Recommandations de stratégie d'audit
Cette section concerne les paramètres de stratégie d’audit par défaut de Windows, les paramètres de stratégie d’audit recommandés de base et les recommandations plus agressives de Microsoft pour les produits de station de travail et de serveur.
Les recommandations de base SCM présentées ici, ainsi que les paramètres que nous recommandons pour détecter les compromissions, sont destinées uniquement à être un guide de base de départ pour les administrateurs. Chaque organisation doit prendre ses propres décisions concernant les menaces auxquelles elle est confrontée, ses tolérances au risque acceptable et les catégories ou sous-catégories de stratégie d’audit qu’elle doit activer. Pour plus d’informations sur les menaces, consultez le Guide des menaces et des mesures de prévention. Les administrateurs qui n’ont pas mis en place une stratégie d’audit réfléchie sont encouragés à commencer par les paramètres recommandés ici, puis à les modifier et à les tester, avant d’appliquer la stratégie dans leur environnement de production.
Les recommandations concernent les ordinateurs d’entreprise, que Microsoft définit comme des ordinateurs qui ont des exigences de sécurité moyennes et qui nécessitent un niveau élevé de fonctionnalités opérationnelles. Les entités qui ont des exigences de sécurité plus élevées doivent envisager des stratégies d’audit plus agressives.
Notes
Les valeurs par défaut de Microsoft Windows et les recommandations de base ont été extraites de l’outil Microsoft Security Compliance Manager.
Les paramètres de stratégie d’audit de base suivants sont recommandés pour les ordinateurs de sécurité normaux pour lesquels on ne connaît aucune attaque active et réussie en cours par des adversaires déterminés ou des programmes malveillants.
Stratégies d’audit recommandées par système d’exploitation
Cette section contient des tableaux qui répertorient les recommandations relatives aux paramètres d’audit qui s’appliquent aux systèmes d’exploitation suivants :
- Windows Server 2022
- Windows Server 2019
- Windows Server 2016
- Windows Server 2012
- Windows Server 2012 R2
- Windows Server 2008
- Windows 10
- Windows 8.1
- Windows 7
Ces tableaux contiennent le paramètre par défaut Windows, les recommandations de base et les recommandations plus fortes pour ces systèmes d’exploitation.
Légende des tableaux de stratégie d’audit
| Notation | Recommandation |
|---|---|
| Oui | Activer dans des scénarios généraux |
| Non | Ne pas activer dans des scénarios généraux |
| Si | Activer si nécessaire pour un scénario spécifique, ou si un rôle ou une fonctionnalité pour lequel l’audit est souhaité est installé sur l’ordinateur |
| DC | Activer sur des contrôleurs de domaine |
| [Vide] | Aucune recommandation |
Recommandations relatives aux paramètres d’audit Windows 10, Windows 8 et Windows 7
Stratégie d’audit
| Catégorie ou sous-catégorie de stratégie d’audit | Windows par défaut
|
Recommandation de référence
|
Recommandation plus forte
|
|---|---|---|---|
| Connexion de compte | |||
| Auditer la validation des informations d’identification | No | No |
Yes | No |
Yes | Yes |
| Auditer le service d’authentification Kerberos | Yes | Yes |
||
| Auditer les opérations de ticket de service Kerberos | Yes | Yes |
||
| Auditer d’autres événements d’ouverture de session | Yes | Yes |
| Catégorie ou sous-catégorie de stratégie d’audit | Windows par défaut
|
Recommandation de référence
|
Recommandation plus forte
|
|---|---|---|---|
| Gestion de compte | |||
| Auditer la gestion des groupes d’applications | |||
| Auditer la gestion des comptes d’ordinateur | Yes | No |
Yes | Yes |
|
| Auditer la gestion des groupes de distribution | |||
| Auditer d’autres événements de gestion des comptes | Yes | No |
Yes | Yes |
|
| Auditer la gestion des groupes de sécurité | Yes | No |
Yes | Yes |
|
| Auditer la gestion des comptes d’utilisateurs | Yes | No |
Yes | No |
Yes | Yes |
| Catégorie ou sous-catégorie de stratégie d’audit | Windows par défaut
|
Recommandation de référence
|
Recommandation plus forte
|
|---|---|---|---|
| Suivi détaillé | |||
| Auditer l’activité DPAPI | Yes | Yes |
||
| Auditer la création du processus | Yes | No |
Yes | Yes |
|
| Auditer la fin du processus | |||
| Auditer les événements RPC |
| Catégorie ou sous-catégorie de stratégie d’audit | Windows par défaut
|
Recommandation de référence
|
Recommandation plus forte
|
|---|---|---|---|
| Accès DS | |||
| Auditer la réplication du service d’annuaire détaillé | |||
| Auditer l’accès au service d’annuaire | |||
| Auditer les modifications du service d’annuaire | |||
| Auditer la réplication du service d’annuaire |
| Catégorie ou sous-catégorie de stratégie d’audit | Windows par défaut
|
Recommandation de référence
|
Recommandation plus forte
|
|---|---|---|---|
| Ouverture de session et déconnexion | |||
| Auditer le verrouillage du compte | Yes | No |
Yes | No |
|
| Auditer les revendications utilisateur/de périphérique | |||
| Auditer le mode étendu IPsec | |||
| Auditer le mode principal IPsec | IF | IF |
||
| Auditer le mode rapide IPsec | |||
| Auditer la fermeture de session | Yes | No |
Yes | No |
Yes | No |
| Auditer l’ouverture de session 1 | Yes | Yes |
Yes | Yes |
Yes | Yes |
| Auditer le serveur NPS (Network Policy Server) | Yes | Yes |
||
| Auditer d’autres événements d’ouverture/fermeture de session | |||
| Auditer l’ouverture de session spéciale | Yes | No |
Yes | No |
Yes | Yes |
| Catégorie ou sous-catégorie de stratégie d’audit | Windows par défaut
|
Recommandation de référence
|
Recommandation plus forte
|
|---|---|---|---|
| Accès aux objets | |||
| Auditer l’application générée | |||
| Auditer les services de certification | |||
| Auditer le partage de fichiers détaillé | |||
| Auditer le partage de fichiers | |||
| Auditer le système de fichiers | |||
| Auditer la connexion de la plateforme de filtrage | |||
| Auditer le rejet de paquet par la plateforme de filtrage | |||
| Auditer la manipulation de handle | |||
| Auditer l’objet de noyau | |||
| Auditer d’autres événements d’accès à l’objet | |||
| Auditer le registre | |||
| Auditer le stockage amovible | |||
| Auditer SAM | |||
| Auditer la stratégie d’accès centralisée intermédiaire |
| Catégorie ou sous-catégorie de stratégie d’audit | Windows par défaut
|
Recommandation de référence
|
Recommandation plus forte
|
|---|---|---|---|
| Modification de la stratégie | |||
| Auditer la modification de la stratégie d’audit | Yes | No |
Yes | Yes |
Yes | Yes |
| Auditer la modification de stratégie d’authentification | Yes | No |
Yes | No |
Yes | Yes |
| Auditer la modification de la stratégie d’autorisation | |||
| Auditer la modification de la stratégie de plateforme de filtrage | |||
| Auditer la modification de la stratégie de niveau règle MPSSVC | Yes |
||
| Auditer d’autres événements de modification de stratégie |
| Catégorie ou sous-catégorie de stratégie d’audit | Windows par défaut
|
Recommandation de référence
|
Recommandation plus forte
|
|---|---|---|---|
| Utilisation des privilèges | |||
| Auditer l’utilisation de privilèges non sensibles | |||
| Auditer d’autres événements d’utilisation de privilèges | |||
| Auditer l’utilisation de privilèges sensibles |
| Catégorie ou sous-catégorie de stratégie d’audit | Windows par défaut
|
Recommandation de référence
|
Recommandation plus forte
|
|---|---|---|---|
| Système | |||
| Auditer le pilote IPSEC | Yes | Yes |
Yes | Yes |
|
| Auditer d’autres événements système | Yes | Yes |
||
| Auditer la modification de l’état de la sécurité | Yes | No |
Yes | Yes |
Yes | Yes |
| Auditer l’extension du système de sécurité | Yes | Yes |
Yes | Yes |
|
| Auditer l’intégrité du système | Yes | Yes |
Yes | Yes |
Yes | Yes |
| Catégorie ou sous-catégorie de stratégie d’audit | Windows par défaut
|
Recommandation de référence
|
Recommandation plus forte
|
|---|---|---|---|
| Audit global de l’accès aux objets | |||
| Auditer le pilote IPSEC | |||
| Auditer d’autres événements système | |||
| Auditer la modification de l’état de la sécurité | |||
| Auditer l’extension du système de sécurité | |||
| Auditer l’intégrité du système |
1 À compter de Windows 10 version 1809, l’ouverture de session d’audit est activée par défaut pour la réussite et l’échec. Dans les versions précédentes de Windows, seule la réussite est activée par défaut.
Recommandations concernant les paramètres d’audit pour Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 R2 et Windows Server 2008
| Catégorie ou sous-catégorie de stratégie d’audit | Windows par défaut
|
Recommandation de référence
|
Recommandation plus forte
|
|---|---|---|---|
| Connexion de compte | |||
| Auditer la validation des informations d’identification | No | No |
Yes | Yes |
Yes | Yes |
| Auditer le service d’authentification Kerberos | Yes | Yes |
||
| Auditer les opérations de ticket de service Kerberos | Yes | Yes |
||
| Auditer d’autres événements d’ouverture de session | Yes | Yes |
| Catégorie ou sous-catégorie de stratégie d’audit | Windows par défaut
|
Recommandation de référence
|
Recommandation plus forte
|
|---|---|---|---|
| Gestion de compte | |||
| Auditer la gestion des groupes d’applications | |||
| Auditer la gestion des comptes d’ordinateur | Yes | DC |
Yes | Yes |
|
| Auditer la gestion des groupes de distribution | |||
| Auditer d’autres événements de gestion des comptes | Yes | Yes |
Yes | Yes |
|
| Auditer la gestion des groupes de sécurité | Yes | Yes |
Yes | Yes |
|
| Auditer la gestion des comptes d’utilisateurs | Yes | No |
Yes | Yes |
Yes | Yes |
| Catégorie ou sous-catégorie de stratégie d’audit | Windows par défaut
|
Recommandation de référence
|
Recommandation plus forte
|
|---|---|---|---|
| Suivi détaillé | |||
| Auditer l’activité DPAPI | Yes | Yes |
||
| Auditer la création du processus | Yes | No |
Yes | Yes |
|
| Auditer la fin du processus | |||
| Auditer les événements RPC |
| Catégorie ou sous-catégorie de stratégie d’audit | Windows par défaut
|
Recommandation de référence
|
Recommandation plus forte
|
|---|---|---|---|
| Accès DS | |||
| Auditer la réplication du service d’annuaire détaillé | |||
| Auditer l’accès au service d’annuaire | DC | DC |
DC | DC |
|
| Auditer les modifications du service d’annuaire | DC | DC |
DC | DC |
|
| Auditer la réplication du service d’annuaire |
| Catégorie ou sous-catégorie de stratégie d’audit | Windows par défaut
|
Recommandation de référence
|
Recommandation plus forte
|
|---|---|---|---|
| Ouverture de session et déconnexion | |||
| Auditer le verrouillage du compte | Yes | No |
Yes | No |
|
| Auditer les revendications utilisateur/de périphérique | |||
| Auditer le mode étendu IPsec | |||
| Auditer le mode principal IPsec | IF | IF |
||
| Auditer le mode rapide IPsec | |||
| Auditer la fermeture de session | Yes | No |
Yes | No |
Yes | No |
| Auditer l’ouverture de session | Yes | Yes |
Yes | Yes |
Yes | Yes |
| Auditer le serveur NPS (Network Policy Server) | Yes | Yes |
||
| Auditer d’autres événements d’ouverture/fermeture de session | Yes | Yes |
||
| Auditer l’ouverture de session spéciale | Yes | No |
Yes | No |
Yes | Yes |
| Catégorie ou sous-catégorie de stratégie d’audit | Windows par défaut
|
Recommandation de référence
|
Recommandation plus forte
|
|---|---|---|---|
| Accès aux objets | |||
| Auditer l’application générée | |||
| Auditer les services de certification | |||
| Auditer le partage de fichiers détaillé | |||
| Auditer le partage de fichiers | |||
| Auditer le système de fichiers | |||
| Auditer la connexion de la plateforme de filtrage | |||
| Auditer le rejet de paquet par la plateforme de filtrage | |||
| Auditer la manipulation de handle | |||
| Auditer l’objet de noyau | |||
| Auditer d’autres événements d’accès à l’objet | |||
| Auditer le registre | |||
| Auditer le stockage amovible | |||
| Auditer SAM | |||
| Auditer la stratégie d’accès centralisée intermédiaire |
| Catégorie ou sous-catégorie de stratégie d’audit | Windows par défaut
|
Recommandation de référence
|
Recommandation plus forte
|
|---|---|---|---|
| Modification de la stratégie | |||
| Auditer la modification de la stratégie d’audit | Yes | No |
Yes | Yes |
Yes | Yes |
| Auditer la modification de stratégie d’authentification | Yes | No |
Yes | No |
Yes | Yes |
| Auditer la modification de la stratégie d’autorisation | |||
| Auditer la modification de la stratégie de plateforme de filtrage | |||
| Auditer la modification de la stratégie de niveau règle MPSSVC | Yes |
||
| Auditer d’autres événements de modification de stratégie |
| Catégorie ou sous-catégorie de stratégie d’audit | Windows par défaut
|
Recommandation de référence
|
Recommandation plus forte
|
|---|---|---|---|
| Utilisation des privilèges | |||
| Auditer l’utilisation de privilèges non sensibles | |||
| Auditer d’autres événements d’utilisation de privilèges | |||
| Auditer l’utilisation de privilèges sensibles |
| Catégorie ou sous-catégorie de stratégie d’audit | Windows par défaut
|
Recommandation de référence
|
Recommandation plus forte
|
|---|---|---|---|
| Système | |||
| Auditer le pilote IPSEC | Yes | Yes |
Yes | Yes |
|
| Auditer d’autres événements système | Yes | Yes |
||
| Auditer la modification de l’état de la sécurité | Yes | No |
Yes | Yes |
Yes | Yes |
| Auditer l’extension du système de sécurité | Yes | Yes |
Yes | Yes |
|
| Auditer l’intégrité du système | Yes | Yes |
Yes | Yes |
Yes | Yes |
| Catégorie ou sous-catégorie de stratégie d’audit | Windows par défaut
|
Recommandation de référence
|
Recommandation plus forte
|
|---|---|---|---|
| Audit global de l’accès aux objets | |||
| Auditer le pilote IPSEC | |||
| Auditer d’autres événements système | |||
| Auditer la modification de l’état de la sécurité | |||
| Auditer l’extension du système de sécurité | |||
| Auditer l’intégrité du système |
Définir la stratégie d’audit sur les stations de travail et les serveurs
Tous les plans de gestion du journal des événements doivent surveiller les stations de travail et les serveurs. Une erreur courante consiste à surveiller uniquement les serveurs ou les contrôleurs de domaine. Étant donné que le piratage malveillant commence souvent sur les stations de travail, ne pas surveiller les stations de travail, c’est ignorer la meilleure et la première source d’informations.
Les administrateurs doivent examiner et tester de manière réfléchie toute stratégie d’audit avant la mise en place dans leur environnement de production.
événements à analyser
Pour générer une alerte de sécurité, un ID d’événement parfait doit contenir les attributs suivants :
La forte probabilité que l’occurrence indique une activité non autorisée
Nombre faible de faux positifs
L’occurrence doit générer une réponse sous forme de recherche/d’analyse
Deux types d’événements doivent être surveillés et alertés :
Les événements dans lesquels même une seule occurrence indique une activité non autorisée
Une accumulation d’événements différents de la référence acceptée et attendue
Voici un exemple du premier événement :
Si les administrateurs de domaine (DA) ne peuvent pas se connecter à des ordinateurs qui ne sont pas des contrôleurs de domaine, une seule occurrence d’un membre DA se connectant à une station de travail d’utilisateur final doit générer une alerte et être examinée. Ce type d’alerte est facile à générer à l’aide de l’événement Audit Special Logon 4964 (des groupes spéciaux ont été affectés à une nouvelle ouverture de session). Voici d’autres exemples d’alertes à instance unique :
Si le serveur A ne doit jamais se connecter au serveur B, émettez une alerte lorsqu’il y a une connexion.
Émettez une alerte si un compte d’utilisateur final normal est ajouté de manière inattendue à un groupe de sécurité sensible.
Si les employés de l’usine A ne travaillent jamais la nuit, émettez une alerte lorsqu’un utilisateur se connecte à minuit.
Émettez une alerte si un service non autorisé est installé sur un contrôleur de domaine.
Vérifiez si un utilisateur final normal tente de se connecter directement à un SQL Server pour lequel il n’a aucune raison évidente de le faire.
Si vous n’avez aucun membre dans votre groupe DA et que quelqu’un s’y ajoute, effectuez immédiatement une vérification.
Voici un exemple du deuxième événement :
Un nombre aberrant d’échecs d’ouverture de session peut indiquer une attaque tentant de deviner le mot de passe. Pour qu’une entreprise fournisse une alerte pour un nombre anormalement élevé d’échecs de connexion, elle doit d’abord connaître les niveaux normaux d’échecs de connexion au sein de son environnement avant un événement de sécurité malveillant.
Pour obtenir une liste complète des événements que vous devez inclure lorsque vous surveillez les signes de compromission, consultez l’Annexe L : Événements à surveiller.
Objets et attributs Active Directory à surveiller
Voici les comptes, les groupes et les attributs que vous devez surveiller pour vous aider à détecter les tentatives de compromission de votre installation AD DS (Active Directory Domain Services).
Systèmes permettant de désactiver ou de supprimer les logiciels antivirus et anti-programmes malveillants (redémarrer automatiquement la protection lorsqu’elle est désactivée manuellement)
Comptes d’administrateur pour les modifications non autorisées
Activités effectuées à l’aide de comptes privilégiés (supprimer automatiquement le compte lorsque les activités suspectes sont terminées ou que le temps alloué a expiré)
Comptes privilégiés et VIP dans AD DS. Surveillez les modifications, en particulier celles apportées aux attributs sous l’onglet Compte (par exemple cn, name, sAMAccountName, userPrincipalName ou userAccountControl). En plus de surveiller les comptes, limitez au maximum le nombre d’utilisateurs administratifs qui peuvent modifier les compte.
Reportez-vous à l’Annexe L : Événements à surveiller pour obtenir la liste des événements recommandés à surveiller, leurs évaluations de criticité et un résumé des messages d’événement.
Regroupez des serveurs par classification de leurs charges de travail, ce qui vous permet d’identifier rapidement les serveurs qui doivent être les plus surveillés et les plus rigoureusement configurés
Modifications apportées aux propriétés et à l’appartenance aux groupes AD DS suivants : Administrateurs d’entreprise (EA), Administrateurs de domaine (DA), Administrateurs (BA) et Administrateurs de schéma (SA)
Comptes privilégiés désactivés (tels que les comptes d’administrateur intégrés dans Active Directory et sur les systèmes membres) pour activer les comptes
Comptes de gestion pour consigner toutes les écritures dans le compte
Assistant Configuration de la sécurité intégré pour configurer les paramètres de service, de registre, d’audit et de pare-feu afin de réduire la surface d’attaque du serveur. Utilisez cet Assistant si vous implémentez des serveurs de rebond dans le cadre de votre stratégie d’hôte d’administration.
Informations supplémentaires sur la surveillance d’AD DS (Active Directory Domain Services)
Pour plus d’informations sur la surveillance d’AD DS, consultez les liens suivants :
L’audit global de l’accès aux objets est magique : fournit des informations sur la configuration et l’utilisation de la configuration de stratégie d’audit avancée qui a été ajoutée à Windows 7 et Windows Server 2008 R2.
Présentation des modifications d’audit dans Windows 2008 : présente les modifications d’audit apportées dans Windows 2008.
Astuces d’audit intéressantes dans Vista et 2008 : explique les nouvelles fonctionnalités d’audit intéressantes de Windows Vista et Windows Server 2008 qui peuvent être utilisées pour résoudre les problèmes ou voir ce qui se passe dans votre environnement.
Guichet unique pour l’audit dans Windows Server 2008 et Windows Vista : contient une compilation des fonctionnalités d’audit et des informations contenues dans Windows Server 2008 et Windows Vista.
Guide pas à pas de l’audit AD DS : décrit la nouvelle fonctionnalité d’audit des services de domaine Active Directory (AD DS) dans Windows Server 2008. Vous trouverez également des procédures pour implémenter cette nouvelle fonctionnalité.
Liste générale des critiques relatives aux recommandations d’ID d’événement de sécurité
Toutes les recommandations d’ID d’événement sont accompagnées d’une évaluation de la criticité comme suit :
Haute : les ID d’événement avec une évaluation de criticité élevée doivent toujours et immédiatement être alertés et examinés.
Moyenne : un ID d’événement avec une évaluation de criticité moyenne peut indiquer une activité malveillante, mais il doit être accompagné d’une autre anomalie (par exemple, un nombre inhabituel se produisant au cours d’une période donnée, des occurrences inattendues ou des occurrences sur un ordinateur qui ne devraient normalement pas journaliser l’événement). Un événement de criticité moyenne peut également être collecté en tant que métrique et comparé au fil du temps.
Faible : l’ID d’événement avec une faible criticité ne doit pas attirer l’attention ou provoquer d’alertes, sauf s’il est corrélé avec des événements de criticité moyenne ou élevée.
Ces recommandations sont destinées à fournir un guide de référence pour l’administrateur. Toutes les recommandations doivent être examinées de manière approfondie avant leur implémentation dans un environnement de production.
Reportez-vous à l’Annexe L : Événements à surveiller pour obtenir la liste des événements recommandés à surveiller, leurs évaluations de criticité et un résumé des messages d’événement.