Administration de Windows Server 2012 R2: surveillance et audit – Serveur d’impression

Leçon 2: Stratégies d'audit avancées

L'audit vous permet de suivre à la fois les accès actuels et les tentatives d'accès, ainsi que les modifications apportées aux objets et aux stratégies. L’audit vous permet de vérifier que les stratégies que vous avez mises en place pour sécuriser l’infrastructure réseau de votre entreprise sont bien appliquées, du suivi des modifications aux comptes d’utilisateurs sensibles à l’accès aux fichiers et dossiers sensibles. Dans cette leçon, vous découvrirez les stratégies d'audit avancées, comment configurer les stratégies d'audit basées sur des expressions et comment utiliser auditpol.exe pour gérer l'audit.

Configuration de l'audit avancé

key.jpg

Un objet de stratégie de groupe (GPO) comprend deux ensembles de stratégies d'audit: politiques d'audit traditionnelles et stratégies d'audit avancées. Les stratégies d'audit traditionnelles se trouvent dans le nœud Configuration de l'ordinateur Stratégies Paramètres Windows Paramètres de sécurité Stratégies locales Stratégies d'audit et sont illustrées à la figure 10-22. Il s’agit des stratégies d’audit disponibles avec le système d’exploitation Windows Server depuis Windows 2000. L’inconvénient de ces stratégies est qu’elles sont générales et que vous ne pouvez pas être spécifique dans la configuration de l’audit. Lorsque vous utilisez ces stratégies, vous n'auditez pas seulement les événements qui vous intéressent, mais vous finissez également par auditer de nombreux événements dont vous n'avez pas besoin de savoir.

Les stratégies d'audit avancées vous permettent d'être plus précis dans les types d'activité que vous auditez. Les stratégies d'audit avancées se trouvent sous le nœud Configuration de l'ordinateur Stratégies Paramètres Windows Paramètres de sécurité Configuration de stratégie d'audit avancée, comme illustré à la figure 10-23.

Il existe 10 groupes de paramètres de stratégie d'audit et 58 stratégies d'audit individuelles disponibles via la Configuration de stratégie d'audit avancée. Les groupes de stratégies d'audit contiennent les paramètres suivants:

  • Connexion au compte Vous pouvez auditer la validation des informations d'identification et les opérations spécifiques à Kerberos.
  • Gestion de compte Vous pouvez auditer les opérations de gestion des comptes, telles que les modifications apportées aux comptes d'ordinateur, aux comptes d'utilisateur et aux comptes de groupe.
  • Suivi détaillé Vous pouvez auditer les événements de chiffrement, la création de processus, la terminaison de processus et les événements RPC.
  • Accès DS Vous pouvez auditer l'accès et la fonctionnalité Active Directory.
  • Connexion / Déconnexion Vous pouvez auditer les événements de connexion, déconnexion et autres activités du compte, y compris les événements IPSec et NPS (Network Policy Server).
  • Accès aux objets Vous pouvez auditer l'accès aux objets, notamment aux fichiers, aux dossiers, aux applications et au registre.
  • Changement de politique Vous pouvez auditer les modifications apportées à la stratégie d'audit.
  • Utilisation de privilège Vous pouvez vérifier l'utilisation des privilèges.
  • Système Vous pouvez auditer les modifications apportées au sous-système de sécurité.
  • Audit global d'accès aux objets Vous pouvez configurer des stratégies d'audit basées sur des expressions pour les fichiers et le registre.

Implémentation de stratégies d'audit basées sur des expressions

Les stratégies d'audit d'objet traditionnelles impliquent de spécifier un groupe et de configurer le type d'activités qui déclencheront l'écriture d'un événement dans le journal de sécurité. Spécifier qu'un événement d'audit sera écrit chaque fois qu'un membre du groupe Gestionnaires accède à un fichier d'un dossier spécifique est un bon exemple.

key.jpg

Expressionstratégies d'audit basées sur vous permettre d'aller plus loin. Ces stratégies vous permettent de définir des conditions dans lesquelles l'audit peut avoir lieu. Par exemple, vous pouvez configurer l’audit de manière à ce que les membres du groupe Gestionnaires aient accès aux fichiers sensibles suivis uniquement lorsqu’ils accèdent aux fichiers d’ordinateurs ne faisant pas partie du groupe Managers_Computers. La Figure 10-24 montre l’audit configuré de cette manière. Ainsi, vous ne vous occupez plus de suivre l’accès lorsque les membres de ce groupe accèdent à des fichiers sensibles à partir du bureau, mais vous suivez tout l’accès à ces fichiers lorsque des membres de ce groupe y accèdent depuis un emplacement inhabituel.

Vous pouvez intégrer des stratégies d'audit basées sur des expressions au contrôle d'accès dynamique (DAC) pour créer des stratégies d'audit ciblées basées sur les revendications de l'utilisateur, de l'ordinateur et des ressources. Au lieu d'ajouter simplement des revendications basées sur l'appartenance d'un utilisateur ou d'un groupe de périphériques, la revendication peut être basée sur des métadonnées de document telles que les paramètres de confidentialité et l'emplacement du site. Vous pouvez configurer des stratégies d'audit basées sur des expressions au niveau du fichier ou du dossier, ou les appliquer via une stratégie de groupe à l'aide de stratégies du nœud Audit d'objet global de la configuration de stratégie d'audit avancée.

Configuration de l'audit de fichiers et de dossiers

Après avoir configuré l'audit de l'accès aux objets, via les stratégies d'audit traditionnelles ou avancées, vous pouvez configurer l'audit au niveau des fichiers et des dossiers. Le moyen le plus simple de configurer l'audit est au niveau des dossiers, car vous pouvez ensuite configurer tous les dossiers et sous-dossiers pour qu'ils héritent de ces paramètres d'audit. Si vous modifiez les paramètres d'audit au niveau du dossier, vous pouvez utiliser l'option Remplacer toutes les entrées d'audit d'objet enfant pour appliquer les nouveaux paramètres d'audit aux fichiers et dossiers enfants du dossier.

Vous pouvez configurer l’audit pour un fichier et un dossier spécifiques à l’aide du bouton Avancé de l’onglet Sécurité des propriétés de l’objet. Vous pouvez configurer un audit de base des réussites et des échecs, comme illustré à la figure 10-25. Vous pouvez également configurer un audit basé sur les expressions pour que l'activité des membres d'un groupe de sécurité spécifique ne soit auditée que si d'autres conditions, telles que l'appartenance à d'autres groupes de sécurité, sont également remplies.

L’avantage de l’audit global d’accès aux objets est que, une fois celui-ci configuré, vous pouvez utiliser la classification de fichiers pour appliquer des métadonnées aux fichiers, puis activer automatiquement l’audit pour ces fichiers. Par exemple, à l'aide de la classification de fichiers et de la DAC, vous pouvez configurer un serveur de fichiers Windows Server 2012 R2 de sorte que tous les fichiers contenant l'expression «code secret» soient marqués comme étant sensibles. Vous pouvez ensuite configurer l'audit d'accès global aux objets afin que tous les accès aux fichiers marqués comme sensibles soient automatiquement audités. Au lieu de demander à un administrateur de rechercher tous les fichiers sensibles et de configurer l'audit sur ces fichiers, le processus est automatique. Tout ce qui doit être déclenché est l'inclusion de la phrase «code secret» dans le fichier.

Utiliser auditpol avec l'audit

key.jpg

Auditpol.exe est un utilitaire de ligne de commande que vous pouvez utiliser pour configurer et gérer les paramètres de stratégie d'audit à partir d'une invite de commande avec privilèges élevés. Vous pouvez utiliser auditpol.exe pour effectuer les tâches suivantes:

  • Afficher les paramètres de stratégie d'audit actuels avec la sous-commande / Get
  • Définissez les paramètres de la stratégie d'audit avec la sous-commande / Set
  • Afficher les éléments de stratégie sélectionnables avec la sous-commande / List
  • Sauvegarder et restaurer les stratégies d'audit à l'aide des sous-commandes / Backup et / Restore
  • Supprimer tous les paramètres de stratégie d'audit par utilisateur et réinitialiser les paramètres de stratégie système à l'aide de la sous-commande / Clear
  • Supprimez tous les paramètres de stratégie d'audit par utilisateur et désactivez tous les paramètres de stratégie système à l'aide de la sous-commande / Remove

Par exemple, pour activer l'audit de réussite et d'échec de la sous-catégorie de système de fichiers d'accès aux objets, exécutez cette commande.

Auditpol.exe / set / sous-catégorie: "Système de fichiers" / success: Enable / failure: Enable

Pour afficher les paramètres de stratégie d'audit actuels pour toutes les stratégies d'audit, exécutez cette commande.

Auditpol.exe / get / category: *

Pour afficher les paramètres de stratégie d'audit actuels pour une catégorie spécifique, telle que Accès aux objets, exécutez cette commande.

Auditpol.exe / get / category: "Accès aux objets"

Résumé de la leçon

  • Les stratégies d'audit avancées vous permettent d'effectuer un audit plus granulaire qu'il n'est possible avec les stratégies d'audit traditionnelles disponibles dans les versions précédentes du serveur Windows.
  • Les stratégies d'audit basées sur les expressions vous permettent de configurer l'audit en fonction des métadonnées d'objet. Vous pouvez également utiliser des stratégies d'audit basées sur des expressions pour effectuer un audit conditionnel.
  • Une fois que vous avez activé l'audit de l'accès aux objets, vous pouvez configurer l'audit au niveau du fichier et du dossier. L'audit au niveau des fichiers et des dossiers prend en charge les stratégies d'audit basées sur les expressions.
  • Vous pouvez utiliser l'utilitaire de ligne de commande auditpol.exe à partir d'une invite de commande avec privilèges élevés pour configurer et gérer les paramètres de stratégie d'audit.

Examen de la leçon

Répondez aux questions suivantes pour tester vos connaissances des informations de cette leçon. Vous pouvez trouver les réponses à ces questions ainsi que les raisons pour lesquelles chaque choix de réponse est correct ou incorrect dans la section "Réponses" à la fin de ce chapitre.

  1. Laquelle des commandes suivantes devez-vous utiliser pour activer l'audit de réussite et d'échec pour toutes les stratégies d'audit de la catégorie Accès aux objets sur un ordinateur exécutant Windows Server 2012 R2?

    1. Auditpol.exe / set / sous-catégorie: "Système de fichiers" / success: Enable / failure: Enable
    2. Auditpol.exe / set / Category: "Accès aux objets" / success: Enable / Failure: Enable
    3. Auditpol.exe / get / Category: "Accès aux objets" / success: Disable / Failure: Disable
    4. Auditpol.exe / get / Category: "Accès aux objets" / success: Disable / Failure: Enable
  2. Vous souhaitez activer l'audit des échecs, mais pas l'audit des succès, pour toutes les stratégies d'audit de la catégorie Accès aux objets sur un ordinateur exécutant Windows Server 2012 R2. Laquelle des commandes suivantes devriez-vous utiliser pour atteindre cet objectif?

    1. Auditpol.exe / get / Category: "Accès aux objets" / success: Disable / Failure: Enable
    2. Auditpol.exe / get / Category: "Accès aux objets" / success: Disable / Failure: Disable
    3. Auditpol.exe / set / Category: "Accès aux objets" / success: Enable / Failure: Enable
    4. Auditpol.exe / set / sous-catégorie: "Système de fichiers" / success: Enable / failure: Enable
  3. Vous souhaitez activer l'audit de réussite et d'échec uniquement pour la sous-catégorie de système de fichiers. Laquelle des commandes suivantes devriez-vous utiliser pour atteindre cet objectif?

    1. Auditpol.exe / set / Category: "Accès aux objets" / success: Enable / Failure: Enable
    2. Auditpol.exe / get / Category: "Accès aux objets" / success: Disable / Failure: Enable
    3. Auditpol.exe / set / sous-catégorie: "Système de fichiers" / success: Enable / failure: Enable
    4. Auditpol.exe / get / Category: "Accès aux objets" / success: Disable / Failure: Disable
  4. Vous souhaitez désactiver tous les audits de réussite et d'échec de toutes les sous-catégories d'audit de la catégorie Accès aux objets. Laquelle des commandes suivantes devriez-vous utiliser pour atteindre cet objectif?

    1. Auditpol.exe / get / Category: "Accès aux objets" / success: Disable / Failure: Disable
    2. Auditpol.exe / get / Category: "Accès aux objets" / success: Disable / Failure: Enable
    3. Auditpol.exe / set / Category: "Accès aux objets" / success: Enable / Failure: Enable
    4. Auditpol.exe / set / sous-catégorie: "Système de fichiers" / success: Enable / failure: Enable
Administration de Windows Server 2012 R2: surveillance et audit – Serveur d’impression
4.9 (98%) 32 votes