ID d'événement Windows 4908 – Sécurité : Informations sur le domaine de confiance modifiées

Commencez par examiner les détails spécifiques de l'ID d'événement 4908 pour comprendre quel changement de confiance s'est produit.

1. Ouvrez Observateur d'événements sur le contrôleur de domaine
2. Accédez à Journaux Windows → Sécurité
3. Filtrez pour l'ID d'événement 4908 en utilisant l'option de filtre
4. Double-cliquez sur l'événement pour voir les informations détaillées
5. Examinez les données de l'événement, y compris :
   • Nom de domaine de confiance
   • Type et direction de la confiance
   • Sujet (qui a effectué le changement)
   • Informations sur le processus

Utilisez PowerShell pour interroger les événements récents 4908 :

Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4908} -MaxEvents 20 | Format-Table TimeCreated, Id, LevelDisplayName, Message -Wrap

Pour une analyse détaillée des événements :

Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4908} -MaxEvents 5 | ForEach-Object { [xml]$xml = $_.ToXml(); $xml.Event.EventData.Data }

Confirmez l'état actuel des relations de confiance de domaine pour valider les modifications enregistrées dans l'ID d'événement 4908.

1. Ouvrez la console Active Directory Domains and Trusts
2. Cliquez avec le bouton droit sur votre domaine et sélectionnez Propriétés
3. Cliquez sur l'onglet Confiances pour voir les relations de confiance actuelles
4. Vérifiez la direction, le type et le statut de la confiance

Utilisez PowerShell pour énumérer tous les domaines de confiance :

Get-ADTrust -Filter * | Select-Object Name, Direction, TrustType, Created, Modified | Format-Table -AutoSize

Pour des informations détaillées sur la confiance :

Get-ADTrust -Filter * | ForEach-Object { Get-ADTrust -Identity $_.Name | Select-Object Name, Direction, TrustType, TrustAttributes, Created, Modified }

Testez la connectivité de la confiance :

Test-ComputerSecureChannel -Verbose

Examinez les événements d'authentification liés pour comprendre l'impact des changements de confiance sur l'authentification des utilisateurs.

1. Dans Observateur d'événements, accédez à Journaux Windows → Sécurité
2. Filtrez les événements liés à l'authentification :
   • ID d'événement 4624 (connexion réussie)
   • ID d'événement 4625 (échec de connexion)
   • ID d'événement 4768 (TGT Kerberos demandé)
   • ID d'événement 4769 (ticket de service Kerberos demandé)
3. Cherchez des événements impliquant les utilisateurs du domaine de confiance

Interrogez les événements d'authentification inter-domaines :

$StartTime = (Get-Date).AddHours(-24)
$Events = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4624,4625,4768,4769; StartTime=$StartTime}
$Events | Where-Object {$_.Message -like '*trusted*domain*'} | Format-Table TimeCreated, Id, Message -Wrap

Vérifiez les échecs liés à la confiance :

Get-WinEvent -FilterHashtable @{LogName='System'; Id=5805,5723} -MaxEvents 10 | Format-Table TimeCreated, Id, LevelDisplayName, Message -Wrap

Examinez les configurations de sécurité de confiance pour garantir des paramètres d'authentification et d'autorisation appropriés.

1. Ouvrez Active Directory Domains and Trusts
2. Cliquez avec le bouton droit sur le domaine et sélectionnez Propriétés
3. Allez à l'onglet Confiances
4. Sélectionnez une confiance et cliquez sur Propriétés
5. Examinez les paramètres d'authentification et les options de filtrage SID

Vérifiez les politiques d'authentification de confiance à l'aide de PowerShell :

Get-ADTrust -Filter * | ForEach-Object {
    $Trust = $_
    Write-Host "Confiance : $($Trust.Name)" -ForegroundColor Green
    Write-Host "Direction : $($Trust.Direction)"
    Write-Host "Type : $($Trust.TrustType)"
    Write-Host "Filtrage SID : $($Trust.SIDFilteringEnabled)"
    Write-Host "Auth sélective : $($Trust.SelectiveAuthentication)"
    Write-Host "---"
}

Vérifiez le statut de validation de la confiance :

Get-ADTrust -Filter * | ForEach-Object {
    $TrustName = $_.Name
    try {
        Test-ADTrust -Identity $TrustName -Verbose
        Write-Host "Validation de la confiance $TrustName : SUCCÈS" -ForegroundColor Green
    } catch {
        Write-Host "Validation de la confiance $TrustName : ÉCHEC - $($_.Exception.Message)" -ForegroundColor Red
    }
}

Implémentez une surveillance complète pour les modifications futures de confiance afin de maintenir une supervision de la sécurité.

1. Ouvrez Group Policy Management Console
2. Accédez à Computer Configuration → Policies → Windows Settings → Security Settings → Advanced Audit Policy Configuration
3. Développez Account Management
4. Configurez Audit User Account Management pour Succès et Échec
5. Appliquez la politique aux contrôleurs de domaine

Activez l'audit détaillé de la confiance via le registre :

$RegPath = "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa"
Set-ItemProperty -Path $RegPath -Name "AuditBaseObjects" -Value 1 -Type DWord
Restart-Service -Name "NTDS" -Force

Créez un script de surveillance PowerShell :

$ScriptBlock = {
    $Events = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4908} -MaxEvents 1
    if ($Events) {
        $Event = $Events[0]
        $Message = "Changement de confiance détecté à $($Event.TimeCreated): $($Event.Message)"
        Write-EventLog -LogName Application -Source "TrustMonitor" -EventId 1001 -Message $Message
        # Ajoutez ici une notification par email ou une intégration SIEM
    }
}
Register-ScheduledTask -TaskName "MonitorTrustChanges" -Trigger (New-ScheduledTaskTrigger -Once -At (Get-Date) -RepetitionInterval (New-TimeSpan -Minutes 5)) -Action (New-ScheduledTaskAction -Execute "PowerShell.exe" -Argument "-Command & {$ScriptBlock}")