Partager via


Surveillance des signes de compromission d'Active Directory

Loi numéro 5 : La vigilance éternelle est le prix de la sécurité. - 10 lois immuables de l’administration de la sécurité

Un système de surveillance des journaux des événements solide est un élément essentiel de toute conception Active Directory sécurisée. De nombreuses compromissions de sécurité de l’ordinateur peuvent être découvertes au début de l’événement si les cibles ont adopté une surveillance et une alerte appropriées du journal des événements. Des rapports indépendants appuient depuis longtemps cette conclusion. Par exemple, le Rapport sur les violations de données Verizon 2009 indique :

« L’inefficacité apparente de la surveillance des événements et de l’analyse des journaux continue d’être une énigme. La possibilité de détection est là ; les enquêteurs ont noté que 66 pour cent des victimes disposaient de suffisamment de preuves dans leurs journaux d’activité pour découvrir la violation s’ils avaient été plus diligents dans l’analyse de ces ressources.

Ce manque de surveillance des journaux d’événements actifs reste une faiblesse constante dans les plans de défense de sécurité de nombreuses entreprises. Le Rapport Verizon Data Breach de 2012 a révélé que même si 85 pour cent des violations ont pris plusieurs semaines pour être remarquées, 84 pour cent des victimes avaient des preuves de la violation dans leurs journaux d’événements.

Stratégie d’audit système

Vous trouverez ci-dessous des liens vers le blog du support d’entreprise officiel Microsoft. Le contenu de ces blogs fournit des conseils et des recommandations sur l’audit pour vous aider à améliorer la sécurité de votre infrastructure Active Directory et constituent une ressource précieuse lors de la conception d’une stratégie d’audit.

Les liens suivants fournissent des informations sur les améliorations apportées à l’audit Windows dans Windows 8 et Windows Server 2012, ainsi que des informations sur l’audit AD DS dans Windows Server 2008.

  • Nouveautés de l’audit de sécurité : fournit une vue d’ensemble des nouvelles fonctionnalités d’audit de sécurité dans Windows 8 et Windows Server 2012.
  • Guide pas à pas de l’audit AD DS : décrit la nouvelle fonctionnalité d’audit des services de domaine Active Directory (AD DS) dans Windows Server 2008. Fournit également des procédures pour implémenter cette nouvelle fonctionnalité.

Catégories d’audit Windows

Avant Windows Vista et Windows Server 2008, Windows ne disposait que de neuf catégories de stratégie d’audit du journal des événements :

  • Événements d’ouverture de session de compte
  • Gestion de compte
  • Accès au service d’annuaire
  • Événements de connexion
  • Accès aux objets
  • Modification de stratégie
  • Utilisation des privilèges
  • Suivi des processus
  • Événements système

Ces neuf catégories d’audit traditionnelles comprennent une stratégie d’audit. Chaque catégorie d’audit peut être activée pour la Réussite, l’Échec, ou la Réussite et l’Échec. Leurs descriptions sont incluses dans la section suivante.

Descriptions des catégories de stratégie d’audit

Les catégories de stratégie d’audit activent les types de messages de journal des événements suivants.

Auditer les événements d’ouverture de session de compte

Auditer les événements d'ouverture de session de compte signale chaque instance d’un principal de sécurité (par exemple, un compte d’utilisateur, d’ordinateur ou de service) qui se connecte ou se déconnecte d’un ordinateur sur lequel un autre ordinateur est utilisé pour valider le compte. Les événements d’ouverture de session de compte sont générés lorsqu’un compte principal de sécurité de domaine est authentifié sur un contrôleur de domaine. L’authentification d’un utilisateur local sur un ordinateur local génère un événement d’ouverture de session enregistré dans le journal de sécurité local. Aucun événement de déconnexion de compte n’est journalisé.

Cette catégorie génère beaucoup de « bruit », car Windows a constamment des comptes connectés aux ordinateurs locaux et distants pendant le cours normal de l’activité. Malgré cet inconvénient, chaque plan de sécurité doit inclure la réussite et l’échec de cette catégorie d’audit.

Auditer la gestion des comptes

Ce paramètre d’audit détermine s’il faut suivre la gestion des utilisateurs et des groupes. Par exemple, les utilisateurs et les groupes doivent être suivis lorsqu'un compte d'utilisateur ou d'ordinateur, un groupe de sécurité ou un groupe de distribution est créé, modifié ou supprimé. Les utilisateurs et les groupes doivent également être suivis lorsqu'un compte d'utilisateur ou d'ordinateur est renommé, désactivé ou activé, et lorsqu'un mot de passe d'utilisateur ou d'ordinateur est modifié. Un événement peut être généré pour les utilisateurs ou les groupes qui sont ajoutés ou supprimés d’autres groupes.

Auditer l’accès au service d’annuaire

Ce paramètre de stratégie détermine s’il faut auditer l’accès du principal de sécurité à un objet Active Directory qui a sa propre liste de contrôle d’accès système (SACL) spécifiée. En général, cette catégorie ne doit être activée que sur les contrôleurs de domaine. Ce paramètre génère beaucoup de « bruit ».

Auditer les événements d’ouverture de session

Les événements d’ouverture de session sont générés lorsqu’un principal de sécurité local est authentifié sur un ordinateur local. Les événements d’ouverture de session enregistrent les ouvertures de session de domaine qui se produisent sur l’ordinateur local. Les événements de déconnexion de compte ne sont pas générés. Lorsqu’ils sont activés, les événements d’ouverture de session génèrent beaucoup de « bruit », mais néanmoins cette stratégie doit être activée par défaut dans n’importe quel plan d’audit de sécurité.

Auditer l’accès aux objets

L’accès à l’objet peut générer des événements lorsque des objets définis par la suite avec l’audit activé sont accessibles (par exemple, Ouvert, Lu, Renommé, Supprimé ou Fermé). Une fois la catégorie d’audit principale activée, l’administrateur doit définir individuellement les objets pour lesquels l’audit sera activé. De nombreux objets système Windows sont fournis avec l’audit activé. Par conséquent, l’activation de cette catégorie commence généralement à générer des événements avant que l’administrateur n’en ait défini.

Cette catégorie est très « bruyante » et génère cinq à dix événements pour chaque accès à un objet. Il peut être difficile pour les administrateurs qui découvrent l’audit d’objets d’obtenir des informations utiles. Ne l’activez que si nécessaire.

Modification de la stratégie d’audit

Ce paramètre de stratégie détermine s’il faut auditer chaque incidence d’une modification des stratégies d’attribution des droits utilisateur, des stratégies de pare-feu Windows, des stratégies d’approbation ou de la stratégie d’audit. Cette catégorie doit être activée sur tous les ordinateurs. Elle génère très peu de « bruit ».

Auditer l’utilisation des privilèges

Il existe des dizaines de droits et d’autorisations d’utilisateur dans Windows (par exemple, Ouverture de session en tant que traitement par lots et Agir en tant que partie du système d’exploitation). Ce paramètre de stratégie détermine s’il faut auditer chaque instance d’un principal de sécurité en exerçant un droit ou un privilège d’utilisateur. L’activation de cette catégorie génère beaucoup de « bruit », mais elle peut être utile pour suivre les comptes principaux de sécurité utilisant des privilèges élevés.

Auditer le suivi des processus

Ce paramètre de stratégie détermine s’il faut auditer les informations détaillées de suivi des processus pour des événements comme l’activation de programmes, la sortie de processus, la gestion de la duplication et l’accès indirect aux objets. Il est utile pour suivre les utilisateurs malveillants et les programmes qu’ils utilisent.

L’activation du suivi des processus d’audit génère un grand nombre d’événements, de sorte qu’elle est généralement définie sur Aucun audit. Toutefois, ce paramètre peut fournir un grand avantage lors d’une réponse à un incident à partir du journal détaillé des processus démarrés et de leur heure de lancement. Pour les contrôleurs de domaine et autres serveurs d’infrastructure à rôle unique, cette catégorie peut être activée en toute sécurité tout le temps. Les serveurs à rôle unique ne génèrent pas beaucoup de trafic de suivi des processus pendant le cours normal de leurs tâches. Par conséquent, ils peuvent être activés pour capturer des événements non autorisés s’ils se produisent.

Auditer les événements système

Les événements système sont presque une catégorie générique fourre-tout, qui enregistre divers événements qui ont un impact sur l’ordinateur, sa sécurité système ou le journal de sécurité. Cela comprend des événements pour les arrêts et redémarrages d’ordinateurs, les pannes d’alimentation, les changements d’heure du système, les initialisations de package d’authentification, les effacements des journaux d’audit, les problèmes d’emprunt d’identité et une foule d’autres événements généraux. En général, l’activation de cette catégorie d’audit génère beaucoup de « bruit », mais elle génère suffisamment d’événements très utiles pour qu’il soit difficile de recommander de ne pas l’activer.

Stratégies d’audit avancées

À partir de Windows Vista et Windows Server 2008, Microsoft a amélioré la façon dont sont effectuées les sélections de catégories du journal des événements en créant des sous-catégories sous chaque catégorie d’audit principale. Les sous-catégories permettent à l’audit d’être beaucoup plus granulaire qu’il pourrait l’être en utilisant les catégories principales. En utilisant des sous-catégories, vous pouvez activer uniquement des parties d’une catégorie principale particulière et ignorer la génération d’événements qui ne sont pas utiles. Chaque sous-catégorie d’audit peut être activée pour la réussite, l’échec, ou la réussite et l’échec.

Pour répertorier toutes les sous-catégories d’audit disponibles, consultez le conteneur Stratégie d’audit avancée dans un objet de stratégie de groupe, ou tapez la commande suivante sur n’importe quel ordinateur exécutant Windows Server 2012, Windows Server 2008 R2 ou Windows Server 2008, Windows 8, Windows 7 ou Windows Vista :

auditpol /list /subcategory:*

Pour obtenir la liste des sous-catégories d’audit actuellement configurées sur un ordinateur exécutant Windows Server 2012, Windows Server 2008 R2 ou Windows 2008, tapez la commande qui suit :

auditpol /get /category:*

La capture d’écran suivante montre un exemple avec auditpol.exe répertoriant la stratégie d’audit actuelle.

Capture d’écran montrant un exemple de auditpol.exe répertoriant la stratégie d’audit actuelle.

Notes

La stratégie de groupe ne signale pas toujours avec précision l’état de toutes les stratégies d’audit activées, contrairement à auditpol.exe. Pour plus d’informations, consultez Obtention d’une stratégie d’audit efficace dans Windows 7 et 2008 R2.

Chaque catégorie principale a plusieurs sous-catégories. Vous trouverez ci-dessous une liste de catégories, leurs sous-catégories et une description de leurs fonctions.

Audit des descriptions des sous-catégories

Les sous-catégories de stratégie d’audit activent les types de messages de journal des événements suivants :

Connexion de compte

Validation des informations d'identification

Cette sous-catégorie rapporte les résultats des tests de validation sur les informations de connexion soumises pour une demande de connexion d’un compte d'utilisateur. Ces évènements se produisent sur un ordinateur faisant autorité pour les informations de connexion. Pour les comptes de domaine, le contrôleur de domaine fait autorité ; pour les comptes locaux, l’ordinateur local fait autorité.

Dans les environnements de domaine, la plupart des événements d’ouverture de session sont consignés dans le journal de sécurité des contrôleurs de domaine faisant autorité pour les comptes de domaine. Cependant, ces événements peuvent se produire sur plusieurs ordinateurs de l’entreprise lorsque des comptes locaux sont utilisés.

Opérations de ticket de service Kerberos

Cette sous-catégorie signale les événements générés par les processus de demande de ticket Kerberos sur le contrôleur de domaine faisant autorité pour le compte de domaine.

Service d’authentification Kerberos

Cette sous-catégorie signale les événements générés par le service d’authentification Kerberos. Ces évènements se produisent sur un ordinateur faisant autorité pour les informations de connexion.

Autres événements d’ouverture de session

Cette sous-catégorie signale les événements qui se produisent en réponse aux informations d’identification envoyées pour une demande d’ouverture de session de compte d’utilisateur qui ne sont pas liées à la validation des informations d’identification ou aux tickets Kerberos. Ces évènements se produisent sur un ordinateur faisant autorité pour les informations de connexion. Pour les comptes de domaine, le contrôleur de domaine fait autorité, alors que pour les comptes locaux, l’ordinateur local fait autorité.

Dans les environnements de domaine, la plupart des événements d’ouverture de session sont consignés dans le journal de sécurité des contrôleurs de domaine faisant autorité pour les comptes de domaine. Cependant, ces événements peuvent se produire sur plusieurs ordinateurs de l’entreprise lorsque des comptes locaux sont utilisés. Les exemples peuvent inclure les éléments suivants :

  • Déconnexions de session des services Bureau à distance
  • Nouvelles sessions des services Bureau à distance
  • Verrouillage et déverrouillage d’une station de travail
  • Appel d’un économiseur d’écran
  • Ignorer un économiseur d’écran
  • Détection d’une attaque par relecture Kerberos, dans laquelle une demande Kerberos a été reçue deux fois avec des informations identiques
  • Accès à un réseau sans fil accordé à un compte d’utilisateur ou d’ordinateur
  • Accès à un réseau filaire 802.1x accordé à un compte d’utilisateur ou d’ordinateur

Gestion de compte

Gestion des comptes d’utilisateur

Cette sous-catégorie signale chaque événement de gestion des comptes d’utilisateur, par exemple :

  • Compte d’utilisateur créé, modifié ou supprimé
  • Compte d’utilisateur renommé, désactivé ou activé
  • Mot de passe défini ou modifié

Si vous activez ce paramètre de stratégie d’audit, les administrateurs peuvent effectuer le suivi des événements pour détecter les comptes d’utilisateur malveillants, accidentels et autorisés.

Gestion des comptes d’ordinateur

Cette sous-catégorie rapporte chaque événement de la gestion des comptes informatiques, comme lorsqu’un compte informatique est créé, modifié, supprimé, renommé, désactivé ou activé.

Gestion des groupes de sécurité

Cette sous-catégorie signale chaque événement de la gestion des groupes de sécurité, par exemple lorsqu’un groupe de sécurité est créé, modifié ou supprimé ou lorsqu’un membre est ajouté ou supprimé dans un groupe de sécurité. Si vous activez ce paramètre de stratégie d’audit, les administrateurs peuvent effectuer le suivi des événements pour détecter les comptes de groupe de sécurité malveillants, accidentels et autorisés.

Gestion des groupes de distribution

Cette sous-catégorie signale chaque événement de la gestion des groupes de distribution, par exemple lorsqu’un groupe de distribution est créé, modifié ou supprimé ou lorsqu’un membre est ajouté ou retiré d’un groupe de distribution. Si vous activez ce paramètre de stratégie d’audit, les administrateurs peuvent effectuer le suivi des événements pour détecter les comptes de groupe malveillants, accidentels et autorisés.

Gestion des groupes d’applications

Cette sous-catégorie signale chaque événement de la gestion des groupes d’applications sur un ordinateur, par exemple lorsqu’un groupe d’applications est créé, modifié ou supprimé ou lorsqu’un membre est ajouté ou retiré d’un groupe d’applications. Si vous activez ce paramètre de stratégie d’audit, les administrateurs peuvent effectuer le suivi des événements pour détecter les comptes de groupe d’applications malveillants, accidentels et autorisés.

Autres événements de gestion des comptes

Cette sous-catégorie signale d’autres événements de gestion des comptes.

Suivi détaillé des processus

La surveillance détaillée du suivi des processus inclut à la fois la création et l’arrêt des processus.

Création de processus

Cette sous-catégorie signale la création d’un processus et le nom du programme ou de l’utilisateur qui l’a créé.

Arrêt de processus

Cette sous-catégorie signale quand un processus s’arrête.

Activité DPAPI

Cette sous-catégorie signale le chiffrement ou le déchiffrement des appels dans l’interface de programmation d’application de protection des données (DPAPI). DPAPI est utilisé pour protéger les informations secrètes, comme le mot de passe stocké et les informations de clé.

Événements RPC

Cette sous-catégorie signale les événements de connexion d’appel de procédure distante (RPC).

Accès au service d’annuaire

Accès au service d’annuaire

Cette sous-catégorie signale lorsqu’un objet AD DS est accessible. Seuls les objets avec des listes SACL configurées entraînent la génération d’événements d’audit, et uniquement lorsqu’ils sont accessibles de manière à correspondre aux entrées SACL. Ces événements sont similaires aux événements d’accès au service d’annuaire dans les versions précédentes de Windows Server. Cette sous-catégorie s’applique uniquement aux contrôleurs de domaine.

Modifications du service d’annuaire

Cette sous-catégorie signale les modifications apportées aux objets dans AD DS. Les types de modifications signalés sont des opérations de création, de modification, de déplacement et d’annulation de suppression effectuées sur un objet. L’audit des modifications du service d’annuaire indique, le cas échéant, les anciennes et nouvelles valeurs des propriétés modifiées des objets qui ont été modifiés. Seuls les objets avec SACL provoquent la génération d’événements d’audit et uniquement lorsqu’ils sont accessibles d’une manière qui correspond à leurs entrées SACL. Certains objets et propriétés ne provoquent pas la génération d’événements d’audit en raison des paramètres de la classe d’objet dans le schéma. Cette sous-catégorie s’applique uniquement aux contrôleurs de domaine.

Réplication du service d’annuaire

Cette sous-catégorie signale quand la réplication entre deux contrôleurs de domaine commence et se termine.

Réplication du service d’annuaire détaillé

Cette sous-catégorie fournit des informations détaillées sur les informations répliquées entre les contrôleurs de domaine. Ces événements peuvent être très volumineux.

Ouverture/fermeture de session

Connexion

Cette sous-catégorie rapporte lorsqu’un utilisateur a tenté de se connecter au système. Ces événements se produisent sur l’ordinateur utilisé. Pour les ouvertures de session interactives, la génération de ces événements se produit sur l’ordinateur à partir duquel l’utilisateur est connecté. Si une session réseau se produit pour accéder à un partage, ces événements sont générés sur l’ordinateur hébergeant la ressource accédée. Si vous configurez ce paramètre sur Pas d’audit, il est difficile voire impossible de déterminer l’utilisateur ayant accédé ou tenté d’accéder aux ordinateurs de l’entreprise.

Serveur de stratégie réseau

Cette sous-catégorie signale les événements générés par les demandes d’accès utilisateur RADIUS (IAS) et NAP (Network Access Protection). Ces demandes peuvent être Accorder, Refuser, Ignorer, Mettre en quarantaine, Verrouiller et Déverrouiller. L’audit de ce paramètre entraîne un volume moyen ou élevé d’enregistrements sur les serveurs NPS et IAS.

Mode principal IPsec

Cette sous-catégorie signale les résultats du protocole IKE (Internet Key Exchange) et du protocole Internet authentifié (AuthIP) pendant les négociations du mode principal.

Mode étendu IPsec

Cette sous-catégorie signale les résultats d’AuthIP pendant les négociations en mode étendu.

Autres événements d’ouverture/fermeture de session

Cette sous-catégorie signale d’autres événements liés à l’ouverture/fermeture de session, tels que la déconnexion et la reconnexion des Services Bureau à distance, l’utilisation de la fonction RunAs pour exécuter des processus sous un compte différent et le verrouillage et le déverrouillage d’une station de travail.

Fermer la session

Cette sous-catégorie rapporte lorsqu’un utilisateur se déconnecte du système. Ces événements se produisent sur l’ordinateur utilisé. Pour les ouvertures de session interactives, la génération de ces événements se produit sur l’ordinateur à partir duquel l’utilisateur est connecté. Si une session réseau se produit pour accéder à un partage, ces événements sont générés sur l’ordinateur hébergeant la ressource accédée. Si vous configurez ce paramètre sur Pas d’audit, il est difficile voire impossible de déterminer l’utilisateur ayant accédé ou tenté d’accéder aux ordinateurs de l’entreprise.

Verrouillage de compte

Cette sous-catégorie signale quand un compte d’utilisateur est verrouillé suite à un trop grand nombre de tentatives de connexion ayant échoué.

Mode rapide IPsec

Cette sous-catégorie signale les résultats du protocole IKE et d’AuthIP pendant les négociations en mode rapide.

Ouverture de session spéciale

Cette sous-catégorie signale qu’une ouverture de session spéciale est utilisée. Une ouverture de session spéciale est une ouverture de session dotée de privilèges équivalents à un administrateur et pouvant être utilisée pour élever un processus à un niveau supérieur.

Modification de stratégie

Auditer les modifications de stratégie

Cette sous-catégorie signale les modifications apportées à la stratégie d’audit, y compris les modifications SACL.

Modification de la stratégie d’authentification

Cette sous-catégorie signale les modifications apportées à la stratégie d’authentification.

Modification de la stratégie d’autorisation

Cette sous-catégorie signale les modifications apportées à la stratégie d’autorisation, y compris les modifications des autorisations (DACL).

Modification de la stratégie de niveau règle MPSSVC

Cette sous-catégorie signale les modifications apportées aux règles de stratégie utilisées par le service de protection Microsoft (MPSSVC.exe). Ce service est utilisé par le Pare-feu Windows.

Modification de la stratégie de plateforme de filtrage

Cette sous-catégorie signale l’ajout et la suppression d’objets de WFP, y compris les filtres de démarrage. Ces événements peuvent être très volumineux.

Autres événements de modification de stratégie

Cette sous-catégorie signale d’autres types de modifications de stratégie de sécurité, comme la configuration du module de plateforme sécurisée (TPM) ou de fournisseurs de chiffrement.

Utilisation des privilèges

L’utilisation des privilèges couvre les privilèges sensibles et non sensibles.

Utilisation de privilèges sensibles

Cette sous-catégorie signale qu’un compte d’utilisateur ou un service utilise un privilège sensible. Un privilège sensible comprend les droits d’utilisateur suivants :

  • Agir en tant que partie du système d'exploitation
  • Sauvegarder des fichiers et des répertoires
  • Créer un objet de jeton, des programmes de débogage
  • Permettre à l’ordinateur et aux comptes d’utilisateurs d’être approuvés pour la délégation
  • Générer des audits de sécurité, emprunter l’identité d’un client après l’authentification
  • Charger et décharger les pilotes de périphériques
  • Gérer le journal d'audit et de sécurité
  • Modifier les valeurs de l’environnement du microprogramme
  • Remplacer un jeton au niveau du processus, restaurer des fichiers et des répertoires
  • Prendre la propriété de fichiers ou d’objets.

L’audit de cette sous-catégorie crée un volume élevé d’événements.

Utilisation de privilèges non sensibles

Cette sous-catégorie signale qu’un compte d’utilisateur ou un service utilise un privilège non sensible. Un privilège sensible comprend les droits d’utilisateur suivants :

  • Accéder au gestionnaire d’informations d’identification en tant qu’appelant approuvé
  • Accéder à cet ordinateur à partir du réseau
  • Ajouter des stations de travail au domaine
  • Ajuster les quotas de mémoire pour un processus
  • Permettre l’ouverture d’une session locale
  • Autoriser l’ouverture de session par les services Bureau à distance
  • Contourner la vérification de parcours
  • Modifier l’heure système
  • Créer un fichier d’échange
  • Créer des objets globaux
  • Créer des objets partagés permanents
  • Créer des liens symboliques
  • Refuser l’accès à cet ordinateur à partir du réseau
  • Interdire l’ouverture de session en tant que tâche
  • Interdire l’ouverture de session en tant que service
  • Interdire l’ouverture d’une session locale
  • Interdire l’ouverture de session par les services Bureau à distance
  • Forcer l’arrêt à partir d’un système distant
  • Augmenter une plage de travail de processus
  • Augmenter la priorité de planification
  • Verrouillage des pages en mémoire
  • Ouvrir une session en tant que tâche
  • Ouvrir une session en tant que service
  • Modifier un nom d’objet
  • Effectuer les tâches de maintenance de volume
  • Processus unique du profil
  • Performance système du profil
  • Retirer l’ordinateur de la station d’accueil
  • Arrêter le système
  • Synchroniser les données du service de répertoire.

L’audit de cette sous-catégorie crée un volume très élevé d’événements.

Autres événements d’utilisation de privilèges

Ce paramètre de stratégie de sécurité n’est actuellement pas utilisé.

Accès aux objets

La catégorie Accès à l’objet inclut les sous-catégories Système de fichiers et Registre.

Système de fichiers

Cette sous-catégorie indique quand des objets de système de fichiers sont consultés. Seuls les objets de système de fichiers avec SACL provoquent la génération d’événements d’audit et uniquement lorsqu’ils sont accessibles d’une manière qui correspond à leurs entrées SACL. En soi, ce paramètre de stratégie n’entraîne pas l’audit d’événements. Il détermine s’il faut auditer l’événement d’un utilisateur qui accède à un objet de système de fichiers qui a une liste de contrôle d’accès système (SACL) spécifiée, ce qui permet de fait à l’audit d’avoir lieu.

Si le paramètre d’accès à l’objet d’audit est configuré sur Réussite, une entrée d’audit est générée chaque fois qu’un utilisateur accède avec succès à un objet avec une liste SACL spécifiée. Si ce paramètre de stratégie est configuré sur Échec, une entrée d’audit est générée chaque fois qu’un utilisateur échoue dans une tentative d’accès à un objet avec une liste SACL spécifiée.

Registre

Cette sous-catégorie indique quand les objets du Registre sont consultés. Seuls les objets du Registre avec SACL provoquent la génération d’événements d’audit et uniquement lorsqu’ils sont accessibles d’une manière qui correspond à leurs entrées SACL. En soi, ce paramètre de stratégie n’entraîne pas l’audit d’événements.

Objet de noyau

Cette sous-catégorie signale quand des objets de noyau comme des processus et des mutex sont accessibles. Seuls les objets du noyau avec SACL provoquent la génération d’événements d’audit et uniquement lorsqu’ils sont accessibles d’une manière qui correspond à leurs entrées SACL. En règle générale, les objets du noyau sont donnés uniquement si les options d’audit AuditBaseObjects ou AuditBaseDirectories sont activées.

SAM

Cette sous-catégorie signale quand des objets de base de données avec authentification SAM (Security Accounts Manager) locaux sont accessibles.

Services de certification

Cette sous-catégorie signale quand des opérations des services de certification sont effectuées.

Application générée

Cette sous-catégorie signale les cas où des applications tentent de générer des événements d’audit à l’aide des interfaces de programmation d’applications d’audit (API) Windows.

Manipulation de handle

Cette sous-catégorie signale lorsqu’un handle d’un objet est ouvert ou fermé. Seuls les objets avec SACL provoquent la génération de ces événements, et uniquement si l’opération de handle tentée correspond aux entrées SACL. Les événements Manipulation de handle sont générés uniquement pour les types d’objets pour lesquels la sous-catégorie d’accès à l’objet correspondante est activée (par exemple, système de fichiers ou registre).

Partage de fichiers

Cette sous-catégorie signale l’accès à un partage de fichiers. En soi, ce paramètre de stratégie n’entraîne pas l’audit d’événements. Il détermine s’il faut auditer l’événement d’un utilisateur qui accède à un objet de partage de fichiers qui a une liste de contrôle d’accès système (SACL) spécifiée, ce qui permet de fait à l’audit d’avoir lieu.

Rejet de paquet par la plateforme de filtrage

Cette sous-catégorie signale quand des paquets sont supprimés par la plateforme de filtrage Windows (PAM). Ces événements peuvent être très volumineux.

Connexion de la plateforme de filtrage

Cette sous-catégorie signale quand des connexions sont autorisées ou bloquées par le PAM. Ces événements peuvent être nombreux.

Autres événements d’accès à l’objet

Cette sous-catégorie signale d’autres événements liés à l’accès aux objets tels que les travaux de planificateur de tâches et les objets COM+.

Système

Modification de l’état de la sécurité

Cette sous-catégorie signale les modifications de l’état de sécurité du système, par exemple lorsque le sous-système de sécurité démarre et s’arrête.

Extension du système de sécurité

Cette sous-catégorie signale le chargement du code d’extension, par exemple les packages d’authentification, par le sous-système de sécurité.

Intégrité du système

Cette sous-catégorie signale des violations de l’intégrité du sous-système de sécurité.

Pilote IPSec

Cette sous-catégorie signale les activités du pilote IPsec (sécurité du protocole Internet).

Autres événements système

Cette sous-catégorie signale d’autres événements système.

Pour plus d’informations sur les descriptions des sous-catégories, consultez l’outil Microsoft Security Compliance Manager.

Chaque organisation doit passer en revue les catégories et sous-catégories couvertes précédentes et activer celles qui correspondent le mieux à son environnement. Les modifications apportées à la stratégie d’audit doivent toujours être testées avant le déploiement dans un environnement de production.

Configuration de la stratégie d’audit Windows

La stratégie d’audit Windows peut être définie à l’aide de stratégies de groupe, avec auditpol.exe, des API ou des modifications du Registre. Les méthodes recommandées pour configurer la stratégie d’audit pour la plupart des entreprises sont d’utiliser une stratégie de groupe ou auditpol.exe. La définition de la stratégie d’audit d’un système nécessite des autorisations de compte au niveau de l’administrateur ou les autorisations déléguées appropriées.

Remarque

Le privilège Gérer le journal d’audit et de sécurité doit être accordé aux principaux de sécurité (les administrateurs l’ont par défaut) pour permettre la modification des options d’audit d’accès aux objets de ressources individuelles, comme les fichiers, les objets Active Directory et les clés de Registre.

Définition d’une stratégie d’audit Windows à l’aide d’une stratégie de groupe

Pour définir une stratégie d’audit à l’aide de stratégies de groupe, configurez les catégories d’audit appropriées situées sous Computer Configuration\Windows Settings\Security Settings\Local Policies\Audit Policy (voir la capture d’écran suivante pour obtenir un exemple de l’éditeur de stratégie de groupe local (gpedit.msc)). Chaque catégorie d’audit peut être activée pour la Réussite, l’Échec, ou la Réussite et l’Échec.

surveillance d’AD

Une stratégie d’audit avancée peut être définie à l’aide d’Active Directory ou de stratégies de groupe locales. Pour définir la stratégie d’audit avancée, configurez les sous-catégories appropriées situées sous Computer Configuration\Windows Settings\Security Settings\Advanced Audit Policy (voir la capture d’écran suivante pour obtenir un exemple de l’éditeur de stratégie de groupe local (gpedit.msc)). Chaque sous-catégorie d’audit peut être activée pour la Réussite, l’Échec, ou la Réussite et l’Échec.

Capture d’écran montrant un exemple de l’éditeur de stratégie de groupe local (gpedit.msc).

Définition d’une stratégie d’audit Windows à l’aide d’Auditpol.exe

Auditpol.exe (pour définir la stratégie d’audit Windows) a été introduit dans Windows Server 2008 et Windows Vista. Au départ, seul auditpol.exe pouvait être utilisé pour définir la stratégie d’audit avancée, mais une stratégie de groupe peut être utilisée dans Windows Server 2012, Windows Server 2008 R2 ou Windows Server 2008, Windows 8 et Windows 7.

Auditpol.exe est un utilitaire de ligne de commande. La syntaxe est la suivante :

auditpol /set /<Category|Subcategory>:<audit category> /<success|failure:> /<enable|disable>

Exemples de syntaxe pour Auditpol.exe :

auditpol /set /subcategory:"user account management" /success:enable /failure:enable

auditpol /set /subcategory:"logon" /success:enable /failure:enable

auditpol /set /subcategory:"IPSEC Main Mode" /failure:enable

Notes

Auditpol.exe définit la stratégie d’audit avancée localement. Si la stratégie locale est en conflit avec Active Directory ou la stratégie de groupe locale, les paramètres de stratégie de groupe l’emportent généralement sur les paramètres d’auditpol.exe. Lorsqu’il existe des conflits de stratégie de groupe ou de stratégie locale, une seule stratégie prévaut (c’est-à-dire que l’une remplace l’autre). Les stratégies d’audit ne fusionnent pas.

Scripts Auditpol

Microsoft fournit un exemple de script pour les administrateurs qui souhaitent définir une stratégie d’audit avancée à l’aide d’un script au lieu de taper manuellement dans chaque commande auditpol.exe.

Remarque La stratégie de groupe ne signale pas toujours avec précision l’état de toutes les stratégies d’audit activées, contrairement à auditpol.exe. Pour plus d’informations, consultez Obtention d’une stratégie d’audit efficace dans Windows 7 et Windows 2008 R2.

Autres commandes Auditpol

Auditpol.exe peut être utilisé pour enregistrer et restaurer une stratégie d’audit locale, ainsi que pour afficher d’autres commandes liées à l’audit. Voici les autres commandes auditpol.

auditpol /clear - Utilisé pour effacer et réinitialiser les stratégies d’audit locales

auditpol /backup /file:<filename> - Utilisé pour sauvegarder une stratégie d’audit locale actuelle dans un fichier binaire

auditpol /restore /file:<filename> - Utilisé pour importer un fichier de stratégie d’audit précédemment enregistré dans une stratégie d’audit locale

auditpol /<get/set> /option:<CrashOnAuditFail> /<enable/disable> - Si ce paramètre de stratégie d’audit est activé, le système s’arrête immédiatement (avec le message STOP : C0000244 {Audit Failed}) si un audit de sécurité ne peut pas être journalisé pour une raison quelconque. En règle générale, un événement ne peut pas être journalisé lorsque le journal d’audit de sécurité est plein et que la méthode de rétention spécifiée pour le journal de sécurité est Ne pas remplacer les événements ou Remplacer les événements par jours. En règle générale cette politique n’est activée que pour les environnements qui ont besoin d’une assurance plus élevée que le journal de sécurité consigne bien les événements. Si cette option est activée, les administrateurs doivent surveiller étroitement la taille des journaux de sécurité et faire pivoter les journaux en fonction des besoins. Vous pouvez également définir cela avec une stratégie de groupe en modifiant l’option de sécurité Audit : arrêter immédiatement le système s’il n’est pas possible de se connecter aux audits de sécurité (par défaut==désactivé).

auditpol /<get/set> /option:<AuditBaseObjects> /<enable/disable> - Ce paramètre de stratégie d’audit détermine s’il faut auditer l’accès aux objets système globaux. Si cette stratégie est activée, les objets système, comme les mutex, les événements, les sémaphores et les appareils DOS, sont créés avec une liste de contrôle d’accès système (SACL) par défaut. La plupart des administrateurs considèrent que l’audit des objets système globaux est trop « bruyant », et ne l’activent qu’en cas de suspicion de piratage malveillant. Seuls les objets nommés reçoivent une liste SACL. Si la stratégie d’audit de l’accès à l’objet d’audit (ou la sous-catégorie d’audit de l’objet noyau) est également activée, l’accès à ces objets système est audité. Lors de la configuration de ce paramètre de sécurité, les modifications ne prennent pas effet tant que vous n’avez pas redémarré Windows. Cette stratégie peut également être définie avec une stratégie de groupe en modifiant l’option de sécurité Auditer l’accès des objets système globaux (par défaut=désactivé).

auditpol /<get/set> /option:<AuditBaseDirectories> /<enable/disable> - Ce paramètre de stratégie d’audit spécifie que les objets de noyau nommés (comme les mutex et les sémaphores) doivent recevoir des SACL lors de leur création. AuditBaseDirectories affecte les objets conteneur tandis que AuditBaseObjects affecte les objets qui ne peuvent pas contenir d’autres objets.

auditpol /<get/set> /option:<FullPrivilegeAuditing> /<enable/disable> - Ce paramètre de stratégie d'audit spécifie si le client génère un événement lorsqu'un ou plusieurs des privilèges suivants sont attribués à un jeton de sécurité utilisateur :

  • AssignPrimaryTokenPrivilege
  • AuditPrivilege
  • BackupPrivilege
  • CreateTokenPrivilege
  • DebugPrivilege
  • EnableDelegationPrivilege
  • ImpersonatePrivilege
  • LoadDriverPrivilege
  • RestorePrivilege
  • SecurityPrivilege
  • SystemEnvironmentPrivilege
  • TakeOwnershipPrivilege
  • TcbPrivilege.

Si cette option n’est pas activée (par défaut=désactivé), les privilèges BackupPrivilege et RestorePrivilege ne sont pas enregistrés. L’activation de cette option peut rendre le journal de sécurité extrêmement bruyant (parfois des centaines d’événements par seconde) pendant une opération de sauvegarde. Cette stratégie peut également être définie avec une stratégie de groupe en modifiant l’option de sécurité Audit : auditer l’utilisation des privilèges de sauvegarde et de restauration.

Notes

Certaines informations fournies ici proviennent du Type d’option d’audit Microsoft et de l’outil Microsoft SCM.

Application de l’audit traditionnel ou de l’audit avancé

Dans Windows Server 2012, Windows Server 2008 R2, Windows Server 2008, Windows 8, Windows 7 et Windows Vista, les administrateurs peuvent choisir d’activer les neuf catégories traditionnelles ou d’utiliser les sous-catégories. Il s’agit d’un choix binaire qui doit être fait dans chaque système Windows. Les catégories principales ou les sous-catégories peuvent être activées, mais pas les deux.

Pour empêcher la stratégie de catégorie traditionnelle héritée de remplacer les sous-catégories de stratégie d’audit, vous devez activer le paramètre de stratégie Forcer les paramètres de sous-catégorie de stratégie d’audit (Windows Vista ou version ultérieure) à remplacer le paramètre de stratégie de catégorie de stratégie d’audit situé sous Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options.

Nous vous recommandons d’activer et de configurer les sous-catégories plutôt que les neuf catégories principales. Cela nécessite qu’un paramètre de stratégie de groupe soit activé (pour permettre aux sous-catégories de remplacer les catégories d’audit) ainsi que de configurer différentes sous-catégories qui prennent en charge les stratégies d’audit.

Les sous-catégories d’audit peuvent être configurées à l’aide de plusieurs méthodes, notamment une stratégie de groupe et le programme de ligne de commande auditpol.exe.

Étapes suivantes