Sommaire

Surveiller l’arrivée d’un événement dans le journal

Prérequis

  • Windows Server 2012 minimum.

1. Problématique

Nous avons des troubles du sommeil car des problèmes de sécurité informatique nous empêchent de dormir, parfois des cauchemars nous envahissent durant la nuit et nous réveillent en sursaut. Si cela vous arrive aussi, alors lisez attentivement ce qui va suivre…

Dans l’espoir de détecter une intrusion dans le système ou tout simplement pour savoir si de nouveaux administrateurs du domaine ont été nommés à votre insu, il peut être particulièrement intéressant de surveiller les ajouts de comptes au groupe « Admins du domaine ». Nous souhaitons donc être prévenus par e-mail dès qu’un ajout de ce genre se produit, et ce dans la mesure du possible, en temps réel ou presque !

2. Solution

Écrire un script basé sur les événements CIM/WMI fonctionnant en permanence en arrière-plan sous forme de travail planifié (scheduled job). Celui-ci surveille l’arrivée d’un événement particulier dans le journal de sécurité. Cet événement est l’événement d’ajout de membres à un groupe global de sécurité et porte l’ID 4728. En effet, lorsqu’une modification d’un groupe de sécurité a lieu ...