Vous pouvez visualiser, modifier et supprimer les paramètres d’audit par utilisateur, au moyen de audit-usr.exe (situé dans %windows%\system32). Pour obtenir la liste des paramètres d’audit par utilisateur actuels, tapez
auditusr
sur la ligne de commande, comme le montre la figure 1.
Avant
Utiliser Auditusr
de commencer à établir de nouvelles stratégies par utilisateur, trois renseignements vous sont nécessaires :
• les catégories d’audit qui sont déjà validées localement
• les comptes principaux de sécurité que vous voulez modifier
•si vous voulez inclure les principaux de sécurité dans les catégories ou, au contraire, les en exclure
Ensuite, utilisez Auditusr pour créer des exceptions à votre audit global. La syntaxe permettant d’inclure ou d’exclure des utilisateurs pour une catégorie donnée est :
auditusr /<wcommand> <securityprincipalname>:<auditcategory>
Le tableau 1 montre les quatre commandes d’inclusion ou d’exclusion. Si vous ne faites pas précéder les noms des principaux de sécurité avec le nom du domaine ou du groupe de travail, Auditusr tentera d’abord de trouver un utilisateur local, puis recherchera un compte de domaine. Vous pouvez spécifier des noms de domaines en utilisant des noms NetBIOS ou des FQDN (Fully Qualified Domain Names), qui sont convertis en noms abrégés lors de l’affichage.
Il faut écrire en entier les noms de catégories d’audit complets. Les noms de catégories peuvent contenir des espaces, comme Privilege Use, doivent être mis entre guillemets ("Privilege Use") mais ne font pas la distinction entre les majuscules et les minuscules. Microsoft dit que l’on peut spécifier des catégories d’audit consécutives en les séparant par un point-virgule, mais je n’ai pas pu définir plusieurs catégories à la fois dans mon test.
Voici quelques exemples de commandes Auditusr définissant l’inclusion et l’exclusion de catégories d’audit pour l’utilisateur :
auditusr /if joeuser:Logon/Logoff
auditusr /es joeuser:"Privilege Use"
Malheureusement, au moment où j’écris cet article, Microsoft possède peu de documentation sur l’outil Auditusr, aussi n’ai-je pas pu vérifier la syntaxe et les sorties escomptées.
Comme le montre la figure 1, Auditusr donne la liste de chaque catégorie include-success, include-failure, excludesuccess et exclude-failure, pour chaque utilisateur sur une ligne séparée. Vous pouvez effacer tous les paramètres par utilisateur avec la commande suivante :
auditusr /ra
ou n’effacer l’implication que d’un principal de sécurité particulier avec la commande
auditusr /r <securityprincipalname>
Auditusr a également des commutateurs ligne de commande (/i et /e) qui permettent l’importation et l’exportation de listes de fichiers dans le but d’automatiser l’opération d’audit sélectif. Pour la syntaxe complète d’Auditusr, tapez
auditusr /?
à une invite de commande.
Téléchargez cette ressource
Préparer l’entreprise aux technologies interconnectées
Avec la « quatrième révolution industrielle », les environnements hyperconnectés entraînent de nouveaux risques en matière de sécurité. Découvrez, dans ce guide Kaspersky, comment faire face à cette nouvelle ère de vulnérabilité.
Les articles les plus consultés
- N° 2 : Il faut supporter des langues multiples dans SharePoint Portal Server
- Les 6 étapes vers un diagnostic réussi
- Cybersécurité Active Directory et les attaques de nouvelle génération
- Chiffrements symétrique vs asymétrique
- Partager vos images, vidéos, musique et imprimante avec le Groupe résidentiel