la tâche AdminSDHolder a modifiés La méthode la plus courante et la plus efficace pour déterminer quels comptes et groupes ont été touchés par la tâche AdminSDHolder consiste à rechercher les entrées d’audit de gestion de comptes Event ID 684 dans le journal d’événements Security sur le DC émulateur PDC.
Déterminer quels objets
/>
La figure 5 montre un exemple d’une telle entrée de journal. A noter que, pour que le système puisse journaliser les événements requis, l’audit de gestion de comptes doit être validé. Comme autre méthode, vous pouvez journaliser l’activité SDPROP (security descriptor propagation). Il n’y a pas de relation entre la tâche AdminSDHolder et SDPROP, mais chaque fois qu’une mise à jour de SD (Security Descriptor) a lieu, SDPROP tente de propager les changements vers les objets enfants. Autrement dit, les événements informatifs de SDPROP donnent des indications sur les objets qui ont été touchés par la tâche AdminSDHolder.
Mais sachez que SDPROP a aussi la possibilité de journaliser une autre activité sans rapport avec ceci. SDPROP ne journalise pas les événements informatifs dans le journal d’événements DS (Directory Service) sauf si vous élevez le niveau de journalisation de diagnostics au-dessus de la valeur par défaut. Pour valider les événements informatifs de SDPROP, à nouveau sur le DC émulateur PDC, définissez la valeur de 9 Internal Processing sur la sous-clé de registre suivante à 5 (décimale) :
HKEY_ LOCAL_ MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics.
Après avoir validé le niveau de journalisation plus élevé, recherchez les Event ID 1257 et 1258 dans le journal d’événements DS avec NTDS SDPROP comme source. Les événements contiendront le nom des objets mis à jour par SDPROP. Comme l’élévation du niveau de journalisation génère un grand nombre d’événements, ne le faites que pour dépanner un problème bien particulier, puis abaissez le niveau de journalisation une fois le dépannage effectué.
Une troisième méthode consiste à émettre une requête LDAP pour tous les objets présents dans le domaine qui ont une valeur d’attribut adminCount de 1. Cependant, cette méthode n’est pas fiable pour les raisons que j’ai déjà indiquées : à savoir le fait que la tâche AdminSDHolder ne supprime pas la valeur d’attribut quand l’objet n’est plus membre de l’un des groupes protégés.
Dans l’exemple suivant, j’utilise ADFind (un excellent outil ligne de commande freeware en provenance de joeware.net, http://www.joeware.net) pour exécuter la requête LDAP. La requête recherche la partition de répertoire par défaut (la partition de domaine) et renvoie tous les objets utilisateurs qui ont une valeur d’attribut adminCount de 1.
(La requête peut s’étendre sur plusieurs lignes pour des raisons de place, mais vous devez la taper sur une seule ligne.)
adfind -default -f "(&(objectClass=user (objectCategory=Person)(adminCount=))"
Téléchargez cette ressource
Percer le brouillard des rançongiciels
Explorez les méandres d’une investigation de ransomware, avec les experts de Palo Alto Networks et Unit 42 pour faire la lumière dans la nébuleuse des rançongiciels. Plongez au cœur de l’enquête pour comprendre les méthodes, les outils et les tactiques utilisés par les acteurs de la menace. Découvrez comment prévenir les attaques, les contrer et minimiser leur impact. Des enseignements indispensables aux équipes cyber.
Les articles les plus consultés
A travers cette chaîne
A travers ITPro
Les plus consultés sur iTPro.fr
- Reporting RSE : un levier d’innovation !
- De la 5G à la 6G : la France se positionne pour dominer les réseaux du futur
- Datanexions, acteur clé de la transformation numérique data-centric
- Les PME attendent un meilleur accès aux données d’émissions de la part des fournisseurs
- Fraude & IA : Dr Jekyll vs. Mr Hyde, qui l’emporte ?
