Windows, journaux, services et tâches planifiées

Windows est central dans beaucoup d'environnements professionnels. Comprendre ses journaux, services, tâches planifiées et comptes locaux est indispensable pour administrer, défendre et enquêter.

Comptes et groupes

Commandes utiles :

Get-LocalUser
Get-LocalGroup
Get-LocalGroupMember Administrators

Points à vérifier :

• comptes locaux inutiles
• membres du groupe Administrators
• comptes désactivés
• comptes sans propriétaire clair
• droits trop larges

Services Windows

Un service s'exécute en arrière-plan.

Get-Service
Get-Service | Where-Object Status -eq Running

À analyser :

• nom du service
• état
• compte d'exécution
• chemin du binaire
• démarrage automatique
• modification récente

Tâches planifiées

Les tâches planifiées exécutent des actions à un horaire ou événement donné.

Get-ScheduledTask
Get-ScheduledTask | Where-Object State -eq Ready

Elles sont utiles pour la maintenance, mais aussi surveillées en investigation car elles peuvent servir à la persistance.

Journaux Windows

Journaux importants :

Get-WinEvent -LogName Security -MaxEvents 20
Get-WinEvent -LogName System -MaxEvents 20

Événements utiles

Quelques familles d'événements à surveiller :

• connexions réussies et échouées
• création de compte
• ajout à un groupe privilégié
• installation ou modification de service
• création de tâche planifiée
• démarrage de processus suspect
• effacement de journaux

Réflexes d'investigation

• relever l'heure du fait observé
• vérifier les connexions autour de cette heure
• regarder les services modifiés
• inspecter les tâches planifiées
• contrôler les groupes privilégiés
• corréler avec l'antivirus ou l'EDR
• exporter les journaux si nécessaire