ID d'événement Windows 5138 – Microsoft-Windows-Security-Auditing : Valeur de registre supprimée

Commencez par examiner les entrées spécifiques de l'ID d'événement 5138 pour comprendre quelles valeurs de registre ont été supprimées et par qui.

1. Ouvrez Observateur d'événements en appuyant sur Win + R, en tapant eventvwr.msc, et en appuyant sur Entrée
2. Accédez à Journaux Windows → Sécurité
3. Filtrez le journal en cliquant sur Filtrer le journal actuel dans le volet Actions
4. Entrez 5138 dans le champ ID d'événements et cliquez sur OK
5. Double-cliquez sur les entrées de l'ID d'événement 5138 pour voir des informations détaillées
6. Examinez l'onglet Général pour le chemin de la clé de registre, le nom de la valeur et les informations de compte
7. Vérifiez l'onglet Détails pour des données XML supplémentaires, y compris des informations sur le processus

Utilisez PowerShell pour interroger plusieurs événements efficacement :

Get-WinEvent -FilterHashtable @{LogName='Security'; Id=5138} -MaxEvents 50 | Format-Table TimeCreated, Id, LevelDisplayName, Message -Wrap

Si les entrées de l'ID d'événement 5138 n'apparaissent pas malgré les modifications du registre, vérifiez et configurez les politiques d'audit du registre.

1. Ouvrez Éditeur de stratégie de groupe locale en exécutant gpedit.msc
2. Accédez à Configuration de l'ordinateur → Paramètres Windows → Paramètres de sécurité → Configuration avancée de la stratégie d'audit → Stratégies d'audit → Accès aux objets
3. Double-cliquez sur Audit du registre
4. Cochez Configurer les événements d'audit suivants
5. Activez les cases à cocher Succès et Échec
6. Cliquez sur OK et fermez l'Éditeur de stratégie de groupe
7. Exécutez gpupdate /force pour appliquer les modifications immédiatement

Vérifiez que la politique d'audit est active :

auditpol /get /subcategory:"Registry" /r

Utilisez PowerShell pour analyser les modèles d'ID d'événement 5138 et identifier les suppressions de registre suspectes ou inattendues.

1. Interroger les événements des dernières 24 heures :

$StartTime = (Get-Date).AddDays(-1)
$Events = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=5138; StartTime=$StartTime}
$Events | ForEach-Object {
    $XML = [xml]$_.ToXml()
    [PSCustomObject]@{
        TimeCreated = $_.TimeCreated
        User = $XML.Event.EventData.Data | Where-Object {$_.Name -eq 'SubjectUserName'} | Select-Object -ExpandProperty '#text'
        ProcessName = $XML.Event.EventData.Data | Where-Object {$_.Name -eq 'ProcessName'} | Select-Object -ExpandProperty '#text'
        ObjectName = $XML.Event.EventData.Data | Where-Object {$_.Name -eq 'ObjectName'} | Select-Object -ExpandProperty '#text'
        ObjectValueName = $XML.Event.EventData.Data | Where-Object {$_.Name -eq 'ObjectValueName'} | Select-Object -ExpandProperty '#text'
    }
} | Sort-Object TimeCreated -Descending

2. Grouper les suppressions par compte utilisateur pour identifier les modèles :

$Events | Group-Object User | Sort-Object Count -Descending | Format-Table Name, Count -AutoSize

3. Exporter les résultats pour une analyse plus approfondie :

$Events | Export-Csv -Path "C:\Temp\RegistryDeletions.csv" -NoTypeInformation

Configurer les Listes de Contrôle d'Accès Système (SACL) sur des clés de registre spécifiques pour une surveillance granulaire des emplacements critiques du registre.

1. Ouvrez Éditeur du Registre en tant qu'Administrateur
2. Accédez à la clé de registre que vous souhaitez surveiller (par exemple, HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run)
3. Cliquez avec le bouton droit sur la clé et sélectionnez Autorisations
4. Cliquez sur le bouton Avancé
5. Sélectionnez l'onglet Audit
6. Cliquez sur Ajouter pour créer une nouvelle entrée d'audit
7. Cliquez sur Sélectionner un principal et choisissez Tout le monde
8. Sous Type, sélectionnez Tout
9. Cochez Supprimer les sous-clés et les valeurs et Définir la valeur
10. Cliquez sur OK pour appliquer la SACL

Vérifiez la configuration de la SACL en utilisant PowerShell :

Get-Acl -Path "HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" -Audit | Select-Object -ExpandProperty Audit

Configurez Windows Event Forwarding (WEF) pour centraliser la collecte de l'ID d'événement 5138 sur plusieurs systèmes pour la surveillance de l'entreprise.

1. Sur le serveur collecteur, configurez le service Windows Event Collector :

wecutil qc /q
Set-Service -Name Wecsvc -StartupType Automatic
Start-Service -Name Wecsvc

2. Créez un fichier de configuration d'abonnement :

<Subscription xmlns="http://schemas.microsoft.com/2006/03/windows/events/subscription">
    <SubscriptionId>RegistryDeletions</SubscriptionId>
    <SubscriptionType>SourceInitiated</SubscriptionType>
    <Description>Registry Value Deletions</Description>
    <Enabled>true</Enabled>
    <Uri>http://schemas.microsoft.com/wbem/wsman/1/windows/EventLog</Uri>
    <ConfigurationMode>Normal</ConfigurationMode>
    <Query>
        <![CDATA[
            <QueryList>
                <Query Id="0">
                    <Select Path="Security">*[System[EventID=5138]]</Select>
                </Query>
            </QueryList>
        ]]>
    </Query>
</Subscription>

3. Importez l'abonnement :

wecutil cs C:\Path\To\RegistryDeletions.xml

4. Sur les ordinateurs sources, configurez le service Windows Remote Management et ajoutez le collecteur au groupe Event Log Readers