ID d'événement Windows 4881 – Sécurité : Modifications des autorisations de sécurité du modèle de services de certificats

Commencez par examiner les détails spécifiques de l'ID d'événement 4881 pour comprendre quelles autorisations de modèle ont changé et qui a effectué la modification.

1. Ouvrez Observateur d'événements sur votre serveur d'autorité de certification
2. Accédez à Journaux Windows → Sécurité
3. Filtrez pour l'ID d'événement 4881 en utilisant l'option de filtre
4. Double-cliquez sur l'événement 4881 le plus récent pour voir les détails
5. Examinez les champs clés suivants dans la description de l'événement:
   • Sujet: Le compte qui a effectué le changement d'autorisation
   • Nom du modèle: Le modèle de certificat qui a été modifié
   • Droits d'accès: Les autorisations spécifiques qui ont changé
   • ID de sécurité: Le principal dont les autorisations ont été modifiées
6. Notez l'horodatage et corrélez-le avec toute maintenance planifiée ou activité administrative

Utilisez PowerShell pour interroger plusieurs événements efficacement :

Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4881} -MaxEvents 50 | Select-Object TimeCreated, Id, @{Name='Message';Expression={$_.Message.Split('`n')[0..10] -join '`n'}}

Comparez les autorisations actuelles du modèle de certificat avec la politique de sécurité PKI de votre organisation pour vous assurer que les modifications sont autorisées et appropriées.

1. Ouvrez le composant logiciel enfichable Certificate Authority MMC sur votre serveur CA
2. Cliquez avec le bouton droit sur le nom de votre CA et sélectionnez Propriétés
3. Cliquez sur l'onglet Module de politique, puis sur Configurer
4. Accédez à Modèles de certificats dans le volet de gauche
5. Trouvez le modèle mentionné dans l'événement 4881
6. Cliquez avec le bouton droit sur le modèle et sélectionnez Propriétés
7. Cliquez sur l'onglet Sécurité pour examiner les autorisations actuelles
8. Vérifiez que les autorisations sont conformes à votre politique de sécurité

Utilisez PowerShell pour auditer les autorisations des modèles de manière programmatique :

# Obtenir les autorisations du modèle de certificat
$templateName = "WebServer" # Remplacez par le nom de votre modèle
$template = Get-CATemplate -Name $templateName
$template | Select-Object Name, @{Name='Permissions';Expression={$_.Security}}

Recoupez les autorisations actuelles avec votre base de référence de sécurité PKI documentée pour identifier toute modification non autorisée.

Corrélez l'événement 4881 avec d'autres événements de sécurité pour obtenir une image complète de la session administrative qui a modifié les autorisations du modèle.

1. Notez le compte Sujet à partir des détails de l'événement 4881
2. Recherchez des événements de connexion associés (4624, 4625) pour ce compte autour de la même période
3. Cherchez des événements d'escalade de privilèges (4672) indiquant l'utilisation de droits administratifs
4. Vérifiez d'autres événements liés aux certificats (4886, 4887, 4888) dans la même session
5. Examinez les événements de création de processus (4688) pour identifier les outils utilisés pour la modification

Utilisez cette requête PowerShell pour trouver des événements corrélés :

# Obtenez les événements autour du moment de la modification du modèle
$targetTime = (Get-Date "2026-03-18 14:30:00") # Ajustez à l'heure de votre événement
$startTime = $targetTime.AddMinutes(-30)
$endTime = $targetTime.AddMinutes(30)

# Interrogez plusieurs types d'événements
$events = Get-WinEvent -FilterHashtable @{
    LogName='Security'
    Id=4624,4625,4672,4881,4886,4887,4888
    StartTime=$startTime
    EndTime=$endTime
} | Sort-Object TimeCreated

$events | Select-Object TimeCreated, Id, @{Name='User';Expression={([xml]$_.ToXml()).Event.EventData.Data | Where-Object {$_.Name -eq 'SubjectUserName'} | Select-Object -ExpandProperty '#text'}}

Effectuez une analyse complète des configurations de sécurité des modèles de certificats pour identifier les risques potentiels de sécurité ou les violations de politique.

1. Exportez les configurations actuelles des modèles pour analyse :

   # Exporter tous les modèles de certificats et leurs autorisations
   $templates = Get-CATemplate
   foreach ($template in $templates) {
       $templateInfo = @{
           Name = $template.Name
           DisplayName = $template.DisplayName
           Security = $template.Security
           EnrollmentFlags = $template.EnrollmentFlags
           PrivateKeyFlags = $template.PrivateKeyFlags
       }
       $templateInfo | Export-Csv -Path "C:\PKI_Audit\Templates_$(Get-Date -Format 'yyyyMMdd').csv" -Append -NoTypeInformation
   }

2. Examinez les données exportées pour les modèles avec des paramètres trop permissifs
3. Vérifiez les modèles permettant les autorisations Enroll pour Domain Users ou Authenticated Users
4. Identifiez les modèles avec des autorisations Full Control pour les comptes non administratifs
5. Vérifiez que les modèles sensibles (comme les certificats CA) ont un accès restreint
6. Comparez les configurations actuelles avec votre base de référence de sécurité PKI
7. Documentez toute déviation et créez des plans de remédiation

Établissez une surveillance et une alerte complètes pour les changements de permissions des modèles de certificats afin de prévenir les modifications non autorisées et d'assurer une réponse rapide aux incidents.

1. Configurez le transfert d'événements Windows pour centraliser les événements PKI :

   # Créer un abonnement de transfert d'événements personnalisé
   $subscriptionXML = @"
   <Subscription xmlns="http://schemas.microsoft.com/2006/03/windows/events/subscription">
       <SubscriptionId>PKI-Template-Changes</SubscriptionId>
       <SubscriptionType>SourceInitiated</SubscriptionType>
       <Description>Changements de permissions des modèles de certificats PKI</Description>
       <Enabled>true</Enabled>
       <Uri>http://schemas.microsoft.com/wbem/wsman/1/windows/EventLog</Uri>
       <Query>
           <![CDATA[
           <QueryList>
               <Query Id="0">
                   <Select Path="Security">*[System[EventID=4881]]</Select>
               </Query>
           </QueryList>
           ]]>
       </Query>
   </Subscription>
   "@
   
   # Créer l'abonnement
   $subscriptionXML | Out-File -FilePath "C:\temp\PKI-Subscription.xml"
   wecutil cs "C:\temp\PKI-Subscription.xml"

2. Configurez des alertes automatisées en utilisant PowerShell et des tâches planifiées
3. Créez une base de référence des permissions de modèles approuvées
4. Mettez en œuvre des flux de travail d'approbation des changements pour les modifications de modèles
5. Configurez l'intégration SIEM pour corréler les événements PKI avec d'autres données de sécurité
6. Établissez des examens réguliers de la sécurité PKI et des rapports de conformité