la tâche AdminSDHolder a modifiés La méthode la plus courante et la plus efficace pour déterminer quels comptes et groupes ont été touchés par la tâche AdminSDHolder consiste à rechercher les entrées d’audit de gestion de comptes Event ID 684 dans le journal d’événements Security sur le DC émulateur PDC.
Déterminer quels objets
/>
La figure 5 montre un exemple d’une telle entrée de journal. A noter que, pour que le système puisse journaliser les événements requis, l’audit de gestion de comptes doit être validé. Comme autre méthode, vous pouvez journaliser l’activité SDPROP (security descriptor propagation). Il n’y a pas de relation entre la tâche AdminSDHolder et SDPROP, mais chaque fois qu’une mise à jour de SD (Security Descriptor) a lieu, SDPROP tente de propager les changements vers les objets enfants. Autrement dit, les événements informatifs de SDPROP donnent des indications sur les objets qui ont été touchés par la tâche AdminSDHolder.
Mais sachez que SDPROP a aussi la possibilité de journaliser une autre activité sans rapport avec ceci. SDPROP ne journalise pas les événements informatifs dans le journal d’événements DS (Directory Service) sauf si vous élevez le niveau de journalisation de diagnostics au-dessus de la valeur par défaut. Pour valider les événements informatifs de SDPROP, à nouveau sur le DC émulateur PDC, définissez la valeur de 9 Internal Processing sur la sous-clé de registre suivante à 5 (décimale) :
HKEY_ LOCAL_ MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics.
Après avoir validé le niveau de journalisation plus élevé, recherchez les Event ID 1257 et 1258 dans le journal d’événements DS avec NTDS SDPROP comme source. Les événements contiendront le nom des objets mis à jour par SDPROP. Comme l’élévation du niveau de journalisation génère un grand nombre d’événements, ne le faites que pour dépanner un problème bien particulier, puis abaissez le niveau de journalisation une fois le dépannage effectué.
Une troisième méthode consiste à émettre une requête LDAP pour tous les objets présents dans le domaine qui ont une valeur d’attribut adminCount de 1. Cependant, cette méthode n’est pas fiable pour les raisons que j’ai déjà indiquées : à savoir le fait que la tâche AdminSDHolder ne supprime pas la valeur d’attribut quand l’objet n’est plus membre de l’un des groupes protégés.
Dans l’exemple suivant, j’utilise ADFind (un excellent outil ligne de commande freeware en provenance de joeware.net, http://www.joeware.net) pour exécuter la requête LDAP. La requête recherche la partition de répertoire par défaut (la partition de domaine) et renvoie tous les objets utilisateurs qui ont une valeur d’attribut adminCount de 1.
(La requête peut s’étendre sur plusieurs lignes pour des raisons de place, mais vous devez la taper sur une seule ligne.)
adfind -default -f "(&(objectClass=user (objectCategory=Person)(adminCount=))"
Téléchargez cette ressource
Rapport mondial 2025 sur la réponse à incident
Dans ce nouveau rapport, les experts de Palo Alto Networks, Unit 42 livrent la synthèse des attaques ayant le plus impacté l'activité des entreprises au niveau mondial. Quel est visage actuel de la réponse aux incidents ? Quelles sont les tendances majeures qui redessinent le champ des menaces ? Quels sont les défis auxquels doivent faire face les entreprises ? Découvrez les top priorités des équipes de sécurité en 2025.
Les articles les plus consultés
A travers cette chaîne
A travers ITPro
Les plus consultés sur iTPro.fr
- Cybersécurité : l’IA générative rebat les cartes du cybercrime
- Le World Cyber Ranking, 1er classement mondial de la cybersécurité des entreprises
- Comment le Quarter Plan permet d’aligner IT et Métiers pour délivrer
- Explosion des attaques d’ingénierie sociale en 2025
- SI sous pression : 3 signes que vos flux sont mal orientés
