Audit
La plateforme de filtrage Windows (PAM) assure l’audit des événements liés au pare-feu et à IPsec. Ces événements sont stockés dans le journal de sécurité système.
Les événements audités sont les suivants.
Catégorie d’audit | Sous-catégorie d’audit | Événements audités |
---|---|---|
Modification de stratégie {6997984D-797A-11D9-BED3-505054503030} |
Modification de la stratégie de plateforme de filtrage {0CCE9233-69AE-11D9-BED3-505054503030} |
Note: Les nombres représentent les ID d’événement affichés par observateur d'événements (eventvwr.exe). Ajout et suppression d’objets PAM : - 5440 Légende permanente ajoutée - 5441 Filtre persistant ou au démarrage ajouté - 5442 Fournisseur persistant ajouté - 5443 Contexte de fournisseur persistant ajouté - 5444 Sous-couche persistante ajoutée - 5446 Légende d’exécution ajoutée ou supprimée - 5447 Filtre d’exécution ajouté ou supprimé - 5448 Fournisseur d’exécution ajouté ou supprimé - 5449 Contexte du fournisseur d’exécution ajouté ou supprimé - 5450 Sous-couche d’exécution ajoutée ou supprimée |
Accès aux objets {6997984A-797A-11D9-BED3-505054503030} |
Rejet de paquet par la plateforme de filtrage {0CCE9225-69AE-11D9-BED3-505054503030} |
Paquets déposés par le PAM :
|
Accès aux objets |
Connexion de la plateforme de filtrage {0CCE9226-69AE-11D9-BED3-505054503030} |
Connexions autorisées et bloquées : - 5154 Écouter autorisé - 5155 Écouter bloqué - 5156 Connexion autorisée - 5157 Connexion bloquée - 5158 Liaison autorisée - 5159 Liaison bloquée Note: Les connexions autorisées n’auditent pas toujours l’ID du filtre associé. L’ID de filtre pour TCP est 0, sauf si un sous-ensemble de ces conditions de filtrage est utilisé : UserID, AppID, Protocole, Port distant. |
Accès aux objets |
Autres événements d’accès à l’objet {0CCE9227-69AE-11D9-BED3-505054503030} |
Note: Cette sous-catégorie permet de nombreux audits. Les audits spécifiques du PAM sont répertoriés ci-dessous. Status de prévention du déni de service : - 5148 Le mode de prévention des doS du PAM a démarré - 5149 Le mode de prévention Des doS du PAM a été arrêté |
Ouverture/fermeture de session {69979849-797A-11D9-BED3-505054503030} |
Mode principal IPsec {0CCE9218-69AE-11D9-BED3-505054503030} |
Négociation IKE et AuthIP Main Mode :
|
Ouverture/fermeture de session |
Mode rapide IPsec {0CCE9219-69AE-11D9-BED3-505054503030} |
Négociation en mode rapide IKE et AuthIP :
|
Ouverture/fermeture de session |
Mode étendu IPsec {0CCE921A-69AE-11D9-BED3-505054503030} |
Négociation du mode étendu AuthIP :
|
Système {69979848-797A-11D9-BED3-505054503030} |
Pilote IPSec {0CCE9213-69AE-11D9-BED3-505054503030} |
Paquets supprimés par le pilote IPsec :
|
Par défaut, l’audit du PAM est désactivé.
L’audit peut être activé par catégorie via le composant logiciel enfichable MMC éditeur d’objets stratégie de groupe, le composant logiciel enfichable MMC stratégie de sécurité locale ou la commande auditpol.exe.
Par exemple, pour activer l’audit des événements de modification de stratégie, vous pouvez :
Utiliser l’éditeur d’objets stratégie de groupe
- Exécutez gpedit.msc.
- Développez Stratégie d’ordinateur local.
- Développez Configuration ordinateur.
- Développez Paramètres Windows.
- Développez Paramètres de la sécurité.
- Développez Stratégies locales.
- Cliquez sur Stratégie d’audit.
- Double-cliquez sur Modification de stratégie d’audit pour lancer la boîte de dialogue Propriétés.
- Cochez les cases Réussite et Échec case activée-cases.
Utiliser la stratégie de sécurité locale
- Exécutez secpol.msc.
- Développez Stratégies locales.
- Cliquez sur Stratégie d’audit.
- Double-cliquez sur Modification de stratégie d’audit pour lancer la boîte de dialogue Propriétés.
- Cochez les cases Réussite et Échec case activée-cases.
Utiliser la commande auditpol.exe
- auditpol /set /category:"Policy Change » /success:enable /failure:enable
L’audit peut être activé par sous-catégorie uniquement par le biais de la commande auditpol.exe.
Les noms de catégorie et de sous-catégorie d’audit sont localisés. Pour éviter la localisation des scripts d’audit, les GUID correspondants peuvent être utilisés à la place des noms.
Par exemple, pour activer l’audit des événements de modification de stratégie de plateforme de filtrage, vous pouvez utiliser l’une des commandes suivantes :
- auditpol /set /subcategory:"Filtrage de la modification de la stratégie de plateforme » /success:enable /failure:enable
- auditpol /set /subcategory:"{0CCE9233-69AE-11D9-BED3-505054503030} » /success:enable /failure:enable