> Tech > Travailler avec la stratégie d’audit

Travailler avec la stratégie d’audit

Tech - Par Renaud ROSSET - Publié le 24 juin 2010
email







Attardons-nous un peu sur la commande Auditpol et sur la manière dont Windows résout les conflits possibles contre la stratégie d’audit que vous configurez dans les GPO (Group Policy Objects) et la stratégie de sous-catégorie que vous pouvez configurer avec Auditpol. Pour connaître l’état actuel de vos 52 sous-catégories d’audit, connectez-vous au système désiré et tapez

 

auditpol/get /category:*

 

à l’invite de commande. On le voit, les 9 catégories de niveau supérieur sont recensées avec leurs sous-catégories en dessous et en précisant si chacune est activée pour la réussite et/ou l’échec.

 

Pour changer l’audit d’une sous-catégorie, exécutez Auditpol avec la commande /set et spécifiez la sous-catégorie, et précisez s’il faut activer les événements de réussite et/ou d’échec. Par exemple

 

auditpol/set

 /subcategory:"System Integrity"

/failure:enable /success:enable

 

 active la sous-catégorie System Integrity pour les deux genres d’événements : réussite et échec.

 

Mais qu’advient-il si vous configurez des stratégies d’audit pour les 9 catégories d’audit de niveau supérieur dans les stratégies de groupe, qui sont en conflit avec les stratégies définies pour les 52 sous-catégories dans Auditpol ou vice versa ? Par exemple, supposons que votre ordinateur W08-YHWH réside dans l’OU (unité organisationnelle) de Servers dans l’AD (Active Directory). Vous modifiez un GPO lié à cette OU pour désactiver la catégorie de niveau supérieur Audit logon events (aussi appelée Logon/Logoff) pour la réussite et l’échec. Ensuite vous vous connectez à W08-YHWH et, avec Auditpol, vous activez la sous-catégorie Logon pour la réussite et l’échec.

 

Qu’en résultera-t-il ? Par défaut, si vous définissez une valeur pour l’une des 9 catégories de niveau supérieur, soit dans la Local Security Policy de l’ordinateur, soit dans un GPO applicable, la stratégie de niveau supérieur supplantera la configuration au niveau sous-catégorie. D’après le comportement par défaut de Windows, vos stratégies de sous-catégories n’entrent en vigueur que si vous laissez la catégorie de niveau supérieur indéfinie dans la Local Security Policy et dans tous les GPO applicables.

 







 J’insiste sur le comportement par défaut parce qu’un nouveau réglage dans le GPE (Group Policy Object Editor) sous Computer Configuration\ Windows Settings\ Security Settings\Local Policies\Security Options appelé Audit : Force audit policy subcategory settings (Windows Vista or later) to override audit policy category settings, s’il est activé, inverse le comportement de la stratégie d’audit de telle sorte que ce que vous configurez pour les sous-catégories dans Auditpol supplante la manière dont les 9 stratégies de niveau supérieur sont définies par la Stratégie de Groupe appliquée. Je ne peux pas croire que Microsoft ait laissé Vista, et encore moins Windows 2008, à l’écart, sans rendre cet aspect de configuration de sécurité extrêmement important et sensible, gérable via la Stratégie de Groupe, mais elle l’a pourtant fait. Et la solution présentée dans l’article Microsoft ci-dessus est, selon moi, faiblarde et vouée à l’échec. Autre sujet d’étonnement : vous ne pouvez pas appliquer Auditpol à des ordinateurs distants, mais uniquement au système local. Quoi qu’il en soit, voici le point de départ que je préconise pour votre stratégie d’audit en ce qui concerne les catégories de niveau supérieur : Activez System, Policy Change, Logon/Logoff, Account Logon, Account Management et, sur les DC (domain controllers), DS Access, qui vous donne la possibilité de suivre les changements importants apportés aux OU et aux GPO. Le fait d’activer ces catégories pour la réussite et l’échec vous procurera l’information essentielle tout en éliminant les principales sources de



bruits.


Après avoir activé les catégories de niveau supérieur souhaitées en utilisant GPE, utilisez Auditpol pour activer l’audit de réussite et d’échec pour chaque souscatégorie souhaitée.

Désactivez sélectivement des sous-catégories pour éliminer les événements dont vous ne voulez pas. Pour trouver et confirmer quelles sous-catégories il faut désactiver, identifiez les événements que vous ne voulez pas dans Event Viewer et déterminez leur nom de sous-catégorie, connu sous le nom de Task Category dans Event Viewer. Avant de désactiver une sous-catégorie, assurez-vous qu’il ne vous faut aucun autre événement appartenant à cette sous-catégorie et à ce type de réussite/échec. Pour prendre cette décision, filtrez le journal dans Event Viewer de manière à ne montrer que les événements de cette sous-catégorie. Vous pouvez aussi vous référer à ma Windows Server 2008 Security Log Encyclopedia gratuite à http://www.ultimatewindowssecurity. com/encyclopedia.axp pour avoir la liste des événements par catégorie. Si vous déterminez qu’il n’y a pas d’événements importants journalisés par cette sous-catégorie pour le même type de réussite/échec, utilisez Auditpol pour désactiver la sous-catégorie pour réussite/ échec ou les deux (selon le cas).

 

N’oubliez pas, pour que vos réglages de sous-catégories entrent en vigueur, il vous faudra changer le paramètre Group Policy Audit : Force audit policy subcategory settings (Windows Vista or later) to override audit policy category settings, comme mentionné ci-dessus.















Téléchargez cette ressource

Guide inmac wstore pour l’équipement IT de l’entreprise

Guide inmac wstore pour l’équipement IT de l’entreprise

Découvrez toutes nos actualités à travers des interviews, avis d'experts et témoignages clients et ainsi, retrouvez les dernières tendances et solutions IT autour de nos 4 univers produits : Poste de travail, Affichage et collaboration, Impression et capture et Infrastructure.

Tech - Par Renaud ROSSET - Publié le 24 juin 2010