Attardons-nous un peu sur la commande Auditpol et sur la manière dont Windows résout les conflits possibles contre la stratégie d’audit que vous configurez dans les GPO (Group Policy Objects) et la stratégie de sous-catégorie que vous pouvez configurer avec Auditpol. Pour connaître l’état actuel de vos 52 sous-catégories d’audit, connectez-vous au système désiré et tapez
auditpol/get /category:*
à l’invite de commande. On le voit, les 9 catégories de niveau supérieur sont recensées avec leurs sous-catégories en dessous et en précisant si chacune est activée pour la réussite et/ou l’échec.
Pour changer l’audit d’une sous-catégorie, exécutez Auditpol avec la commande /set et spécifiez la sous-catégorie, et précisez s’il faut activer les événements de réussite et/ou d’échec. Par exemple
auditpol/set
/subcategory:"System Integrity"
/failure:enable /success:enable
active la sous-catégorie System Integrity pour les deux genres d’événements : réussite et échec.
Mais qu’advient-il si vous configurez des stratégies d’audit pour les 9 catégories d’audit de niveau supérieur dans les stratégies de groupe, qui sont en conflit avec les stratégies définies pour les 52 sous-catégories dans Auditpol ou vice versa ? Par exemple, supposons que votre ordinateur W08-YHWH réside dans l’OU (unité organisationnelle) de Servers dans l’AD (Active Directory). Vous modifiez un GPO lié à cette OU pour désactiver la catégorie de niveau supérieur Audit logon events (aussi appelée Logon/Logoff) pour la réussite et l’échec. Ensuite vous vous connectez à W08-YHWH et, avec Auditpol, vous activez la sous-catégorie Logon pour la réussite et l’échec.
Qu’en résultera-t-il ? Par défaut, si vous définissez une valeur pour l’une des 9 catégories de niveau supérieur, soit dans
J’insiste sur le comportement par défaut parce qu’un nouveau réglage dans le GPE (Group Policy Object Editor) sous Computer Configuration\ Windows Settings\ Security Settings\Local Policies\Security Options appelé Audit : Force audit policy subcategory settings (Windows Vista or later) to override audit policy category settings, s’il est activé, inverse le comportement de la stratégie d’audit de telle sorte que ce que vous configurez pour les sous-catégories dans Auditpol supplante la manière dont les 9 stratégies de niveau supérieur sont définies par
bruits.
Après avoir activé les catégories de niveau supérieur souhaitées en utilisant GPE, utilisez Auditpol pour activer l’audit de réussite et d’échec pour chaque souscatégorie souhaitée.
Désactivez sélectivement des sous-catégories pour éliminer les événements dont vous ne voulez pas. Pour trouver et confirmer quelles sous-catégories il faut désactiver, identifiez les événements que vous ne voulez pas dans Event Viewer et déterminez leur nom de sous-catégorie, connu sous le nom de Task Category dans Event Viewer. Avant de désactiver une sous-catégorie, assurez-vous qu’il ne vous faut aucun autre événement appartenant à cette sous-catégorie et à ce type de réussite/échec. Pour prendre cette décision, filtrez le journal dans Event Viewer de manière à ne montrer que les événements de cette sous-catégorie. Vous pouvez aussi vous référer à ma Windows Server 2008 Security Log Encyclopedia gratuite à http://www.ultimatewindowssecurity. com/encyclopedia.axp pour avoir la liste des événements par catégorie. Si vous déterminez qu’il n’y a pas d’événements importants journalisés par cette sous-catégorie pour le même type de réussite/échec, utilisez Auditpol pour désactiver la sous-catégorie pour réussite/ échec ou les deux (selon le cas).
N’oubliez pas, pour que vos réglages de sous-catégories entrent en vigueur, il vous faudra changer le paramètre Group Policy Audit : Force audit policy subcategory settings (Windows Vista or later) to override audit policy category settings, comme mentionné ci-dessus.