Sous-catégories de stratégies d’audit

L’une des questions que l’on m’a posée le plus souvent au fil des ans à propos du Security log est comment empêcher Windows de journaliser autant de bruits #%*@&! (c’est-à dire, des événements parasites qui gênent la recherche des événements importants). Ce à quoi j’ai toujours répondu, « vous ne pouvez pas configurer le Security log Windows de façon à en élimi- ner le bruit : c’est le rôle de votre solution de gestion des journaux ».

 Et bien Microsoft a fait un pas dans la bonne direction pour adoucir la situation. Certes, la firme n’a pas procédé comme je l’aurais fait : en introduisant un jeu de règles de type pare-feu qui vous permettrait de définir un critère, event ID par event ID, pour savoir s’il faut enregistrer l’événement. Au lieu de cela, Microsoft a étendu les 9 stratégies d’audit (aussi appelées catégories) de Windows 2003 à 52 dans Windows 2008.

Ou plutôt, Microsoft a gardé les 9 stratégies existantes et les a divisées en sous-catégories, dont chacune peut être validée pour des événements réussis et/ou en échec. D’ailleurs, vous pouvez encore gérer la stratégie d’audit avec les 9 catégories de niveau supérieur. La figure 1 montre les 9 catégories et les 52 sous-catégories. (Voir http://www.ultimatewindowssecurity. com/newauditpol pour une table qui décompose les 9 catégories en sous-catégories respectives et donne une brève description du genre d’événements et d’activité que chaque catégorie suit.)

Jusqu’ici, ce ne sont que de bonnes nouvelles. En fait, vous pouvez éliminer un certain nombre d’anciens événements bruyants avec cette stratégie d’audit plus granulaire, et aussi désactiver certains des nouveaux event ID journalisés par Windows 2008, eux aussi plutôt bruyants. Par exemple, il est probable que la plupart d’entre vous désactiverez les sous-catégories Filtering Platform Packet Drop et Filtering Platform Connection, extrêmement bruyantes parce qu’elles enregistrent le trafic du réseau au niveau des paquets.

Mais voici quelques nouvelles moins plaisantes : vous ne pouvez pas gérer la stratégie d’audit au niveau sous-catégorie en utilisant les stratégies de groupe. Microsoft a ajouté les 52 nouvelles sous-catégories mais n’a pas mis à jour les stratégies de groupe avec les nouvelles stratégies pour activer ou désactiver les sous-catégories. En fait, vous ne trouverez ces sous-catégories nulle part dans la GUI. Le seul moyen d’activer ou de désactiver au niveau sous-catégorie passe par la commande Auditpol. L’article Microsoft « Security auditing settings are not applied to Windows Vista client computers when you deploy a domain-based policy” (http://support. microsoft. com/kb/921468 ) propose une méthode pour configurer les sous-catégories d’audit par des scripts de démarrage définis via les stratégies de groupe, mais c’est une technique digne de Rube Goldberg.