Configurer des stratégies avancées pour l'audit des objets de stratégie de groupe Windows Server

Configurer des stratégies avancées pour l'audit des objets de stratégie de groupe Windows Server

Sans aucun doute, la bonne gestion de notre serveur se reflète dans le fonctionnement optimal de chaque caractéristique de notre serveur et donc du cheminement opérationnel de notre réseau.

Les politiques d'audit avancées nous donnent la possibilité d'avoir un contrôle plus centralisé car elles nous permettent de vérifier plus facilement les événements qui se produisent sur notre serveur et de pouvoir déterminer plus clairement ce qui se passe au quotidien.

Nous allons passer en revue comment mettre en œuvre des politiques de sécurité, en supposant que notre schéma de sécurité peut être divisé en trois (3) domaines :

AuthentificationFournir une identité à l'utilisateur.

AutorisationFournit l'accès à l'utilisateur authentifié.

AudienceIl permet de garder le contrôle sur les utilisateurs connectés au système et les changements qu'ils peuvent exécuter.

Une des questions classiques est de savoir si on veut vraiment mettre en place des politiques de sécurité. C'est quelque chose de complètement nécessaire pour avoir tout sous contrôle et éviter les problèmes.

Pourquoi mettre en place une politique de sécurité ?Il est important en tant qu'administrateurs appliquer des politiques de sécurité pour revoir des sujets tels que :

  • Quels utilisateurs se connectent correctement.
  • Le nombre de tentatives infructueuses d'un utilisateur.
  • Modifications apportées à l'Active Directory de notre organisation.
  • Modifications apportées à des fichiers spécifiques.
  • Qui a redémarré ou arrêté le serveur et pourquoi.

Dans ce guide, vous apprendrez à implémenter, auditer, créer des stratégies et tout ce dont vous avez besoin pour votre environnement professionnel avec des serveurs Windows Server dans les foyers que vous devez contrôler.

1. Gérer l'audit avec les stratégies de groupe GPO


Nous devons spécifier les types d'événements système que nous voulons auditer à l'aide de stratégies de groupe.
Voyons quelques-uns des événements les plus courants que nous pouvons gérer :

Connexion au compte

  • La description

Détermine quand le système audite un compte connecté avec succès.

  • Configuration par défaut

Connexion au compte réussie

Gestion des comptes

  • La description

Il détermine à quel moment le système audite chaque événement d'un compte enregistré, par exemple les changements de mot de passe, la suppression de compte.

  • Configuration par défaut

Administration des activités des comptes connectés de manière satisfaisante

Accès au répertoire des services

  • La description

Détermine à quel moment l'utilisateur audite le système tente d'entrer dans Active Directory.

Connexion

  • La description

Détermine à quel moment le système audite la tentative de chaque utilisateur de se connecter ou de se déconnecter du système.

  • Configuration par défaut

Connexion réussie.

Changement de politique

  • La description

Détermine à quel moment le système audite chaque tentative de modification des stratégies établies du domaine.

  • Configuration par défaut

Changements de politique réussis

Système

  • La description

Détermine à quel moment le système audite les modifications apportées au système.

  • Configuration par défaut

Événements système réussis.

Nous devons prendre certaines précautions lors de la création de stratégies d'audit, par exemple :

  • Des niveaux élevés d'audit peuvent affecter considérablement les performances de l'appareil à auditer.
  • Lorsque nous recherchons les journaux des événements, nous verrons qu'il existe des milliers de journaux et que la recherche peut nous affecter. Les délais à auditer doivent être clairement définis.
  • Les journaux les plus récents remplacent les journaux les plus anciens, cela peut nous empêcher de voir des événements importants qui se sont produits dans une période précédente.

2. Mettre en œuvre la politique d'audit des objets de stratégie de groupe


À mettre en œuvre une politique d'audit nous devons effectuer les étapes suivantes :

Étape 1
Nous ouvrons notre gestionnaire de serveur ou gestionnaire de serveur. Nous cliquons sur Outils et nous choisissons l'option Gestion des politiques de groupe.

AGRANDIR

Ainsi il affichera le menu GPOs, il faut afficher le domaine courant et faire un clic droit sur Politique de domaine par défaut.

Étape 2
Nous choisissons l'option Éditer et le Éditeur de gestion de stratégie de groupe.

Nous déployons la route suivante :

  • Configuration de l'équipement
  • Directives
  • Paramètres Windows
  • Les paramètres de sécurité
  • Directives locales
  • Directive de vérification

Étape 3
Nous verrons qu'une fenêtre s'affiche avec les différents options d'audit:

Nous double-cliquons sur l'option Auditer les événements de connexion, nous verrons que la fenêtre des propriétés dudit audit s'ouvre.

Nous cochons la case Définir ce paramètre de stratégie pour activer cette politique, et nous activons les deux cases (Correct et Erreur) et cliquons sur Appliquer et enfin dans Accepter pour enregistrer les modifications.

Nous verrons les changements reflétés par notre audit :

3. Mettre en œuvre la politique d'audit (fichier ou dossier)

Nous pouvons ajouter un type d'audit à un fichier ou un dossier spécifique, pour cela nous effectuerons le processus suivant :

Étape 1
Nous donnons clic-droit dans le dossier que nous voulons attribuer audit et choisissez l'option Propriétés.

Dans la fenêtre Propriétés (modifier) nous sélectionnons l'onglet Sécurité.

Étape 2
Nous cliquons sur Options avancées et la fenêtre suivante s'affichera :

Nous cliquons sur l'option Audit et plus tard dans Ajouter.

Étape 3
Dans la fenêtre affichée, nous choisissons l'option Sélectionnez un principal pour trouver la politique à ajouter.

Nous avons choisi le objet d'appliquer l'audit:

Enfin nous spécifions les paramètres d'audit (Read, Write, etc.), cliquez sur Accepter pour enregistrer les modifications.

Avec ces étapes, nous aurons déjà audité la sélection que nous avons choisie.

Rappelles toiNous pouvons mettre en œuvre des politiques d'audit à l'aide de l'outil AuditPol.exe incluse dans Windows Server 2012, cette commande s'affichera et nous permettra de gérer nos politiques.

La syntaxe que nous pouvons utiliser pour cette commande est la suivante :

  • / avoir: Afficher la politique actuelle
  • /ensemble: Établir la politique d'audit
  • / liste: Afficher les éléments de la politique
  • / sauvegarde: Enregistrer la stratégie d'audit dans un fichier
  • / dégager: Nettoyer la stratégie d'audit
  • /?: Afficher l'aide

4. Événements et événements de l'Observateur d'événements


Lorsque nous avons configuré nos politiques de sécurité, dans l'observateur d'événements, nous pouvons voir tous les différents événements qui se sont produits sur notre serveur, ces événements sont représentés par un code numérique, voyons quelques-uns des événements les plus représentatifs :

Audit de validation des pouvoirs

  • 4774: Un compte a été mappé pour la connexion
  • 4775: Un compte n'a pas été mappé pour la connexion
  • 4776: Le contrôleur de domaine a essayé de valider les informations d'identification d'un compte
  • 4777: Le contrôleur de domaine n'a pas réussi à valider les informations d'identification d'un compte

Audit d'événement pour la connexion au compte

  • 4778: Une session s'est reconnectée sur une station Windows
  • 4779: Une station a été déconnectée d'une station Windows
  • 4800: Une station a été bloquée
  • 4801: Une station a été déverrouillée
  • 5632: Une exigence a été créée pour authentifier un réseau Wi-Fi
  • 5633: Une exigence a été créée pour authentifier un réseau câblé

Audit applicatif pour la gestion de groupe

  • 4783: Une application de groupe de base a été créée
  • 4784: Une application de groupe de base a été modifiée

Audit de gestion de compte

  • 4741: Un compte informatique a été créé
  • 4742: Un compte informatique a été modifié
  • 4743: Un compte d'ordinateur a été supprimé

Audit administratif du groupe de distribution

  • 4744: Un groupe de distribution local a été créé
  • 4746: Un membre a été ajouté à un groupe de distribution local
  • 4747: Un membre a été supprimé d'un groupe de distribution local
  • 4749: Un groupe de distribution mondial a été créé
  • 4750: Un groupe de distribution global a été modifié
  • 4753: Un groupe de distribution global a été supprimé
  • 4760: Un groupe de sécurité a été modifié

Audit de l'administration du groupe de sécurité

  • 4727: Un groupe mondial de sécurité a été créé
  • 4728: Un membre a été ajouté à un groupe de sécurité global
  • 4729: Un membre a été supprimé d'un groupe de sécurité global
  • 4730: Un groupe de sécurité global a été supprimé
  • 4731: Un groupe de sécurité local a été créé
  • 4732: Un membre a été ajouté à un groupe de sécurité local

Audit de gestion des comptes utilisateurs

  • 4720: Un compte utilisateur a été créé
  • 4722: Un compte utilisateur a été activé
  • 4723: Une tentative de modification du mot de passe a été créée
  • 4725: Un compte utilisateur a été désactivé
  • 4726: Un compte utilisateur a été supprimé
  • 4738: Un compte utilisateur a été modifié
  • 4740: Un compte utilisateur a été bloqué
  • 4767: Un compte utilisateur a été déverrouillé
  • 4781: Le nom d'un compte utilisateur a été modifié

Audits de processus

  • 4688: Un nouveau processus a été créé
  • 4696: Un code primaire a été attribué à un processus
  • 4689: Un processus est terminé

Audits des services d'annuaire

  • 5136: Un objet de service d'annuaire a été modifié
  • 5137: Un objet de service d'annuaire a été créé
  • 5138: Un objet de service d'annuaire a été récupéré
  • 5139: Un objet de service d'annuaire a été déplacé
  • 5141: Un objet de service d'annuaire a été supprimé

Audits de comptes

  • 4634: Un compte a été déconnecté
  • 4647: L'utilisateur a commencé à se déconnecter
  • 4624: Un compte a été connecté avec succès
  • 4625: Un compte n'a pas réussi à se connecter

Audits de fichiers partagés

  • 5140: Un objet réseau a été accédé
  • 5142: Un objet réseau a été ajouté
  • 5143: Un objet réseau a été modifié
  • 5144: Un objet réseau a été supprimé

Autres types d'audits

  • 4608: Windows a été démarré
  • 4609: Windows a été fermé
  • 4616: Le fuseau horaire a été modifié
  • 5025: Le pare-feu Windows a été arrêté
  • 5024: Le pare-feu Windows a été démarré

Comme nous pouvons le voir, il existe de nombreux autres codes pour représenter les différents événements qui se produisent quotidiennement sur notre serveur et notre réseau, nous pouvons voir tous les codes sur le site Web de Microsoft.

5. Accès à l'Observateur d'événements WServer 2012


Nous allons connaître le processus pour accéder à l'observateur d'événements de notre serveur et à partir de là pour pouvoir filtrer ou rechercher des événements spécifiques.

Nous devons entrer dans le gestionnaire de serveur ou le gestionnaire de serveur. Là, nous sélectionnons l'option Observateur d'événements du menu Outils.

AGRANDIR

Là, la fenêtre respective s'affichera pour pouvoir rechercher les événements sur notre appareil :

Dans le menu de gauche, nous avons différentes options pour voir les événements.

Comme nous le voyons, nous pouvons filtrer par catégories Quoi:

  • Journaux Windows
  • Journaux des applications
  • Microsoft

Et à son tour, nous pouvons rechercher par sous-catégories telles que Application, Sécurité, etc.

Par exemple, nous choisissons l'option Sécurité du menu Journaux Windows.

AGRANDIR

On peut voir dans le menu central les structure de l'événement:

  • Nom de l'événement
  • Date de l'événement
  • Origine
  • ID d'événement (déjà vu auparavant)
  • Catégorie

Dans le menu de gauche, nous trouvons des options pour ajuster notre observateur d'événements, telles que :

  • Ouvrir les enregistrements enregistrés : Il nous permet d'ouvrir des enregistrements que nous avons précédemment sauvegardés.
  • Vue personnalisée: Cela nous permet de créer une vue en fonction de nos besoins, par exemple nous pouvons la créer par ID d'événement, par date, par catégorie, etc.
  • Importer une vue personnalisée : Il nous permet d'importer notre vue créée vers un autre emplacement.
  • Enregistrement vide : Nous pouvons laisser l'observateur d'événements à zéro.
  • Filtrer l'enregistrement actuel : Nous pouvons exécuter des paramètres pour effectuer une recherche plus spécifique.
  • Propriétés: Affichez les propriétés de l'événement.

Et nous réalisons donc que nous avons d'autres options dans notre visionneuse d'événements.
Nous pouvons créer une politique d'audit pour les périphériques amovibles, pour cela nous exécuterons le processus suivant :

Nous entrons dans notre Administrateur de serveur
Nous choisissons dans le menu Outils l'option Gestionnaire de stratégie de groupe.

Nous devons afficher notre domaine, clic droit, clic Éditer et entrez l'itinéraire suivant :

  • Configuration de l'équipement
  • Directives
  • Paramètres Windows
  • Les paramètres de sécurité
  • Paramètres de stratégie d'audit avancés
  • Paramètres de stratégie
  • Accès aux objets

Nous double-cliquons sur Accès aux objets, nous choisissons l'option Auditer le stockage amovible.

La fenêtre respective sera affichée, nous activons la case à cocher Configurer les événements d'audit suivants et nous choisissons l'option C'est Correct.

Pour enregistrer les modifications, nous cliquons sur Appliquer et plus tard dans Accepter.

Comme nous pouvons le voir, il existe des outils qui font de la gestion administrative d'un réseau une tâche extrêmement importante et responsable, nous devons explorer en profondeur tout ce que Windows Server 2012 nous offre pour avoir un réseau toujours disponible.

Masquer les lecteurs Windows Server GPO

Vous contribuerez au développement du site, partager la page avec vos amis

wave wave wave wave wave

Articles Populaires

wave
1
post-title
▷ Désactiver les mises à jour de Windows Server 2022 - Automatique
2
post-title
Comment redémarrer ou éteindre le Samsung Galaxy S10 Plus
3
post-title
Comment créer un démarrage USB Kali Linux sur Windows 10, Linux ou Mac
4
post-title
▷ Afficher l'historique des erreurs PS5
5
post-title
Comment mettre à jour la Xiaomi Mi Box S

Recommandé

wave
- Sponsored Ad -

Choix De L'Éditeur

wave
- Sponsored Ad -