Paramètres de stratégie de sécurité d’Audit avancée

Date de publication : août 2016

S’applique à : Windows 7, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 R2, Windows Server 2012, Windows 8

Cette référence pour les professionnels de l’informatique fournit des informations sur les paramètres de stratégie avancée d’Audit qui sont disponibles dans les systèmes d’exploitation Windows et les événements d’audit qu’ils génèrent.

Les paramètres de stratégie d’audit 53 sécurité sous Sécurité\configuration d’Audit stratégie peut aider votre organisation à auditer le respect des règles professionnelles et de sécurité importantes en effectuant le suivi avec précision les activités définies, telles que :

• Un administrateur de groupe a modifié des paramètres ou des données sur les serveurs qui contiennent des informations financières.

• Un employé au sein d’un groupe défini a accédé à un fichier important.

• La liste de contrôle d’accès système (SACL) est appliquée à chaque fichier et dossier ou clé de Registre sur un ordinateur ou partage de fichiers comme protection vérifiable contre les accès non détectés.

Vous pouvez accéder à ces paramètres de stratégie d’audit via la stratégie de sécurité locale enfichable (secpol.msc) sur l’ordinateur local ou à l’aide de stratégie de groupe.

Ces paramètres de stratégie d’Audit avancé permettent de sélectionner uniquement les comportements que vous souhaitez surveiller. Vous pouvez exclure les résultats d’audit des comportements du peu ou pas d’intérêt, ou les comportements qui créent un nombre excessif d’entrées de journal. En outre, étant donné que les stratégies d’audit de sécurité peuvent être appliquées à l’aide d’objets de stratégie de groupe de domaine, les paramètres de stratégie d’audit peuvent être modifiés, testés et déployés à des utilisateurs et des groupes avec une relative simplicité.

Lorsque les paramètres de stratégie d’Audit de sécurité avancés sont configurés, les événements s’affichent sur les ordinateurs exécutant les versions du système d’exploitation Windows pris en charge comme indiqué dans le s’applique à liste au début de cette rubrique, en outre, Windows Server 2008 et Windows Vista.

Auditer les paramètres de stratégie sous Configuration de stratégie de sécurité Settings\Advanced Audit sont disponibles dans les catégories suivantes :

• Connexion de compte

  Configuration des paramètres de stratégie de cette catégorie peut vous aider à document tente d’authentifier les données du compte sur un contrôleur de domaine ou dans un local gestionnaire SAM (Security Accounts). Contrairement aux paramètres de stratégie d’ouverture de session et fermeture de session et des événements, quelle formation tente d’accéder à un ordinateur particulier, paramètres et les événements de cette catégorie portent sur la base de données de compte qui est utilisé. Cette catégorie comprend les sous-catégories suivantes :

  • Validation des informations d’identification d’audit

  • Service d’authentification Kerberos d’audit

  • Opérations de Ticket de Service Kerberos d’audit

  • Auditer les autres événements d’ouverture de session/fermeture de session

• Gestion du compte

  La sécurité d’audit stratégie paramètres de cette catégorie peuvent être utilisés pour surveiller les modifications de l’utilisateur et des comptes d’ordinateurs et des groupes. Cette catégorie comprend les sous-catégories suivantes :

  • Gestion de groupe d’applications d’audit

  • Gestion de compte ordinateur

  • Gestion de groupe de Distribution d’audit

  • Auditer les autres événements de gestion des comptes

  • Gestion de groupe de sécurité d’audit

  • Gestion des comptes utilisateur

• Suivi détaillé

  Paramètres de stratégie de sécurité de suivi détaillés et les événements d’audit peuvent être utilisés pour surveiller les activités des différentes applications et utilisateurs de l’ordinateur et de comprendre comment un ordinateur est utilisé. Cette catégorie comprend les sous-catégories suivantes :

  • Auditer l’activité DPAPI

  • Création du processus d’audit

  • Arrêt du processus d’audit

  • Auditer les événements RPC

• Accès DS

  Paramètres de stratégie d’audit accès DS sécurité fournissent une piste d’audit détaillée de tentatives d’accès et de modifier des objets dans les Services de domaine Active Directory (AD DS). Ces événements sont enregistrés uniquement sur des contrôleurs de domaine de vérification. Cette catégorie comprend les sous-catégories suivantes :

  • Réplication du Service d’annuaire détaillé de l’audit

  • Auditer l’accès au Service d’annuaire

  • Auditer les modifications de Service d’annuaire

  • Réplication du Service d’annuaire d’audit

• Ouverture/fermeture de session

  Les paramètres de stratégie de sécurité d’ouverture de session/fermeture de session et événements d’audit vous permettent d’effectuer le suivi des tentatives de connexion à un ordinateur interactivement ou via un réseau. Ces événements sont particulièrement utiles pour le suivi des activités des utilisateurs et d’identifier les attaques potentielles sur les ressources réseau. Cette catégorie comprend les sous-catégories suivantes :

  • Verrouillage de compte

  • Mode étendu IPsec de d’audit

  • Mode principal IPsec d’audit

  • Mode rapide IPsec d’audit

  • Fermeture de session d’audit

  • Ouverture de session d’audit

  • Serveur de stratégie d’audit réseau

  • Auditer les autres événements d’ouverture de session/fermeture de session

  • Ouverture de session spécial d’audit

• Accès aux objets

  Paramètres de stratégie d’accès aux objets et les événements d’audit permettent de suivre les tentatives d’accéder à des objets spécifiques ou des types d’objets sur un ordinateur ou un réseau. Pour auditer les tentatives d’accès d’un fichier, répertoire, clé de Registre ou tout autre objet, vous devez activer la sous-catégorie d’audit Object Access appropriée pour les événements de succès et échecs. Par exemple, la sous-catégorie de système de fichiers doit être activé pour l’audit des opérations de fichier et la sous-catégorie Registre doit être activé pour l’accès au Registre à l’audit.

  Prouvant que ces stratégies d’audit sont en vigueur pour un auditeur externe est plus difficile. Il n’existe aucun moyen simple pour vérifier que les SACL appropriés sont définis sur tous les objets hérités. Pour résoudre ce problème, consultez la page No text is specified for bookmark or legacy link '#BKMK_GlobalObjectAccess'..

  Cette catégorie comprend les sous-catégories suivantes :

  • Audit générés par l’Application

  • Audit des Services de Certification

  • Partage de fichier détaillé d’audit

  • Partage de fichiers d’audit

  • Système de fichiers d’audit

  • Audit de connexion de la plateforme de filtrage

  • Rejet de paquet de plateforme de filtrage d’audit

  • Auditer la Manipulation de Handle

  • Objet de noyau d’audit

  • Auditer l’accès aux autres objets

  • Registre de l’audit

  • Audit SAM

• Modification de la stratégie

  Modification de stratégie d’audit permettre de suivre les modifications aux stratégies de sécurité importantes sur un système local ou un réseau. Étant donné que les stratégies sont généralement définies par les administrateurs pour faciliter des ressources réseau sécurisé, surveiller des modifications ou tentatives de modification de ces stratégies peut être un aspect important de la gestion de la sécurité d’un réseau. Cette catégorie comprend les sous-catégories suivantes :

  • Auditer les modifications de stratégie d’Audit

  • Modification de la stratégie d’audit d’authentification

  • Modification de la stratégie d’audit d’autorisation

  • Auditer les modifications de stratégie de plateforme de filtrage

  • Auditer les modifications de stratégie de niveau règle MPSSVC

  • Auditer les autres événements de modification de stratégie

• Utilisation des privilèges

  Sur un réseau, les autorisations sont accordées pour les utilisateurs ou ordinateurs effectuer les tâches définies. Paramètres de stratégie de sécurité de privilège utilisation et les événements d’audit permettent d’assurer le suivi de certaines autorisations sur un ou plusieurs systèmes. Cette catégorie comprend les sous-catégories suivantes :

  • Utilisation des privilèges de Non sensibles

  • Utilisation des privilèges sensibles

  • Auditer l’utilisation des autres privilèges

• System (Système)

  Paramètres de stratégie de sécurité du système et des événements d’audit permettent le suivi des modifications au niveau du système à un ordinateur qui ne figurent pas dans d’autres catégories, et qui ont des implications de sécurité potentielles. Cette catégorie comprend les sous-catégories suivantes :

  • Pilote IPsec de l’audit

  • Autres événements système

  • Modification de l’état de sécurité d’audit

  • Extension de système de sécurité d’audit

  • Intégrité du système d’audit

• Accès global aux objets

  Paramètres de stratégie de l’accès aux objets globaux permettent aux administrateurs de définir l’ordinateur accès aux listes de contrôle système (SACL) par type d’objet pour le système de fichiers ou le Registre. La liste SACL spécifiée est appliquée ensuite automatiquement à tous les objets de ce type.

  Auditeurs sera en mesure de prouver que toutes les ressources dans le système sont protégé par une stratégie d’audit en affichant le contenu des paramètres de stratégie audit Global d’accès aux objets. Par exemple, si les auditeurs voir un paramètre de stratégie « Suivi toutes les modifications apportées par les administrateurs de groupe », ils savent que cette stratégie est en vigueur.

  Ressources SACL est également utiles pour les scénarios de diagnostic. Par exemple, définir l’audit d’accès objet Global stratégie enregistre toutes les activités pour un utilisateur spécifique et l’activation de la stratégie à suivre les événements « Accès refusé » pour le système de fichiers ou le Registre peut aider les administrateurs rapidement identifier l’objet dans un système qui refuse l’accès d’un utilisateur.

  Notes

  Si un fichier ou dossier SACL et un paramètre de stratégie audit d’accès aux objets globaux (ou un seul paramètre du Registre SACL et un paramètre de stratégie audit d’accès aux objets globaux) est configuré sur un ordinateur, la liste SACL effective est dérivée de combiner le fichier ou dossier SACL et la stratégie d’audit de l’accès aux objets Global. Cela signifie qu’un événement d’audit est généré si le fichier ou dossier SACL ou la stratégie d’audit de l’accès aux objets Global correspond à l’activité.

  Cette catégorie comprend les sous-catégories suivantes :

  • Système de fichiers (accès Global aux objets d’audit)

  • Registre (accès Global aux objets d’audit)