examiner les détails de l'événement dans le Visualiseur d'événements

Commencez par examiner les détails spécifiques de l'ID d'événement 4880 pour comprendre quel modèle et quelles autorisations ont été modifiés.

  1. Ouvrez Observateur d'événementsJournaux WindowsSécurité
  2. Filtrez pour l'ID d'événement 4880 en utilisant l'option de filtre
  3. Double-cliquez sur l'événement pour voir les informations détaillées
  4. Notez les champs clés suivants:
    • Sujet: Compte utilisateur qui a effectué le changement
    • Nom du modèle: Modèle de certificat qui a été modifié
    • Ancien descripteur de sécurité: Autorisations précédentes au format SDDL
    • Nouveau descripteur de sécurité: Autorisations mises à jour au format SDDL
  5. Utilisez PowerShell pour interroger les événements récents:
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4880} -MaxEvents 50 | Format-Table TimeCreated, Id, LevelDisplayName, Message -Wrap
Astuce pro : Comparez les anciens et nouveaux descripteurs de sécurité pour identifier exactement quelles autorisations ont changé. Utilisez des décodeurs SDDL en ligne pour une interprétation plus facile.
02

Analyser les autorisations du modèle de certificat

Enquêter sur l'état actuel des autorisations des modèles de certificats pour valider les modifications et s'assurer qu'elles sont conformes aux politiques de sécurité.

  1. Ouvrir le composant logiciel enfichable Modèles de certificats MMC :
    certtmpl.msc
  2. Localiser le modèle de certificat affecté à partir de l'événement
  3. Cliquez avec le bouton droit sur le modèle → Propriétés → onglet Sécurité
  4. Examiner les autorisations actuelles et les comparer avec votre base de référence de sécurité
  5. Utiliser PowerShell pour exporter les autorisations actuelles du modèle :
    $template = Get-CATemplate -Name "YourTemplateName"
$template | Select-Object Name, SecurityDescriptor | Export-Csv -Path "C:\Temp\TemplatePermissions.csv"
  6. Interroger tous les modèles de certificats et leurs autorisations :
    Get-ADObject -Filter {objectClass -eq "pKICertificateTemplate"} -SearchBase "CN=Certificate Templates,CN=Public Key Services,CN=Services,CN=Configuration,$((Get-ADDomain).DistinguishedName)" -Properties nTSecurityDescriptor | Select-Object Name, nTSecurityDescriptor
Avertissement : Vérifiez que les modifications d'autorisation ne confèrent pas par inadvertance des droits d'inscription de certificats à des utilisateurs ou groupes non autorisés.
03

Corréler avec les actions administratives

Recoupez l'ID d'événement 4880 avec d'autres événements de sécurité pour obtenir une image complète de la session administrative et valider la légitimité.

  1. Recherchez des événements de connexion liés autour de la même période :
    $startTime = (Get-Date).AddHours(-2)
$endTime = Get-Date
Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4624,4625,4648; StartTime=$startTime; EndTime=$endTime} | Where-Object {$_.Message -like "*username_from_4880*"}
  2. Cherchez l'ID d'événement 4719 (Modifications de la politique d'audit système) qui pourrait indiquer des modifications de sécurité plus larges
  3. Vérifiez l'ID d'événement 4670 (Les autorisations sur un objet ont été modifiées) pour les modifications d'autorisations Active Directory liées
  4. Examinez les journaux opérationnels des services de certificats :
    Get-WinEvent -LogName "Microsoft-Windows-CertificateServicesClient-Lifecycle-System/Operational" -MaxEvents 100
  5. Interrogez les événements d'inscription de certificats (ID d'événement 4886, 4887) pour voir si les modifications d'autorisations ont affecté la délivrance de certificats
  6. Vérifiez les journaux du contrôleur de domaine pour les événements de réplication Active Directory liés au conteneur des modèles de certificats
04

Valider la configuration de sécurité PKI

Effectuez une validation complète de votre configuration de sécurité PKI pour vous assurer que les modifications des autorisations de modèle maintiennent des limites de sécurité appropriées.

  1. Auditez toutes les autorisations de modèle de certificat à l'aide de PowerShell :
    $configDN = "CN=Configuration," + (Get-ADDomain).DistinguishedName
$templatesDN = "CN=Certificate Templates,CN=Public Key Services,CN=Services," + $configDN
Get-ADObject -Filter {objectClass -eq "pKICertificateTemplate"} -SearchBase $templatesDN -Properties displayName, nTSecurityDescriptor | ForEach-Object {
    Write-Host "Template: $($_.displayName)"
    $_.nTSecurityDescriptor.Access | Format-Table IdentityReference, AccessControlType, ActiveDirectoryRights
}
  2. Vérifiez les autorisations de modèle surpriviliégiées qui pourraient permettre une inscription de certificat non autorisée
  3. Validez que les modèles sensibles (comme la signature de code ou l'authentification administrateur) ont des restrictions appropriées
  4. Examinez les paramètres de sécurité de l'Autorité de Certification :
    certlm.msc
    Accédez à Autorité de CertificationPropriétésSécurité
  5. Générez un rapport de sécurité PKI :
    PKIView.msc
  6. Testez l'inscription de certificat avec les modèles affectés pour vous assurer que la fonctionnalité n'a pas été rompue par les modifications d'autorisation
Astuce pro : Mettez en œuvre des audits réguliers de sécurité PKI et maintenez une base de référence des autorisations de modèle de certificat approuvées pour comparaison.
05

Mettre en œuvre une surveillance avancée de l'ICP

Établir une surveillance et une alerte complètes pour les changements de permissions des modèles de certificats afin de détecter rapidement les modifications non autorisées.

  1. Créer un script PowerShell pour une surveillance continue :
    Register-WmiEvent -Query "SELECT * FROM __InstanceModificationEvent WITHIN 10 WHERE TargetInstance ISA 'Win32_NTLogEvent' AND TargetInstance.LogFile = 'Security' AND TargetInstance.EventCode = 4880" -Action {
    $event = $Event.SourceEventArgs.NewEvent.TargetInstance
    Send-MailMessage -To "admin@company.com" -From "pki-monitor@company.com" -Subject "Changement de permission de modèle PKI détecté" -Body $event.Message -SmtpServer "mail.company.com"
}
  2. Configurer le transfert d'événements Windows (WEF) pour centraliser les événements d'audit PKI de tous les contrôleurs de domaine et serveurs CA
  3. Configurer des vues personnalisées dans le Visualiseur d'événements pour les événements liés au PKI :
    <QueryList>
  <Query Id="0" Path="Security">
    <Select Path="Security">*[System[(EventID=4880 or EventID=4886 or EventID=4887)]]</Select>
  </Query>
</QueryList>
  4. Mettre en œuvre l'intégration SIEM pour corréler les événements PKI avec d'autres activités de sécurité
  5. Créer des flux de travail de réponse automatisés pour les modifications non autorisées des modèles
  6. Établir une surveillance de référence à l'aide de la stratégie de groupe pour suivre les changements de permissions des modèles :
    Accédez à Configuration de l'ordinateurParamètres WindowsParamètres de sécuritéConfiguration avancée de la stratégie d'auditAccès aux objetsAudit des services de certification

Aperçu

L'ID d'événement 4880 se déclenche chaque fois que les autorisations de sécurité sont modifiées sur les modèles de certificats de l'Autorité de Certification (CA) au sein de votre infrastructure Active Directory Certificate Services (AD CS). Cet événement capture les modifications critiques de sécurité PKI qui déterminent quels utilisateurs, ordinateurs ou groupes peuvent demander, s'auto-inscrire ou gérer des types de certificats spécifiques.

L'événement apparaît dans le journal de sécurité sur les contrôleurs de domaine et les serveurs de l'Autorité de Certification lorsque les administrateurs modifient les autorisations de modèle via le composant logiciel enfichable MMC des modèles de certificats, les commandes PowerShell ou les modifications programmatiques via ADSI. Chaque changement d'autorisation génère un événement 4880 distinct, ce qui est essentiel pour suivre les modifications de sécurité PKI.

Cet événement devient particulièrement important dans les environnements où l'authentification basée sur les certificats, la signature de code ou les certificats de chiffrement sont déployés. Les changements d'autorisation peuvent affecter l'authentification des utilisateurs, la fonctionnalité des applications et la posture de sécurité globale. L'événement capture à la fois les anciens et les nouveaux descripteurs de sécurité, fournissant des pistes d'audit complètes pour la conformité et les enquêtes judiciaires.

Questions Fréquentes

Que suit spécifiquement l'ID d'événement 4880 dans mon environnement PKI ?+
L'ID d'événement 4880 suit les modifications des autorisations de sécurité sur les modèles de certificats de l'Autorité de Certification stockés dans Active Directory. Il capture lorsque les administrateurs modifient qui peut demander, s'inscrire automatiquement, lire ou gérer des types de certificats spécifiques. L'événement enregistre à la fois les anciens et les nouveaux descripteurs de sécurité au format SDDL, fournissant des pistes d'audit complètes pour les modifications de sécurité PKI. Cela inclut les modifications effectuées via le MMC des modèles de certificats, les commandes PowerShell ou les modifications programmatiques via ADSI.
Comment puis-je décoder les descripteurs de sécurité SDDL affichés dans l'ID d'événement 4880 ?+
Les chaînes SDDL (Security Descriptor Definition Language) dans l'événement 4880 peuvent être décodées à l'aide de la cmdlet ConvertFrom-SddlString de PowerShell ou de décodeurs SDDL en ligne. Utilisez cette commande PowerShell : `ConvertFrom-SddlString -Sddl "your_sddl_string"` pour convertir le format SDDL cryptique en permissions lisibles. La sortie montre quels principaux de sécurité (utilisateurs/groupes) ont des droits spécifiques comme Lire, S'inscrire, Écrire ou Contrôle total sur le modèle de certificat. Comparez les anciens et nouveaux descripteurs pour identifier exactement quelles permissions ont changé.
Dois-je m'inquiéter de chaque occurrence de l'ID d'événement 4880 ?+
Tous les ID d'événement 4880 ne nécessitent pas une attention immédiate, mais tous doivent être examinés. Les modifications légitimes des autorisations de modèles par des administrateurs PKI autorisés sont normales lors de la gestion des modèles de certificats, du déploiement de nouveaux types de certificats ou des mises à jour de la politique de sécurité. Cependant, des modifications inattendues, des modifications par des utilisateurs non autorisés ou des modifications de modèles sensibles (comme la signature de code ou la connexion par carte à puce) nécessitent une enquête immédiate. Établissez une base de référence de vos autorisations de modèles de certificats et alertez sur les écarts par rapport aux configurations approuvées.
L'ID d'événement 4880 peut-il m'aider à détecter les attaques de sécurité PKI ?+
Oui, l'ID d'événement 4880 est crucial pour détecter les attaques basées sur PKI. Les attaquants qui compromettent l'infrastructure PKI modifient souvent les autorisations des modèles de certificats pour permettre l'enrôlement de certificats non autorisés, ce qui peut conduire à une élévation de privilèges, une usurpation d'identité ou un accès persistant. Surveillez les changements d'autorisations qui accordent des droits d'enrôlement à des utilisateurs inattendus, les modifications des modèles à privilèges élevés ou les changements survenant en dehors des heures normales de bureau. Corrélez ces événements avec d'autres journaux de sécurité pour identifier une éventuelle compromission de votre infrastructure de certificats.
Comment puis-je empêcher les modifications non autorisées des autorisations de modèle de certificat ?+
Empêchez les modifications non autorisées en mettant en œuvre des contrôles de sécurité PKI appropriés : restreignez les autorisations du conteneur des modèles de certificats dans Active Directory aux seuls administrateurs PKI autorisés, activez l'audit sur le conteneur des modèles de certificats, mettez en œuvre une gestion des accès privilégiés (PAM) pour l'administration PKI, examinez et établissez régulièrement une base de référence des autorisations des modèles, utilisez la stratégie de groupe pour appliquer les configurations des modèles de certificats, et surveillez l'ID d'événement 4880 avec des alertes automatisées. Envisagez de mettre en œuvre des flux de travail d'approbation pour les modifications de modèles et de maintenir des comptes administratifs séparés pour les activités de gestion PKI.
Documentation

Références (2)

1
Microsoft Learn - Active Directory Certificate Services SecurityComprehensive documentation on AD CS security, certificate template management, and PKI best practices including security event monitoring.https://learn.microsoft.com/en-us/windows-server/identity/ad-cs/
2
Windows Security Audit Events ReferenceOfficial reference for Windows security audit events including detailed explanations of PKI-related security events and their significance.https://learn.microsoft.com/en-us/windows/security/threat-protection/auditing/
Emanuel DE ALMEIDA
Écrit par

Emanuel DE ALMEIDA

Senior IT Journalist & Cloud Architect

Microsoft MCSA-certified Cloud Architect | Fortinet-focused. I modernize cloud, hybrid & on-prem infrastructure for reliability, security, performance and cost control - sharing field-tested ops & troubleshooting.

Tags
#pki-security#event-id-4880#certificate-templates

Événements Windows associés

Windows security monitoring dashboard displaying audit events and privilege tracking logs
Event 6276
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6276 – Microsoft-Windows-Security-Auditing : Privilèges spéciaux attribués à une nouvelle connexion

L'ID d'événement 6276 enregistre lorsque des privilèges spéciaux sont attribués à un compte utilisateur lors de la connexion, indiquant que des droits d'accès élevés ont été accordés pour la session.

18 mars9 min
Windows security monitoring dashboard displaying privilege assignment events in a professional SOC environment
Event 6274
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6274 – Microsoft-Windows-Security-Auditing : Privilèges spéciaux attribués à une nouvelle connexion

L'ID d'événement 6274 enregistre lorsque des privilèges spéciaux sont attribués à une nouvelle session de connexion utilisateur, indiquant que des droits d'accès élevés ont été accordés pour des opérations sensibles à la sécurité.

18 mars9 min
Network Policy Server monitoring dashboard showing authentication events and security logs
Event 6273
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6273 – Microsoft-Windows-Security-Auditing : Accès accordé par le serveur de stratégie réseau

L'ID d'événement 6273 indique que le serveur de politique réseau (NPS) a accordé l'accès au réseau à un utilisateur ou un appareil après une authentification et une autorisation réussies via les protocoles RADIUS.

18 mars9 min
Network operations center displaying Windows NPS authentication monitoring dashboards and security event logs
Event 6272
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6272 – Microsoft-Windows-Security-Auditing : Serveur de stratégie réseau a accordé l'accès

L'ID d'événement 6272 indique que le serveur de politique réseau (NPS) a accordé l'accès au réseau à un utilisateur ou un appareil après une authentification et une autorisation réussies via les protocoles RADIUS.

18 mars12 min

Discussion

Partagez vos réflexions et analyses

Vous devez être connecté pour commenter.

Se connecter
Chargement des commentaires...