ID d'événement Windows 6272 – Microsoft-Windows-Security-Auditing : Serveur de stratégie réseau a accordé l'accès

Commencez par examiner les détails complets de l'événement pour comprendre le contexte d'authentification et les informations du client.

1. Ouvrez Observateur d'événements sur votre serveur NPS ou contrôleur de domaine
2. Accédez à Journaux Windows → Sécurité
3. Filtrez pour l'ID d'événement 6272 en utilisant l'option de filtre
4. Double-cliquez sur une entrée récente de l'ID d'événement 6272 pour voir les détails complets
5. Examinez les champs clés suivants dans la description de l'événement :
   • Nom d'utilisateur : Identité de l'utilisateur ou du dispositif authentifié
   • Machine cliente : Dispositif source demandant l'accès
   • Type d'authentification : Méthode utilisée (EAP-TLS, PEAP, etc.)
   • Nom de la politique réseau : Politique appliquée qui a accordé l'accès
   • Adresse IP NAS : Serveur d'accès réseau traitant la demande
6. Notez l'horodatage et l'identifiant de session pour la corrélation avec d'autres événements

Utilisez PowerShell pour extraire et analyser les entrées d'ID d'événement 6272 pour un rapport détaillé d'accès réseau.

1. Ouvrez PowerShell en tant qu'administrateur sur votre serveur NPS
2. Exécutez cette commande pour récupérer les récentes autorisations d'accès NPS :

Get-WinEvent -FilterHashtable @{LogName='Security'; Id=6272} -MaxEvents 50 | Select-Object TimeCreated, Id, LevelDisplayName, Message | Format-Table -Wrap

3. Pour une analyse plus détaillée, extrayez des propriétés spécifiques :

$Events = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=6272} -MaxEvents 100
$Events | ForEach-Object {
    $EventXML = [xml]$_.ToXml()
    $Properties = $EventXML.Event.EventData.Data
    [PSCustomObject]@{
        TimeCreated = $_.TimeCreated
        UserName = ($Properties | Where-Object {$_.Name -eq 'SubjectUserName'}).InnerText
        ClientMachine = ($Properties | Where-Object {$_.Name -eq 'CallingStationId'}).InnerText
        NASIPAddress = ($Properties | Where-Object {$_.Name -eq 'NASIPAddress'}).InnerText
        AuthenticationType = ($Properties | Where-Object {$_.Name -eq 'AuthenticationType'}).InnerText
    }
} | Export-Csv -Path "C:\Temp\NPS_Access_Grants.csv" -NoTypeInformation

4. Examinez le fichier CSV exporté pour les modèles d'accès et la conformité aux politiques

Vérifiez que les politiques réseau référencées dans l'ID d'événement 6272 sont conformes à votre configuration de contrôle d'accès prévue.

1. Ouvrez la console de gestion du Serveur de politiques réseau
2. Accédez à Politiques → Politiques réseau
3. Localisez le nom de la politique mentionné dans les détails de l'ID d'événement 6272
4. Cliquez avec le bouton droit sur la politique et sélectionnez Propriétés
5. Examinez les paramètres de politique suivants:
   • Conditions: Vérifiez les groupes d'utilisateurs, les types d'appareils et les restrictions de temps
   • Contraintes: Vérifiez les méthodes d'authentification et les limites de session
   • Paramètres: Confirmez les affectations de VLAN et les restrictions de bande passante
6. Recoupez les paramètres de la politique avec les informations utilisateur/appareil de l'événement
7. Utilisez PowerShell pour exporter la configuration actuelle de la politique réseau :

Import-Module NetworkPolicy
Get-NpsNetworkPolicy | Select-Object PolicyName, ProcessingOrder, PolicySource, Enabled | Format-Table -AutoSize

8. Documentez toute divergence entre le comportement prévu de la politique et les accès réellement accordés

Analysez les méthodes d'authentification capturées dans l'ID d'événement 6272 pour garantir que des pratiques de sécurité solides sont appliquées.

1. Créez un script PowerShell pour analyser la distribution des méthodes d'authentification :

$StartDate = (Get-Date).AddDays(-7)
$Events = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=6272; StartTime=$StartDate}

$AuthMethods = @{}
$Events | ForEach-Object {
    $EventXML = [xml]$_.ToXml()
    $AuthType = ($EventXML.Event.EventData.Data | Where-Object {$_.Name -eq 'AuthenticationType'}).InnerText
    if ($AuthMethods.ContainsKey($AuthType)) {
        $AuthMethods[$AuthType]++
    } else {
        $AuthMethods[$AuthType] = 1
    }
}

Write-Host "Distribution des méthodes d'authentification (7 derniers jours) :"
$AuthMethods.GetEnumerator() | Sort-Object Value -Descending | Format-Table Name, Value

2. Examinez la sortie pour identifier les méthodes d'authentification faibles
3. Vérifiez l'utilisation de l'authentification basée sur les certificats :

$CertAuthEvents = $Events | Where-Object {
    $EventXML = [xml]$_.ToXml()
    $AuthType = ($EventXML.Event.EventData.Data | Where-Object {$_.Name -eq 'AuthenticationType'}).InnerText
    $AuthType -like "*TLS*" -or $AuthType -like "*Certificate*"
}

Write-Host "Authentifications basées sur les certificats : $($CertAuthEvents.Count) sur $($Events.Count) au total"
Write-Host "Taux d'adoption des certificats : $(($CertAuthEvents.Count / $Events.Count * 100).ToString('F2'))%"

4. Générez un rapport de posture de sécurité basé sur la force de l'authentification
5. Examinez la configuration du certificat du serveur NPS dans HKLM\SYSTEM\CurrentControlSet\Services\RasMan\PPP\EAP\13

Configurez une surveillance complète pour l'ID d'événement 6272 afin de détecter des schémas d'accès inhabituels et des problèmes de sécurité potentiels.

1. Créez une tâche planifiée pour surveiller les schémas d'accès suspects :

# Créer le script de surveillance : C:\Scripts\NPSMonitoring.ps1
$StartTime = (Get-Date).AddHours(-1)
$Events = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=6272; StartTime=$StartTime}

# Vérifiez les schémas d'accès inhabituels
$ClientCounts = @{}
$Events | ForEach-Object {
    $EventXML = [xml]$_.ToXml()
    $Client = ($EventXML.Event.EventData.Data | Where-Object {$_.Name -eq 'CallingStationId'}).InnerText
    if ($ClientCounts.ContainsKey($Client)) {
        $ClientCounts[$Client]++
    } else {
        $ClientCounts[$Client] = 1
    }
}

# Alertez sur les clients avec des tentatives d'authentification excessives
$SuspiciousClients = $ClientCounts.GetEnumerator() | Where-Object {$_.Value -gt 10}
if ($SuspiciousClients) {
    $AlertMessage = "Activité NPS suspecte détectée. Clients avec >10 authentifications dans la dernière heure : $($SuspiciousClients.Name -join ', ')"
    Write-EventLog -LogName Application -Source "NPS Monitor" -EventId 1001 -EntryType Warning -Message $AlertMessage
}

2. Enregistrez la source d'événements personnalisée pour les alertes de surveillance :

New-EventLog -LogName Application -Source "NPS Monitor"

3. Créez une tâche planifiée pour exécuter le script de surveillance :

$Action = New-ScheduledTaskAction -Execute "PowerShell.exe" -Argument "-ExecutionPolicy Bypass -File C:\Scripts\NPSMonitoring.ps1"
$Trigger = New-ScheduledTaskTrigger -RepetitionInterval (New-TimeSpan -Hours 1) -RepetitionDuration (New-TimeSpan -Days 365) -At (Get-Date)
$Settings = New-ScheduledTaskSettingsSet -AllowStartIfOnBatteries -DontStopIfGoingOnBatteries
Register-ScheduledTask -TaskName "NPS Access Monitor" -Action $Action -Trigger $Trigger -Settings $Settings -User "SYSTEM"

4. Configurez le transfert d'événements Windows pour centraliser les événements NPS sur plusieurs serveurs
5. Configurez des vues personnalisées dans le Visualiseur d'événements pour une analyse rapide des schémas d'accès