Conseils de sécurité Microsoft 3004375

  • Article

Mise à jour pour l’audit de ligne de commande Windows

Publication : 10 février 2015

Version : 1.0

Informations générales

Résumé

Microsoft annonce la disponibilité d’une mise à jour pour les éditions prises en charge de Windows 7, Windows Server 2008R2, Windows 8 et Windows Server 2012 qui étend la stratégie de création du processus d’audit pour inclure les informations de commande transmises à chaque processus. Il s’agit d’une nouvelle fonctionnalité qui fournit des informations précieuses pour aider les administrateurs à examiner, surveiller et résoudre les problèmes liés à la sécurité sur leurs réseaux. Notez que les éditions prises en charge de Windows 8.1 et Windows Server 2012 R2 prennent déjà en charge cette fonctionnalité. Pour plus d’informations et télécharger des liens pour l’installation manuelle, consultez l’article de la Base de connaissances Microsoft 3004375.

Recommandation. Pour plus d’informations, consultez la section Actions suggérées de cet avis.

Logiciel affecté

Cet avis traite du logiciel suivant.

Logiciel affecté

Système d’exploitation
Windows 7 pour systèmes 32 bits Service Pack 1
Windows 7 pour systèmes x64 Service Pack 1
Windows Server 2008 R2 pour systèmes x64 Service Pack 1
Windows Server 2008 R2 pour les systèmes Itanium Service Pack 1
Windows 8 pour les systèmes 32 bits
Windows 8 pour systèmes x64
Windows Server 2012
Option d’installation server Core
Windows Server 2008 R2 pour systèmes x64 Service Pack 1 (installation server Core)
Windows Server 2012 (installation minimale)

 

Faq sur les conseils


Quelle est la portée de l’avis ?
L’objectif de cet avis est d’informer les clients qu’une mise à jour est disponible pour les éditions prises en charge de Windows 7, Windows Server 2008R2, Windows 8 et Windows Server 2012 qui étend la stratégie de création du processus d’audit de ligne de commande Windows pour inclure les informations de commande transmises à chaque processus. Cette nouvelle fonctionnalité, lorsqu’elle est activée et configurée, crée un journal des événements chaque fois qu’un processus est créé et inclut les informations de ligne de commande transmises à ce processus. Les événements sont enregistrés dans l’ID d’événement existant 4688 et enregistrés dans le journal Sécurité Windows. La surveillance de ces événements peut fournir des informations précieuses pour aider les administrateurs à examiner et à résoudre les problèmes liés à la sécurité.

Comment faire obtenir cette mise à jour ?
Les fonctionnalités décrites dans cet avis peuvent être obtenues en installant directement la mise à jour 3004375 (consultez l’article 3004375 de la Base de connaissances Microsoft). Notez que la mise à jour est également groupée avec les mises à jour publiées dans MS15-011 (voir l’article 3000483 de la Base de connaissances Microsoft) et MS15-015 (voir l’article 3031432 de la Base de connaissances Microsoft). L’une ou l’autre mise à jour installe automatiquement la mise à jour 3004375.

Qu’est-ce que la stratégie de création du processus d’audit ?
La stratégie de création du processus d’audit est une stratégie d’audit de sécurité qui détermine si le système d’exploitation génère un événement d’audit lorsqu’un processus est créé. Lorsqu’il est activé, un journal des événements avec l’ID 4688 est généré et enregistré dans le journal Sécurité Windows. Étant donné que la stratégie est désactivée par défaut, aucun événement d’audit n’est enregistré lorsque les processus sont créés, sauf si la stratégie est activée. En outre, la stratégie de création de processus d’audit doit être activée pour que la fonctionnalité d’audit de ligne de commande développée décrite dans cet avis de sécurité fonctionne. Pour plus d’informations sur la stratégie de création de processus d’audit, consultez la création du processus d’audit.

Comment cette mise à jour change-t-elle l’ID d’événement de sécurité 4688 ?
Après avoir installé et configuré cette mise à jour de sécurité, les administrateurs voient un élément nouvellement ajouté dans l’événement de sécurité 4688 appelé Ligne de commande de processus, qui contient l’intégralité de la commande exécutée pour l’événement en question.

Comment faire configurer les fonctionnalités fournies avec cette mise à jour ?
Les fonctionnalités fournies avec cette mise à jour sont désactivées par défaut. Après avoir installé la mise à jour, les administrateurs devront d’abord activer la stratégie de création du processus d’audit, puis activer la fonctionnalité pour la journalisation développée. Pour plus d’informations, consultez l’article de la Base de connaissances Microsoft 3004375.

Pourquoi la mise à jour n’est-elle pas disponible pour les éditions prises en charge de Windows 8.1 et Windows Server 2012 R2 ?
La mise à jour de sécurité n’est pas fournie pour les éditions prises en charge de Windows 8.1 et Windows Server 2012 R2, car les nouvelles fonctionnalités décrites dans cet avis sont déjà présentes dans ces systèmes d’exploitation.

Actions suggérées

  • Appliquer la mise à jour pour les versions prises en charge de Microsoft Windows

    La majorité des clients ont activé la mise à jour automatique et n’ont pas besoin d’effectuer d’action, car la mise à jour 3004375 sera téléchargée et installée automatiquement. Les clients qui n’ont pas activé la mise à jour automatique doivent case activée pour les mises à jour et installer cette mise à jour manuellement. Pour plus d’informations sur les options de configuration spécifiques dans la mise à jour automatique, consultez l’article de la Base de connaissances Microsoft 294871.

    Pour les administrateurs et les installations d’entreprise, ou les utilisateurs finaux qui souhaitent installer la mise à jour 3004375 manuellement, Microsoft recommande aux clients d’appliquer la mise à jour à l’aide du logiciel de gestion des mises à jour ou en case activée pour les mises à jour à l’aide du service Microsoft Update. Pour plus d’informations sur l’application manuelle de la mise à jour, consultez l’article de la Base de connaissances Microsoft 3004375

    Activer la stratégie de création du processus d’audit et activer la journalisation développée

    Après avoir installé la mise à jour, les administrateurs devront d’abord activer la stratégie de création du processus d’audit, puis activer la fonctionnalité pour la journalisation développée. Pour plus d’informations, consultez l’article de la Base de connaissances Microsoft 3004375.

Actions suggérées supplémentaires

  • Protéger votre PC

    Nous continuons à encourager les clients à suivre nos conseils de protection de votre ordinateur pour activer un pare-feu, obtenir des mises à jour logicielles et installer des logiciels antivirus. Pour plus d’informations, consultez Microsoft Coffre ty &Security Center.

  • Conserver les logiciels Microsoft mis à jour

    Les utilisateurs exécutant le logiciel Microsoft doivent appliquer les dernières mises à jour de sécurité Microsoft pour vous assurer que leurs ordinateurs sont aussi protégés que possible. Si vous ne savez pas si votre logiciel est à jour, visitez Microsoft Update, analysez votre ordinateur pour connaître les mises à jour disponibles et installez les mises à jour de haute priorité qui vous sont proposées. Si vous avez activé et configuré la mise à jour automatique pour fournir des mises à jour pour les produits Microsoft, les mises à jour sont remises à vous lors de leur publication, mais vous devez vérifier qu’elles sont installées. 

Autres informations

Programme Microsoft Active Protections (MAPP)

Pour améliorer les protections de sécurité pour les clients, Microsoft fournit des informations sur les vulnérabilités aux principaux fournisseurs de logiciels de sécurité avant chaque version mensuelle de la mise à jour de sécurité. Les fournisseurs de logiciels de sécurité peuvent ensuite utiliser ces informations de vulnérabilité pour fournir des protections mises à jour aux clients via leurs logiciels ou appareils de sécurité, tels que les systèmes antivirus, les systèmes de détection d’intrusion basés sur le réseau ou les systèmes de prévention des intrusions basés sur l’hôte. Pour déterminer si les protections actives sont disponibles auprès des fournisseurs de logiciels de sécurité, visitez les sites web de protection actifs fournis par les partenaires du programme, répertoriés dans microsoft Active Protections Program (MAPP) Partners.

Commentaires

  • Vous pouvez fournir des commentaires en remplissant le formulaire Aide et support Microsoft, contactez-nous.

Support

  • Les clients du États-Unis et du Canada peuvent recevoir un soutien technique du support technique. Pour plus d’informations, consultez Aide et support Microsoft.
  • Les clients internationaux peuvent recevoir du support de leurs filiales Microsoft locales. Pour plus d’informations, consultez Support international.
  • Microsoft TechNet Security fournit des informations supplémentaires sur la sécurité dans les produits Microsoft.

Exclusion de responsabilité

Les informations fournies dans cet avis sont fournies « tel quel » sans garantie quelconque. Microsoft exclut toutes les garanties, expresses ou implicites, y compris les garanties de marchandabilité et d’adéquation à un usage particulier. En aucun cas, Microsoft Corporation ou ses fournisseurs ne sont responsables de dommages-intérêts, y compris les dommages directs, indirects, accessoires, accessoires, les pertes de bénéfices commerciaux ou les dommages spéciaux, même si Microsoft Corporation ou ses fournisseurs ont été informés de la possibilité de tels dommages- intérêts. Certains États n’autorisent pas l’exclusion ou la limitation de responsabilité pour des dommages indirects ou accessoires afin que la limitation ci-dessus ne s’applique pas.

Révisions

  • V1.0 (10 février 2015) : avis publié.

Page générée 2015-02-03 14 :23Z-08 :00.