Utiliser Auditusr

de commencer à établir de nouvelles stratégies par utilisateur, trois renseignements vous sont nécessaires :

• les catégories d’audit qui sont déjà validées localement
• les comptes principaux de sécurité que vous voulez modifier
•si vous voulez inclure les principaux de sécurité dans les catégories ou, au contraire, les en exclure

Ensuite, utilisez Auditusr pour créer des exceptions à votre audit global. La syntaxe permettant d’inclure ou d’exclure des utilisateurs pour une catégorie donnée est :

auditusr /<wcommand> <securityprincipalname>:<auditcategory>

Le tableau 1 montre les quatre commandes d’inclusion ou d’exclusion. Si vous ne faites pas précéder les noms des principaux de sécurité avec le nom du domaine ou du groupe de travail, Auditusr tentera d’abord de trouver un utilisateur local, puis recherchera un compte de domaine. Vous pouvez spécifier des noms de domaines en utilisant des noms NetBIOS ou des FQDN (Fully Qualified Domain Names), qui sont convertis en noms abrégés lors de l’affichage.

Il faut écrire en entier les noms de catégories d’audit complets. Les noms de catégories peuvent contenir des espaces, comme Privilege Use, doivent être mis entre guillemets ("Privilege Use") mais ne font pas la distinction entre les majuscules et les minuscules. Microsoft dit que l’on peut spécifier des catégories d’audit consécutives en les séparant par un point-virgule, mais je n’ai pas pu définir plusieurs catégories à la fois dans mon test.

Voici quelques exemples de commandes Auditusr définissant l’inclusion et l’exclusion de catégories d’audit pour l’utilisateur :

auditusr /if joeuser:Logon/Logoff
auditusr /es joeuser:"Privilege Use"

Malheureusement, au moment où j’écris cet article, Microsoft possède peu de documentation sur l’outil Auditusr, aussi n’ai-je pas pu vérifier la syntaxe et les sorties escomptées.

Comme le montre la figure 1, Auditusr donne la liste de chaque catégorie include-success, include-failure, excludesuccess et exclude-failure, pour chaque utilisateur sur une ligne séparée. Vous pouvez effacer tous les paramètres par utilisateur avec la commande suivante :

auditusr /ra

ou n’effacer l’implication que d’un principal de sécurité particulier avec la commande

auditusr /r <securityprincipalname>

Auditusr a également des commutateurs ligne de commande (/i et /e) qui permettent l’importation et l’exportation de listes de fichiers dans le but d’automatiser l’opération d’audit sélectif. Pour la syntaxe complète d’Auditusr, tapez

auditusr /?

à une invite de commande.