ID d'événement Windows 7040 – Gestionnaire de contrôle des services : Type de démarrage du service modifié

Commencez par examiner les détails spécifiques de l'ID d'événement 7040 pour comprendre quel service a été modifié et par qui.

1. Ouvrez Observateur d'événements en appuyant sur Win + R, en tapant eventvwr.msc, et en appuyant sur Entrée
2. Accédez à Journaux Windows → Système
3. Filtrez le journal en cliquant sur Filtrer le journal actuel dans le volet Actions
4. Entrez 7040 dans le champ ID d'événements et cliquez sur OK
5. Double-cliquez sur les entrées récentes de l'ID d'événement 7040 pour voir les détails
6. Dans les détails de l'événement, notez le nom du service, l'ancien type de démarrage, le nouveau type de démarrage, et le compte utilisateur
7. Vérifiez l'onglet Détails pour des informations supplémentaires, y compris l'ID de processus et l'identifiant de sécurité

Utilisez PowerShell pour interroger plusieurs événements efficacement :

Get-WinEvent -FilterHashtable @{LogName='System'; Id=7040} -MaxEvents 50 | Format-Table TimeCreated, Id, LevelDisplayName, Message -Wrap

Enquêter sur qui a effectué les modifications de service et les corréler avec d'autres événements de sécurité pour déterminer si les modifications étaient autorisées.

1. À partir des détails de l'ID d'événement 7040, notez le champ Utilisateur indiquant qui a effectué la modification
2. Accédez à Journaux Windows → Sécurité dans le Visualiseur d'événements
3. Filtrez pour l'ID d'événement 4656 (poignée d'objet demandée) autour de la même heure
4. Cherchez les événements de connexion correspondants (ID d'événements 4624, 4625) pour le compte utilisateur
5. Vérifiez si les modifications ont eu lieu pendant les heures de bureau normales ou les fenêtres de maintenance

Utilisez PowerShell pour corréler les événements par heure et utilisateur :

# Obtenir les modifications de service des dernières 24 heures
$ServiceChanges = Get-WinEvent -FilterHashtable @{LogName='System'; Id=7040; StartTime=(Get-Date).AddDays(-1)}

# Extraire les informations utilisateur de chaque événement
$ServiceChanges | ForEach-Object {
    $Event = [xml]$_.ToXml()
    $ServiceName = $Event.Event.EventData.Data | Where-Object {$_.Name -eq 'param1'} | Select-Object -ExpandProperty '#text'
    $User = $Event.Event.EventData.Data | Where-Object {$_.Name -eq 'param5'} | Select-Object -ExpandProperty '#text'
    [PSCustomObject]@{
        Time = $_.TimeCreated
        Service = $ServiceName
        User = $User
        Message = $_.Message
    }
}

Confirmez l'état actuel des services qui ont été modifiés et assurez-vous qu'ils sont conformes aux politiques de sécurité de l'organisation.

1. Ouvrez Services en appuyant sur Win + R, en tapant services.msc, et en appuyant sur Entrée
2. Localisez le service mentionné dans l'entrée de journal de l'ID d'événement 7040
3. Cliquez avec le bouton droit sur le service et sélectionnez Propriétés
4. Vérifiez le paramètre actuel de Type de démarrage dans l'onglet Général
5. Vérifiez si le paramètre actuel correspond à la base de sécurité de votre organisation
6. Documentez tous les services qui ne sont pas configurés selon la politique

Utilisez PowerShell pour auditer tous les types de démarrage des services :

# Obtenez tous les services et leurs types de démarrage
Get-Service | Select-Object Name, Status, StartType | Sort-Object Name

# Vérifiez les services spécifiques liés à la sécurité
$SecurityServices = @('Windefend', 'MpsSvc', 'Eventlog', 'Audiosrv')
Get-Service $SecurityServices | Select-Object Name, Status, StartType, DisplayName

Comparez avec votre base de sécurité en utilisant les valeurs du registre :

# Vérifiez le type de démarrage du service dans le registre
$ServiceName = 'YourServiceName'
$RegPath = "HKLM:\SYSTEM\CurrentControlSet\Services\$ServiceName"
Get-ItemProperty -Path $RegPath -Name Start -ErrorAction SilentlyContinue

Configurez une surveillance proactive pour détecter les changements de service non autorisés en temps réel et créer des alertes pour les services critiques.

1. Ouvrez Planificateur de tâches en appuyant sur Win + R, en tapant taskschd.msc, et en appuyant sur Entrée
2. Cliquez sur Créer une tâche dans le volet Actions
3. Nommer la tâche "Service Change Monitor" et la configurer pour s'exécuter avec les privilèges les plus élevés
4. Dans l'onglet Déclencheurs, cliquez sur Nouveau et sélectionnez Sur un événement
5. Définissez le journal sur Système, la source sur Service Control Manager, et l'ID d'événement sur 7040
6. Dans l'onglet Actions, créez une action de script PowerShell pour envoyer des alertes

Créez un script de surveillance PowerShell :

# Script de surveillance des changements de service
$CriticalServices = @('Windefend', 'MpsSvc', 'Eventlog', 'WinRM', 'BITS')

# Enregistrer pour l'ID d'événement 7040
Register-WmiEvent -Query "SELECT * FROM Win32_NTLogEvent WHERE LogFile='System' AND EventCode=7040" -Action {
    $Event = $Event.SourceEventArgs.NewEvent
    $Message = $Event.Message
    
    # Vérifiez si un service critique a été modifié
    foreach ($Service in $CriticalServices) {
        if ($Message -like "*$Service*") {
            # Envoyer une alerte (email, SIEM, etc.)
            Write-EventLog -LogName Application -Source "ServiceMonitor" -EventId 1001 -EntryType Warning -Message "Le service critique $Service a été modifié : $Message"
        }
    }
}

Configurez le transfert d'événements Windows pour une surveillance centralisée :

# Activer WinRM pour le transfert d'événements
Enable-PSRemoting -Force
winrm quickconfig -force

# Créer un abonnement de transfert d'événements personnalisé
wecutil cs ServiceChangeSubscription.xml

Effectuer une analyse médico-légale détaillée lorsque des modifications de service non autorisées sont détectées et mettre en œuvre des procédures de remédiation.

1. Exporter les événements pertinents pour l'analyse médico-légale à l'aide de l'Observateur d'événements
2. Naviguer vers Journaux Windows → Système
3. Cliquez avec le bouton droit et sélectionnez Enregistrer tous les événements sous
4. Enregistrer au format EVTX pour une analyse détaillée
5. Utiliser des outils supplémentaires pour corréler avec d'autres événements de sécurité

Analyse médico-légale avancée avec PowerShell :

# Analyse complète des modifications de service
$StartTime = (Get-Date).AddDays(-7)
$Events = Get-WinEvent -FilterHashtable @{LogName='System'; Id=7040; StartTime=$StartTime}

# Analyser et analyser les événements
$Analysis = $Events | ForEach-Object {
    $EventXML = [xml]$_.ToXml()
    $Data = $EventXML.Event.EventData.Data
    
    [PSCustomObject]@{
        TimeCreated = $_.TimeCreated
        ServiceName = ($Data | Where-Object {$_.Name -eq 'param1'}).'#text'
        OldStartType = ($Data | Where-Object {$_.Name -eq 'param2'}).'#text'
        NewStartType = ($Data | Where-Object {$_.Name -eq 'param3'}).'#text'
        ProcessName = ($Data | Where-Object {$_.Name -eq 'param4'}).'#text'
        UserAccount = ($Data | Where-Object {$_.Name -eq 'param5'}).'#text'
        ProcessId = $_.ProcessId
        ThreadId = $_.ThreadId
    }
}

# Regrouper par utilisateur pour identifier les modèles
$Analysis | Group-Object UserAccount | Sort-Object Count -Descending

Remédier aux modifications non autorisées :

# Restaurer le service à une configuration sécurisée
$ServiceName = "YourCompromisedService"
Set-Service -Name $ServiceName -StartupType Automatic
Start-Service -Name $ServiceName

# Vérifier le changement
Get-Service $ServiceName | Select-Object Name, Status, StartType