ID d'événement Windows 4896 – Microsoft-Windows-Security-Auditing : Descripteur de sécurité du modèle de services de certificats modifié

Commencez par examiner les détails de l'événement pour comprendre ce qui a changé et qui a effectué la modification.

1. Ouvrez Observateur d'événements → Journaux Windows → Sécurité
2. Filtrez pour l'ID d'événement 4896 en utilisant l'option de filtre
3. Double-cliquez sur l'événement pour voir les informations détaillées
4. Notez la section Sujet indiquant qui a effectué le changement
5. Examinez le champ Modèle de certificat pour le nom du modèle affecté
6. Examinez les champs Ancien descripteur de sécurité et Nouveau descripteur de sécurité

Utilisez PowerShell pour interroger plusieurs événements :

Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4896} -MaxEvents 50 | Select-Object TimeCreated, @{Name='User';Expression={$_.Properties[1].Value}}, @{Name='Template';Expression={$_.Properties[4].Value}}

Vérifiez les autorisations actuelles du modèle et comparez-les avec les modifications enregistrées pour comprendre l'impact.

1. Ouvrez le composant logiciel enfichable Certificate Authority MMC sur votre serveur CA
2. Cliquez avec le bouton droit sur Certificate Templates → Manage
3. Localisez le modèle affecté et cliquez avec le bouton droit → Properties
4. Cliquez sur l'onglet Security pour voir les autorisations actuelles
5. Comparez les autorisations actuelles avec les détails du journal des événements

Utilisez PowerShell pour interroger directement les autorisations du modèle depuis Active Directory :

Import-Module ActiveDirectory
$TemplateDN = "CN=YourTemplate,CN=Certificate Templates,CN=Public Key Services,CN=Services,CN=Configuration,DC=yourdomain,DC=com"
$Template = Get-ADObject -Identity $TemplateDN -Properties nTSecurityDescriptor
$Template.nTSecurityDescriptor.Access | Format-Table IdentityReference, AccessControlType, ActiveDirectoryRights -AutoSize

Pour convertir le SDDL de l'événement en format lisible :

$SDDL = "O:BAG:BAD:(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SY)"
ConvertFrom-SddlString -Sddl $SDDL

Activez l'audit détaillé des services de certificats et corrélez avec d'autres événements de sécurité pour une analyse complète.

1. Vérifiez les paramètres de la stratégie d'audit : Configuration de l'ordinateur → Paramètres Windows → Paramètres de sécurité → Configuration avancée de la stratégie d'audit → Accès aux objets → Audit des services de certification
2. Activez si non déjà configuré : auditpol /set /subcategory:"Certification Services" /success:enable /failure:enable
3. Vérifiez les événements connexes autour de la même période

Requête pour les événements liés aux services de certificats :

$StartTime = (Get-Date).AddHours(-24)
$Events = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4896,4897,4898; StartTime=$StartTime}
$Events | Select-Object Id, TimeCreated, @{Name='User';Expression={$_.Properties[1].Value}}, @{Name='Details';Expression={$_.Message.Split("`n")[0]}} | Sort-Object TimeCreated

Créez une chronologie des changements liés aux certificats :

Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4886,4887,4888,4889,4890,4891,4892,4893,4894,4895,4896,4897,4898; StartTime=(Get-Date).AddDays(-7)} | Sort-Object TimeCreated | Export-Csv -Path "C:\Temp\CertificateAuditTimeline.csv" -NoTypeInformation

Implémentez une surveillance continue pour les changements de descripteur de sécurité de modèle de certificat en utilisant PowerShell.

Créez un script de surveillance qui surveille l'ID d'événement 4896 :

# Moniteur de sécurité de modèle de certificat
$Action = {
    $Event = $Event.SourceEventArgs.NewEvent
    $User = $Event.Properties[1].Value
    $Template = $Event.Properties[4].Value
    $OldSD = $Event.Properties[5].Value
    $NewSD = $Event.Properties[6].Value
    
    $Message = "La sécurité du modèle de certificat '$Template' a été modifiée par $User à $($Event.TimeCreated)"
    Write-EventLog -LogName Application -Source "CertTemplateMonitor" -EventId 1001 -EntryType Warning -Message $Message
    
    # Envoyer une alerte par email (configurer les paramètres SMTP)
    Send-MailMessage -To "admin@company.com" -From "monitoring@company.com" -Subject "Changement de sécurité du modèle de certificat" -Body $Message -SmtpServer "smtp.company.com"
}

Register-WmiEvent -Query "SELECT * FROM Win32_NTLogEvent WHERE LogFile='Security' AND EventCode=4896" -Action $Action

Configurez une tâche planifiée pour exécuter le script de surveillance :

$TaskAction = New-ScheduledTaskAction -Execute "PowerShell.exe" -Argument "-File C:\Scripts\CertTemplateMonitor.ps1"
$TaskTrigger = New-ScheduledTaskTrigger -AtStartup
$TaskPrincipal = New-ScheduledTaskPrincipal -UserId "SYSTEM" -LogonType ServiceAccount
Register-ScheduledTask -TaskName "CertificateTemplateMonitor" -Action $TaskAction -Trigger $TaskTrigger -Principal $TaskPrincipal

Établir des autorisations de modèle de certificat de référence et mettre en œuvre la détection automatisée des modifications non autorisées.

Créer une base de référence des autorisations actuelles des modèles :

# Exporter les autorisations actuelles des modèles de certificat
$ConfigDN = (Get-ADRootDSE).configurationNamingContext
$TemplatesPath = "CN=Certificate Templates,CN=Public Key Services,CN=Services,$ConfigDN"
$Templates = Get-ADObject -SearchBase $TemplatesPath -Filter {objectClass -eq "pKICertificateTemplate"} -Properties nTSecurityDescriptor, displayName

$Baseline = @()
foreach ($Template in $Templates) {
    $Permissions = $Template.nTSecurityDescriptor.Access | Where-Object {$_.AccessControlType -eq "Allow"}
    foreach ($Permission in $Permissions) {
        $Baseline += [PSCustomObject]@{
            Template = $Template.displayName
            Identity = $Permission.IdentityReference
            Rights = $Permission.ActiveDirectoryRights
            InheritanceType = $Permission.InheritanceType
        }
    }
}
$Baseline | Export-Csv -Path "C:\Baselines\CertificateTemplatePermissions_$(Get-Date -Format 'yyyyMMdd').csv" -NoTypeInformation

Créer un script de vérification de conformité :

# Comparer les autorisations actuelles avec la base de référence
$BaselineFile = "C:\Baselines\CertificateTemplatePermissions_Approved.csv"
$Baseline = Import-Csv $BaselineFile
$Current = # ... (répéter le code de collecte de la base de référence)

$Differences = Compare-Object $Baseline $Current -Property Template, Identity, Rights
$Differences | Where-Object {$_.SideIndicator -eq "=>"} | ForEach-Object {
    Write-Warning "Autorisation non autorisée détectée : $($_.Template) - $($_.Identity) - $($_.Rights)"
}