ID d'événement Windows 4723 – Microsoft-Windows-Security-Auditing : Tentative de changement de mot de passe du compte utilisateur

Commencez par examiner les détails spécifiques de l'ID d'événement 4723 pour comprendre le contexte du changement de mot de passe et identifier les comptes impliqués.

1. Ouvrez Observateur d'événements en appuyant sur Win + R, en tapant eventvwr.msc, et en appuyant sur Entrée
2. Accédez à Journaux Windows → Sécurité
3. Filtrez le journal en cliquant sur Filtrer le journal actuel dans le volet Actions
4. Entrez 4723 dans le champ ID d'événements et cliquez sur OK
5. Double-cliquez sur les entrées de l'ID d'événement 4723 pour voir les informations détaillées
6. Examinez les champs clés suivants dans les détails de l'événement:
   • Sujet: Compte qui a initié le changement de mot de passe
   • Compte cible: Compte dont le mot de passe a été changé
   • Nom de la station de travail: Ordinateur source de l'opération
   • Informations sur le processus: Application ou service qui a effectué le changement

Utilisez PowerShell pour interroger et analyser efficacement les occurrences de l'ID d'événement 4723 dans votre environnement avec des capacités de filtrage avancées.

1. Ouvrez PowerShell en tant qu'administrateur
2. Interrogez les entrées récentes de l'ID d'événement 4723 avec un filtrage de base :

   Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4723} -MaxEvents 50 | Format-Table TimeCreated, Id, LevelDisplayName, Message -Wrap

3. Filtrez les événements par plage de temps spécifique :

   $StartTime = (Get-Date).AddDays(-7)
   $EndTime = Get-Date
   Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4723; StartTime=$StartTime; EndTime=$EndTime}

4. Extrayez les propriétés détaillées des événements pour l'analyse :

   Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4723} -MaxEvents 10 | ForEach-Object {
       [xml]$EventXML = $_.ToXml()
       $EventData = $EventXML.Event.EventData.Data
       [PSCustomObject]@{
           TimeCreated = $_.TimeCreated
           SubjectUserName = ($EventData | Where-Object {$_.Name -eq 'SubjectUserName'}).'#text'
           TargetUserName = ($EventData | Where-Object {$_.Name -eq 'TargetUserName'}).'#text'
           WorkstationName = ($EventData | Where-Object {$_.Name -eq 'WorkstationName'}).'#text'
       }
   }

5. Exportez les résultats pour une analyse plus approfondie :

   Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4723} | Export-Csv -Path "C:\Temp\PasswordChanges.csv" -NoTypeInformation

Assurez-vous de configurer correctement la politique d'audit pour capturer l'ID d'événement 4723 de manière cohérente dans votre environnement Windows.

1. Ouvrez la Console de gestion des stratégies de groupe ou exécutez gpedit.msc pour la politique locale
2. Accédez à Configuration de l'ordinateur → Paramètres Windows → Paramètres de sécurité → Configuration avancée de la politique d'audit
3. Développez Gestion des comptes et localisez Audit de la gestion des comptes d'utilisateur
4. Configurez la politique pour auditer les événements de Succès et d'Échec
5. Vérifiez les paramètres d'audit actuels en utilisant PowerShell :

   auditpol /get /subcategory:"User Account Management"

6. Appliquez immédiatement les modifications de la politique d'audit :

   gpupdate /force

7. Testez la configuration en effectuant un changement de mot de passe et en vérifiant la génération de l'ID d'événement 4723
8. Pour les environnements de domaine, liez l'objet de stratégie de groupe aux unités organisationnelles appropriées

Configurez la surveillance automatisée pour l'ID d'événement 4723 afin de détecter les modèles suspects de changement de mot de passe et de maintenir une supervision de la sécurité.

1. Créez un script PowerShell pour une surveillance continue :

   # Monitor-PasswordChanges.ps1
   $LastCheck = (Get-Date).AddMinutes(-5)
   while ($true) {
       $Events = Get-WinEvent -FilterHashtable @{
           LogName='Security'
           Id=4723
           StartTime=$LastCheck
       } -ErrorAction SilentlyContinue
       
       foreach ($Event in $Events) {
           [xml]$EventXML = $Event.ToXml()
           $EventData = $EventXML.Event.EventData.Data
           $Subject = ($EventData | Where-Object {$_.Name -eq 'SubjectUserName'}).'#text'
           $Target = ($EventData | Where-Object {$_.Name -eq 'TargetUserName'}).'#text'
           
           Write-Host "Changement de mot de passe détecté : $Subject a changé le mot de passe pour $Target" -ForegroundColor Yellow
           # Ajoutez ici la logique d'alerte
       }
       
       $LastCheck = Get-Date
       Start-Sleep -Seconds 300
   }

2. Configurez le Planificateur de tâches Windows pour exécuter le script de surveillance :

   $Action = New-ScheduledTaskAction -Execute "PowerShell.exe" -Argument "-File C:\Scripts\Monitor-PasswordChanges.ps1"
   $Trigger = New-ScheduledTaskTrigger -AtStartup
   $Principal = New-ScheduledTaskPrincipal -UserId "SYSTEM" -LogonType ServiceAccount
   Register-ScheduledTask -TaskName "Monitor Password Changes" -Action $Action -Trigger $Trigger -Principal $Principal

3. Configurez les notifications par email pour les événements critiques en utilisant PowerShell :

   Send-MailMessage -To "security@company.com" -From "alerts@company.com" -Subject "Password Change Alert" -Body "Event ID 4723 detected" -SmtpServer "mail.company.com"

4. Intégrez avec des solutions SIEM en transférant les événements à l'aide de Windows Event Forwarding ou d'agents de transfert de journaux

Effectuer une analyse médico-légale complète des modèles d'Event ID 4723 pour identifier les incidents de sécurité et les anomalies administratives.

1. Créer un script d'analyse complet pour la détection de modèles:

   # Analyze-PasswordChangePatterns.ps1
   $Events = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4723} -MaxEvents 1000
   $Analysis = @{}
   
   foreach ($Event in $Events) {
       [xml]$EventXML = $Event.ToXml()
       $EventData = $EventXML.Event.EventData.Data
       $Subject = ($EventData | Where-Object {$_.Name -eq 'SubjectUserName'}).'#text'
       
       if ($Analysis.ContainsKey($Subject)) {
           $Analysis[$Subject]++
       } else {
           $Analysis[$Subject] = 1
       }
   }
   
   # Identifier les comptes avec une activité élevée de changement de mot de passe
   $Analysis.GetEnumerator() | Sort-Object Value -Descending | Select-Object -First 10

2. Faire une référence croisée avec d'autres événements de sécurité pour une analyse complète:

   # Corréler avec les événements de connexion
   $PasswordChanges = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4723} -MaxEvents 100
   $LogonEvents = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4624} -MaxEvents 1000
   
   # Analyser la corrélation temporelle entre les changements de mot de passe et les connexions

3. Générer des rapports médico-légaux détaillés:

   $Report = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4723} | ForEach-Object {
       [xml]$EventXML = $_.ToXml()
       $EventData = $EventXML.Event.EventData.Data
       [PSCustomObject]@{
           Timestamp = $_.TimeCreated
           Administrator = ($EventData | Where-Object {$_.Name -eq 'SubjectUserName'}).'#text'
           TargetUser = ($EventData | Where-Object {$_.Name -eq 'TargetUserName'}).'#text'
           Workstation = ($EventData | Where-Object {$_.Name -eq 'WorkstationName'}).'#text'
           ProcessName = ($EventData | Where-Object {$_.Name -eq 'ProcessName'}).'#text'
       }
   }
   
   $Report | Export-Csv -Path "C:\Forensics\PasswordChangeAnalysis.csv" -NoTypeInformation

4. Vérifier les paramètres du registre pour la configuration de l'audit:

   Get-ItemProperty -Path "HKLM\SYSTEM\CurrentControlSet\Services\EventLog\Security" -Name "MaxSize"

5. Valider l'efficacité de la politique d'audit sur les contrôleurs de domaine en utilisant les résultats de la stratégie de groupe