ANAVEM
FrancaisEnglish
ANAVEM
Languageen
Windows security monitoring dashboard displaying certificate services events and PKI management interfaces
Event ID 4897InformationMicrosoft-Windows-Security-AuditingWindows

ID d'événement Windows 4897 – Microsoft-Windows-Security-Auditing : Descripteur de sécurité du modèle de services de certificats modifié

L'ID d'événement 4897 se déclenche lorsque les autorisations de sécurité sur un modèle d'autorité de certification sont modifiées, indiquant des changements concernant qui peut demander, gérer ou s'inscrire aux certificats à partir de ce modèle.

Emanuel DE ALMEIDAEmanuel DE ALMEIDA
18 mars 202612 min de lecture 0
Event ID 4897Microsoft-Windows-Security-Auditing 5 méthodes 12 min
Référence événement

Signification de cet événement

L'ID d'événement 4897 est généré par le fournisseur Microsoft-Windows-Security-Auditing lorsque Windows détecte un changement dans le descripteur de sécurité d'un modèle de certificat dans les services de certificats Active Directory. Le descripteur de sécurité définit les listes de contrôle d'accès (ACL) qui déterminent quels utilisateurs, groupes ou ordinateurs peuvent effectuer des opérations spécifiques sur les modèles de certificats.

Cet événement se produit sur les serveurs d'autorité de certification et les contrôleurs de domaine lorsque les administrateurs modifient les autorisations de modèle via le composant logiciel enfichable MMC des modèles de certificats, les commandes PowerShell ou les modifications directes d'Active Directory. L'événement capture des détails complets, y compris le nom du modèle, le principal de sécurité effectuant le changement, le processus impliqué et les informations de l'horodatage.

Les descripteurs de sécurité des modèles de certificats contrôlent les opérations PKI critiques, y compris l'inscription des certificats, la gestion des modèles et l'accès administratif. Les modifications de ces autorisations peuvent affecter les politiques de délivrance des certificats, le comportement d'auto-inscription et la posture de sécurité globale de la PKI. L'événement fournit des pistes d'audit requises pour les cadres de conformité comme SOX, HIPAA et PCI-DSS qui exigent le suivi des changements de configuration sensibles à la sécurité.

Dans les environnements d'entreprise, cet événement est particulièrement précieux pour détecter les modifications PKI non autorisées, résoudre les problèmes d'inscription de certificats et maintenir les bases de sécurité. Les données de l'événement incluent suffisamment de détails pour corréler avec d'autres événements de sécurité et reconstruire la séquence des modifications de modèle pour l'analyse médico-légale.

S'applique à

Windows Server 2019Windows Server 2022Windows Server 2025
Analyse

Causes possibles

  • Administrateur modifiant les autorisations des modèles de certificats via la console MMC des modèles de certificats
  • Scripts PowerShell utilisant des cmdlets PKI pour changer les paramètres de sécurité des modèles
  • Modifications directes d'Active Directory sur les objets de modèles de certificats
  • Modifications de la stratégie de groupe affectant les autorisations des modèles de certificats
  • Outils de gestion PKI automatisés modifiant les contrôles d'accès des modèles
  • Modifications des principaux de sécurité (ajouts ou suppressions d'utilisateurs/groupes) affectant l'héritage des modèles
  • Modifications de la configuration de l'autorité de certification impactant la sécurité des modèles
  • Logiciel de gestion PKI tiers effectuant des modifications de modèles
Méthodes de résolution

Étapes de dépannage

01

Examiner les détails de l'événement dans le Visualiseur d'événements

Commencez par examiner les détails spécifiques de l'ID d'événement 4897 pour comprendre quel modèle a été modifié et par qui.

  1. Ouvrez Observateur d'événements sur votre autorité de certification ou contrôleur de domaine
  2. Accédez à Journaux WindowsSécurité
  3. Filtrez pour l'ID d'événement 4897 en utilisant l'option de filtre
  4. Double-cliquez sur l'événement pour voir les informations détaillées, y compris :
    • Nom du modèle - quel modèle de certificat a été modifié
    • Sujet - le principal de sécurité qui a effectué le changement
    • Informations sur le processus - l'application ou le service qui a initié le changement
    • ID de connexion - identifiant de session pour la corrélation avec les événements de connexion
  5. Notez l'horodatage et corrélez avec toute activité administrative PKI récente

Utilisez PowerShell pour interroger plusieurs événements efficacement :

Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4897} -MaxEvents 50 | Select-Object TimeCreated, Id, LevelDisplayName, Message | Format-Table -Wrap
02

Analyser les modifications de sécurité du modèle de certificat

Examinez les autorisations actuelles du modèle de certificat pour comprendre l'impact du changement du descripteur de sécurité.

  1. Ouvrez le composant logiciel enfichable Modèles de certificats MMC sur votre serveur CA
  2. Cliquez avec le bouton droit sur le modèle affecté et sélectionnez Propriétés
  3. Cliquez sur l'onglet Sécurité pour examiner les autorisations actuelles
  4. Documentez les autorisations actuelles pour les comparer avec les bases de référence précédentes
  5. Vérifiez la présence d'utilisateurs ou de groupes inattendus avec des autorisations d'inscription

Utilisez PowerShell pour auditer les autorisations des modèles de manière programmatique :

# Obtenir les informations de sécurité du modèle de certificat
Import-Module ActiveDirectory
$templateName = "WebServer" # Remplacez par le nom de votre modèle
$template = Get-ADObject -Filter "Name -eq '$templateName'" -SearchBase "CN=Certificate Templates,CN=Public Key Services,CN=Services,CN=Configuration,DC=yourdomain,DC=com" -Properties nTSecurityDescriptor
$template.nTSecurityDescriptor.Access | Format-Table IdentityReference, AccessControlType, ActiveDirectoryRights -AutoSize

Comparez les résultats avec votre base de référence de sécurité documentée pour identifier les changements non autorisés.

03

Corréler avec les activités administratives

Recoupez l'ID d'événement 4897 avec d'autres événements de sécurité pour obtenir une image complète de la session administrative.

  1. Identifiez l'ID de connexion à partir des détails de l'événement 4897
  2. Recherchez l'ID d'événement 4624 (connexion réussie) avec le même ID de connexion
  3. Cherchez l'ID d'événement 4634 (déconnexion) pour déterminer la durée de la session
  4. Vérifiez d'autres événements liés aux certificats (plage 4886-4898) pendant la même période
  5. Examinez l'ID d'événement 4719 (modifications de la politique d'audit système) si les paramètres d'audit ont été modifiés

Utilisez ce script PowerShell pour corréler les événements par ID de connexion :

# Extraire l'ID de connexion de l'événement 4897
$event4897 = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4897} -MaxEvents 1
$logonId = ($event4897.Message | Select-String "Logon ID:\s+(\S+)").Matches[0].Groups[1].Value

# Trouver les événements de connexion associés
Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4624,4634} | Where-Object {$_.Message -match $logonId} | Select-Object TimeCreated, Id, Message

Cette corrélation aide à déterminer si le changement de modèle faisait partie d'un travail administratif légitime ou d'une activité potentiellement non autorisée.

04

Mettre en œuvre une surveillance PKI améliorée

Configurez une surveillance complète pour suivre les futurs changements de sécurité des modèles de certificats et établissez des mécanismes d'alerte.

  1. Configurez la stratégie d'audit avancée pour un suivi détaillé de la PKI:
    # Activer l'audit détaillé des services de certificats
auditpol /set /subcategory:"Certification Services" /success:enable /failure:enable
  2. Créez une vue personnalisée dans le Visualiseur d'événements pour les événements de sécurité PKI:
    • Ouvrez le Visualiseur d'événements et sélectionnez Vues personnalisées
    • Cliquez sur Créer une vue personnalisée
    • Définissez les ID d'événement : 4886,4887,4888,4889,4890,4891,4892,4893,4894,4895,4896,4897,4898
    • Enregistrez sous "Événements de sécurité PKI"
  3. Configurez le transfert d'événements Windows pour centraliser les journaux d'audit PKI
  4. Configurez l'intégration SIEM pour alerter sur les occurrences de l'ID d'événement 4897
  5. Établissez une documentation de référence des permissions des modèles de certificats

Créez un script de surveillance PowerShell pour l'alerte automatisée :

# Surveiller l'ID d'événement 4897 et envoyer des alertes
$action = New-ScheduledTaskAction -Execute "PowerShell.exe" -Argument "-Command 'Get-WinEvent -FilterHashtable @{LogName=\"Security\"; Id=4897; StartTime=(Get-Date).AddMinutes(-5)} | ForEach-Object {Send-MailMessage -To admin@company.com -Subject \"Changement de sécurité du modèle PKI\" -Body $_.Message -SmtpServer mail.company.com}'"
$trigger = New-ScheduledTaskTrigger -Once -At (Get-Date) -RepetitionInterval (New-TimeSpan -Minutes 5)
Register-ScheduledTask -TaskName "PKI-Monitor-4897" -Action $action -Trigger $trigger
05

Analyse Forensique et Remédiation

Effectuez une analyse médico-légale détaillée lorsque l'ID d'événement 4897 indique des incidents de sécurité potentiels ou des modifications non autorisées de modèles.

  1. Exportez les journaux de sécurité pour une analyse hors ligne:
    # Exporter le journal de sécurité avec les événements PKI
wevtutil epl Security C:\Forensics\Security-PKI-$(Get-Date -Format 'yyyyMMdd-HHmmss').evtx "/q:*[System[(EventID=4886 or EventID=4887 or EventID=4888 or EventID=4889 or EventID=4890 or EventID=4891 or EventID=4892 or EventID=4893 or EventID=4894 or EventID=4895 or EventID=4896 or EventID=4897 or EventID=4898)]]"
  2. Analysez les modifications des modèles de certificats à l'aide des métadonnées de réplication AD:
    # Vérifier les métadonnées de réplication AD pour les modifications de modèles
Import-Module ActiveDirectory
$templateDN = "CN=WebServer,CN=Certificate Templates,CN=Public Key Services,CN=Services,CN=Configuration,DC=yourdomain,DC=com"
Get-ADReplicationAttributeMetadata -Object $templateDN -Server $env:COMPUTERNAME | Where-Object {$_.AttributeName -eq "nTSecurityDescriptor"} | Format-List
  3. Examinez les modèles d'émission de certificats avant et après le changement de sécurité
  4. Si des modifications non autorisées sont confirmées:
    • Rétablissez immédiatement les autorisations de modèle à un état connu bon
    • Révoquez tous les certificats émis avec des autorisations non autorisées
    • Réinitialisez les mots de passe des comptes administratifs compromis
    • Examinez et renforcez les procédures administratives PKI
  5. Documentez les résultats et mettez en œuvre des contrôles supplémentaires:
    • Activez les flux de travail d'approbation des modifications de modèles de certificats
    • Mettez en œuvre la gestion des accès privilégiés pour l'administration PKI
    • Établissez des examens et audits réguliers de la sécurité PKI
Avertissement : Les modifications de sécurité des modèles peuvent avoir un impact immédiat sur l'inscription des certificats. Testez les modifications d'autorisation dans un environnement de laboratoire avant de les appliquer aux modèles de production.

Aperçu

L'ID d'événement 4897 est un événement d'audit de sécurité qui se déclenche chaque fois que le descripteur de sécurité d'un modèle d'Autorité de Certification (CA) est modifié. Cet événement fait partie de la politique d'audit avancée de Windows et suit les modifications des autorisations des modèles de certificats, qui contrôlent qui peut demander des certificats, gérer des modèles ou effectuer des fonctions administratives sur l'infrastructure PKI.

Cet événement apparaît dans le journal de sécurité sur les contrôleurs de domaine et les serveurs d'Autorité de Certification lorsque la sécurité des modèles des services de certificats Active Directory (AD CS) est modifiée. L'événement capture le nom du modèle, l'utilisateur effectuant la modification et les détails sur la modification du descripteur de sécurité. Étant donné la nature critique de la sécurité PKI, cet événement est essentiel pour maintenir l'intégrité de l'infrastructure de certificats et l'audit de conformité.

Les modifications de la sécurité des modèles de certificats peuvent avoir un impact significatif sur la posture PKI de votre organisation. Des modifications non autorisées pourraient permettre l'enrôlement de certificats par des utilisateurs non autorisés ou empêcher les utilisateurs légitimes d'obtenir les certificats requis. Cet événement aide les administrateurs à suivre les modifications des autorisations des modèles et à enquêter sur les incidents de sécurité potentiels impliquant l'infrastructure de certificats.

Questions Fréquentes

Que signifie l'ID d'événement 4897 et pourquoi est-il important ?+
L'ID d'événement 4897 indique que le descripteur de sécurité (autorisations) d'un modèle de certificat a été modifié dans les services de certificats Active Directory. Cela est important car les autorisations des modèles de certificats contrôlent qui peut demander des certificats, gérer des modèles et effectuer des fonctions administratives PKI. Des modifications non autorisées pourraient compromettre l'ensemble de votre infrastructure PKI en permettant l'inscription de certificats par des acteurs malveillants ou en empêchant les utilisateurs légitimes d'obtenir les certificats requis. Cet événement est crucial pour maintenir la sécurité PKI et répondre aux exigences de conformité.
Comment puis-je déterminer quelles autorisations spécifiques ont été modifiées dans le modèle de certificat ?+
L'ID d'événement 4897 fournit le nom du modèle et l'utilisateur qui a effectué la modification, mais ne montre pas les détails spécifiques des autorisations. Pour voir ce qui a changé, comparez les autorisations actuelles du modèle avec votre base de référence documentée. Ouvrez le MMC des modèles de certificats, cliquez avec le bouton droit sur le modèle concerné, sélectionnez Propriétés et vérifiez l'onglet Sécurité. Utilisez PowerShell avec Get-ADObject pour récupérer de manière programmatique la propriété nTSecurityDescriptor et comparer les entrées ACL. Pour un suivi détaillé des modifications, activez l'audit d'accès aux objets sur le conteneur de modèles de certificats dans Active Directory.
Dois-je m'inquiéter si je vois plusieurs entrées d'ID d'événement 4897 en peu de temps ?+
Plusieurs entrées d'ID d'événement 4897 dans un court laps de temps pourraient indiquer une activité administrative légitime, telle que des mises à jour de modèles en masse ou des tâches automatisées de gestion PKI. Cependant, cela pourrait également signaler un accès non autorisé ou une activité malveillante. Enquêtez en corrélant les événements avec les fenêtres de maintenance programmées, en vérifiant si les comptes utilisateurs sont des administrateurs PKI autorisés, et en vérifiant que les modifications de modèles correspondent aux demandes de changement approuvées. Si l'activité est inattendue ou implique des comptes non autorisés, traitez-la comme un incident de sécurité potentiel et enquêtez immédiatement.
L'ID d'événement 4897 peut-il m'aider à dépanner les échecs d'inscription de certificats ?+
Oui, l'ID d'événement 4897 peut être précieux pour résoudre les problèmes d'inscription. Si les utilisateurs ne peuvent soudainement plus s'inscrire pour des certificats à partir d'un modèle spécifique, vérifiez les événements 4897 récents pour ce modèle. Les modifications du descripteur de sécurité pourraient avoir supprimé les autorisations d'inscription pour les groupes d'utilisateurs ou ajouté des conditions restrictives. Comparez les autorisations actuelles du modèle avec les configurations fonctionnelles et recherchez les autorisations de lecture, d'inscription ou d'auto-inscription manquantes. Vérifiez également si le modèle a été déplacé vers un groupe de sécurité différent ou si l'héritage a été interrompu lors de la modification.
Comment configurer la surveillance et l'alerte automatisées pour l'ID d'événement 4897 ?+
Configurez la surveillance automatisée en configurant le transfert d'événements Windows pour centraliser les journaux d'audit PKI, puis utilisez votre solution SIEM ou de surveillance pour créer des alertes pour l'ID d'événement 4897. Vous pouvez également utiliser PowerShell avec des tâches planifiées pour surveiller le journal de sécurité et envoyer des notifications par e-mail lorsque des événements 4897 se produisent. Configurez la tâche pour s'exécuter toutes les quelques minutes et vérifier les nouveaux événements. Pour les environnements d'entreprise, intégrez avec System Center Operations Manager ou Azure Sentinel pour une surveillance PKI complète. Incluez toujours le contexte comme le nom du modèle, l'utilisateur et l'horodatage dans vos alertes pour permettre une réponse rapide.
Documentation

Références (2)

1
Microsoft Learn - Advanced Security Audit Policy SettingsOfficial documentation covering advanced audit policy configuration including Certificate Services auditing settings and Event ID 4897 details.https://learn.microsoft.com/en-us/windows/security/threat-protection/auditing/advanced-security-audit-policy-settings
2
Microsoft Docs - Active Directory Certificate Services SecurityComprehensive guide to certificate template security configuration and best practices for PKI infrastructure protection.https://docs.microsoft.com/en-us/windows-server/networking/core-network-guide/cncg/server-certs/configure-the-server-certificate-template
Emanuel DE ALMEIDA
Écrit par

Emanuel DE ALMEIDA

Senior IT Journalist & Cloud Architect

Microsoft MCSA-certified Cloud Architect | Fortinet-focused. I modernize cloud, hybrid & on-prem infrastructure for reliability, security, performance and cost control - sharing field-tested ops & troubleshooting.

Tags
#certificate-services#pki-security#event-id-4897

Événements Windows associés

Windows security monitoring dashboard displaying audit events and privilege tracking logs
Event 6276
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6276 – Microsoft-Windows-Security-Auditing : Privilèges spéciaux attribués à une nouvelle connexion

L'ID d'événement 6276 enregistre lorsque des privilèges spéciaux sont attribués à un compte utilisateur lors de la connexion, indiquant que des droits d'accès élevés ont été accordés pour la session.

18 mars9 min
Windows security monitoring dashboard displaying privilege assignment events in a professional SOC environment
Event 6274
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6274 – Microsoft-Windows-Security-Auditing : Privilèges spéciaux attribués à une nouvelle connexion

L'ID d'événement 6274 enregistre lorsque des privilèges spéciaux sont attribués à une nouvelle session de connexion utilisateur, indiquant que des droits d'accès élevés ont été accordés pour des opérations sensibles à la sécurité.

18 mars9 min
Network Policy Server monitoring dashboard showing authentication events and security logs
Event 6273
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6273 – Microsoft-Windows-Security-Auditing : Accès accordé par le serveur de stratégie réseau

L'ID d'événement 6273 indique que le serveur de politique réseau (NPS) a accordé l'accès au réseau à un utilisateur ou un appareil après une authentification et une autorisation réussies via les protocoles RADIUS.

18 mars9 min
Network operations center displaying Windows NPS authentication monitoring dashboards and security event logs
Event 6272
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6272 – Microsoft-Windows-Security-Auditing : Serveur de stratégie réseau a accordé l'accès

L'ID d'événement 6272 indique que le serveur de politique réseau (NPS) a accordé l'accès au réseau à un utilisateur ou un appareil après une authentification et une autorisation réussies via les protocoles RADIUS.

18 mars12 min

Discussion

Partagez vos réflexions et analyses

Vous devez être connecté pour commenter.

Se connecter
Chargement des commentaires...