ID d'événement Windows 4963 – Microsoft-Windows-Security-Auditing : Audit d'accès aux objets désactivé

Tout d'abord, vérifiez l'état actuel de l'audit d'accès aux objets pour comprendre quelles sous-catégories sont désactivées.

Étape 1 : Ouvrez une session d'invite de commandes ou PowerShell avec élévation de privilèges.

Étape 2 : Exécutez la commande suivante pour vérifier tous les paramètres de la stratégie d'audit :

auditpol /get /category:"Object Access"

Étape 3 : Examinez le résultat pour identifier quelles sous-catégories affichent le statut "No Auditing".

Étape 4 : Pour des informations détaillées sur la stratégie, utilisez :

auditpol /get /category:* | findstr "Object Access" -A 15

Étape 5 : Documentez les paramètres actuels et comparez-les aux exigences de base de sécurité de votre organisation.

Examinez les entrées spécifiques de l'ID d'événement 4963 pour comprendre le contexte et le moment des changements de politique d'audit.

Étape 1 : Ouvrez Observateur d'événements → Journaux Windows → Sécurité.

Étape 2 : Filtrez pour l'ID d'événement 4963 en utilisant la commande PowerShell suivante :

Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4963} -MaxEvents 50 | Format-Table TimeCreated, Id, LevelDisplayName, Message -Wrap

Étape 3 : Double-cliquez sur les événements récents 4963 pour voir des informations détaillées incluant :

• ID de sécurité du sujet et nom du compte
• Détails du changement de politique d'audit
• Informations sur le processus
• Horodatage du changement

Étape 4 : Corrélez le moment avec d'autres événements de sécurité autour de la même période :

Get-WinEvent -FilterHashtable @{LogName='Security'; StartTime=(Get-Date).AddHours(-2); EndTime=(Get-Date)} | Where-Object {$_.Id -in @(4719,4902,4963)} | Sort-Object TimeCreated

Enquêter pour savoir si les modifications de la stratégie d'audit proviennent de la stratégie de groupe ou de modifications de la stratégie locale.

Étape 1 : Vérifiez la stratégie de sécurité locale en exécutant :

secpol.msc

Étape 2 : Accédez à Stratégies locales → Stratégie d'audit et examinez les paramètres d'accès aux objets.

Étape 3 : Pour les systèmes joints à un domaine, vérifiez les paramètres de stratégie de groupe effectifs :

gpresult /h C:\temp\gpresult.html

Étape 4 : Ouvrez le fichier HTML généré et recherchez les paramètres de stratégie d'audit sous Configuration de l'ordinateur.

Étape 5 : Utilisez la console de gestion des stratégies de groupe pour examiner la source du GPO :

Get-GPOReport -All -ReportType HTML -Path C:\temp\AllGPOs.html

Étape 6 : Vérifiez les modifications récentes de la stratégie de groupe dans le journal des événements :

Get-WinEvent -FilterHashtable @{LogName='System'; Id=1502} -MaxEvents 10

Déterminez quel processus ou compte utilisateur a initié le changement de politique d'audit pour identifier la cause racine.

Étape 1 : Extraire des informations détaillées des entrées de l'ID d'événement 4963 :

Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4963} | ForEach-Object { [xml]$xml = $_.ToXml(); $xml.Event.EventData.Data | Where-Object {$_.Name -in @('SubjectUserName','ProcessName','ProcessId')} }

Étape 2 : Vérifiez les événements de création de processus liés (ID d'événement 4688) autour du même moment :

$auditTime = (Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4963} -MaxEvents 1).TimeCreated
Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4688; StartTime=$auditTime.AddMinutes(-5); EndTime=$auditTime.AddMinutes(5)} | Where-Object {$_.Message -match "auditpol|secpol|gpedit"}

Étape 3 : Enquêter sur le compte utilisateur qui a effectué le changement :

Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4624} | Where-Object {$_.TimeCreated -gt $auditTime.AddHours(-1) -and $_.Message -match "SubjectUserName"}

Étape 4 : Vérifiez les tâches planifiées ou services qui pourraient avoir déclenché le changement :

Get-ScheduledTask | Where-Object {$_.Actions.Execute -match "auditpol|secpol"}

Réactiver l'audit d'accès aux objets approprié et établir une surveillance pour prévenir les modifications non autorisées.

Étape 1 : Réactiver l'audit d'accès aux objets pour les sous-catégories critiques :

# Activer l'audit du système de fichiers
auditpol /set /subcategory:"File System" /success:enable /failure:enable

# Activer l'audit du registre
auditpol /set /subcategory:"Registry" /success:enable /failure:enable

# Activer l'audit de la manipulation des poignées
auditpol /set /subcategory:"Handle Manipulation" /success:enable /failure:enable

Étape 2 : Vérifier que les modifications ont pris effet :

auditpol /get /category:"Object Access"

Étape 3 : Créer un script de surveillance pour alerter sur les futures modifications de la politique d'audit :

# Créer un abonnement d'événements pour les modifications de la politique d'audit
wevtutil create-subscription AuditPolicyMonitor /c:Security /q:"*[System[EventID=4719 or EventID=4902 or EventID=4963]]"

Étape 4 : Configurer la stratégie de groupe pour appliquer les paramètres de la politique d'audit si dans un environnement de domaine :

Naviguer vers Configuration de l'ordinateur → Stratégies → Paramètres Windows → Paramètres de sécurité → Configuration avancée de la politique d'audit

Étape 5 : Documenter l'incident et mettre à jour les procédures de sécurité pour inclure des examens réguliers de la politique d'audit.