Configuration avancée de la stratégie d’audit

S’applique à: ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

Les paramètres de configuration de la stratégie d’audit avancée se trouvent sous Configuration ordinateur\Paramètres Windows\Paramètres de sécurité\Configuration avancée de la stratégie d’audit\Stratégies d’audit système dans la stratégie de groupe. Ces paramètres permettent aux organisations de surveiller la conformité avec les exigences d’entreprise et de sécurité clés en effectuant le suivi d’activités spécifiques, telles que :

Modifications apportées par les administrateurs de groupe aux paramètres ou aux données sur des serveurs contenant des informations sensibles (par exemple, des serveurs financiers).
Accès aux fichiers critiques par les employés au sein de groupes désignés.
Application de la liste de contrôle d’accès système correcte à tous les fichiers, dossiers ou clés de Registre sur un ordinateur ou un partage de fichiers, fournissant une protection vérifiable contre l’accès non autorisé.

Vous pouvez accéder à ces paramètres de stratégie d’audit via le composant logiciel enfichable Stratégie de sécurité locale (secpol.msc) sur l’ordinateur local ou à l’aide de la Stratégie de groupe.

Ces paramètres de stratégie d’audit avancé fournissent un contrôle précis sur les activités surveillées, ce qui vous permet de vous concentrer sur les événements les plus pertinents pour votre organisation. Vous pouvez exclure l’audit des actions qui ne sont pas importantes ou qui génèrent un volume de journal inutile. En outre, étant donné que ces stratégies peuvent être gérées par le biais d’objets de stratégie de groupe de domaine, vous pouvez facilement modifier, tester et déployer des configurations d’audit sur des utilisateurs et des groupes spécifiques en fonction des besoins.

Les configurations avancées de la stratégie d’audit sont les suivantes :

Connexion de compte

La configuration des paramètres de stratégie dans cette catégorie peut vous aider à documenter les tentatives d’authentification des données de compte sur un contrôleur de domaine ou sur un gestionnaire de comptes de sécurité local (SAM). Contrairement aux paramètres et aux événements de stratégie d’ouverture de session et de déconnexion , qui suivent les tentatives d’accès à un ordinateur particulier, les paramètres et les événements de cette catégorie se concentrent sur la base de données de compte utilisée. Cette catégorie inclut les sous-catégories suivantes :

Étendre la politique de validation des informations d’identification d’audit

La stratégie Audit Credential Validation détermine si le système d'exploitation génère des événements d’audit sur les informations d’identification soumises pour une demande d'ouverture de session de compte d’utilisateur. Ces événements se produisent sur l’ordinateur faisant autorité pour les identifiants de la manière suivante :

Pour les comptes de domaine, le contrôleur de domaine fait autorité.
Pour les comptes locaux, l’ordinateur local fait autorité.

Étant donné que les comptes de domaine sont utilisés beaucoup plus fréquemment que les comptes locaux dans les environnements d’entreprise, la plupart des événements d’ouverture de session de compte dans un environnement de domaine se produisent sur les contrôleurs de domaine faisant autorité pour les comptes de domaine. Toutefois, ces événements peuvent se produire sur n’importe quel ordinateur, et ils peuvent se produire avec ou sur des ordinateurs distincts des événements d’ouverture de session et de déconnexion.

ID de l’événement	Message d’événement
4774	Un compte a été mappé pour l’ouverture de session.
4775	Un compte n’a pas pu être mappé pour l’ouverture de session.
4776	Le contrôleur de domaine a tenté de valider les informations d’identification d’un compte.
4777	Le contrôleur de domaine n’a pas pu valider les informations d’identification d’un compte.

Volume d’événements : élevé sur les contrôleurs de domaine.
Valeur par défaut sur les éditions du client : Aucun audit.
Valeur par défaut sur les éditions du serveur : Réussite.

Étendre la stratégie d'audit du service d'authentification Kerberos

La stratégie auditer le service d’authentification Kerberos contrôle si les événements d’audit sont générés lorsqu’un ticket d’octroi de ticket d’authentification Kerberos (TGT) est demandé. Avec ce paramètre activé, les administrateurs surveillent l’activité de connexion Kerberos et détectent les problèmes de sécurité potentiels liés aux demandes d’authentification.

Si vous configurez ce paramètre de stratégie, un événement d’audit est généré après une demande TGT d’authentification Kerberos. Les audits de réussite enregistrent les tentatives réussies et les audits d’échec enregistrent les tentatives infructueuses.

ID de l’événement	Message d’événement
4768	Un ticket d’authentification Kerberos (TGT) a été demandé.
4771	Échec de la pré-authentification Kerberos.
4772	Échec d’une demande de ticket d’authentification Kerberos.

Volume d’événements : élevé sur les serveurs du Centre de distribution de clés Kerberos.
Valeur par défaut sur les éditions du client : Aucun audit.
Valeur par défaut sur les éditions du serveur : Réussite.

Étendre la politique d'audit des opérations des tickets de service Kerberos

La stratégie Audit Kerberos Service Ticket Operations contrôle si le système d’exploitation consigne les événements d’audit de sécurité lorsque les tickets de service Kerberos sont demandés ou renouvelés. L’activation de ce paramètre permet aux administrateurs de surveiller et de suivre l’activité d’authentification Kerberos dans l’environnement.

Les événements sont générés chaque fois que Kerberos est utilisé pour authentifier un utilisateur qui souhaite accéder à une ressource réseau protégée. Les événements d’audit des opérations de ticket de service Kerberos peuvent être utilisés pour suivre l’activité utilisateur.

ID de l’événement	Message d’événement
4769	Un ticket de service Kerberos a été demandé.
4770	Un ticket de service Kerberos a été renouvelé.

Volume d’événements : élevé sur un contrôleur de domaine qui se trouve dans un centre de distribution de clés (KDC). Faible sur les membres du domaine.
Valeur par défaut : non configuré.

Développer l’audit d’autres événements d’ouverture de session de compte

La stratégie Audit Other Account Logon Events audite les événements déclenchés par des réponses aux demandes d’informations d’identification pour les connexions de compte d’utilisateur qui ne sont pas de validation d’informations d’identification standard ou de demandes de ticket Kerberos. Voici quelques exemples :

Lorsque vous démarrez une nouvelle session Bureau à distance et que vous rencontrez des déconnexions de session.
Lorsque vous verrouillez et déverrouillez une station de travail.
Lorsque vous appelez ou désactivez un économiseur d’écran.
Lorsqu'une attaque de relecture Kerberos est détectée, lorsqu'une même requête Kerberos contenant des informations identiques est reçue deux fois.

Note

Cette situation peut résulter d’un problème de configuration réseau.
Lorsque vous accédez à un réseau sans fil ou à un réseau câblé 802.1x accordé à un compte d’utilisateur ou d’ordinateur

ID de l’événement	Message d’événement
4649	Détection d’une attaque par relecture.
4778	Une session a été reconnectée à une station Windows.
4779	Une session a été déconnectée d’une station Windows.
4800	La station de travail a été déverrouillée.
4801	La station de travail a été déverrouillée.
4802	L’économiseur d’écran a été appelé.
4803	L’économiseur d’écran a été masqué.
5378	La délégation d'informations d'identification demandée n'a pas été autorisée selon la politique.
5632	Une requête a été effectuée pour s’authentifier auprès d’un réseau sans fil.
5633	Une requête a été effectuée pour s’authentifier auprès d’un réseau filaire.

Valeur par défaut : Aucun audit.

Gestion des comptes

Les paramètres de stratégie d’audit de sécurité de cette catégorie peuvent être utilisés pour surveiller les modifications apportées aux comptes et groupes d’utilisateurs et d’ordinateurs. Cette catégorie inclut les sous-catégories suivantes :

Développer la stratégie De gestion des groupes d’applications d’audit

La stratégie de gestion des groupes d’applications d’audit contrôle si le système d’exploitation journalise les événements d’audit lorsque certaines actions sont effectuées. Ces actions incluent la création, la modification ou la suppression de groupes d’applications et la modification de leur appartenance. Les tâches de gestion des groupes d’applications sont les suivantes :

Un groupe d’applications est créé, modifié ou supprimé.
Un membre est ajouté ou supprimé d’un groupe d’applications.

ID de l’événement	Message d’événement
4783	Un groupe d’applications de base a été créé.
4784	Un groupe d’applications de base a été modifié.
4785	Un membre a été ajouté à un groupe d’applications de base.
4786	Un membre a été supprimé d’un groupe d’applications de base.
4787	Un membre non membre a été ajouté à un groupe d’applications de base.
4788	Un membre non membre a été supprimé d’un groupe d’applications de base.
4789	Un groupe d’applications de base a été supprimé.
4790	Un groupe de requêtes LDAP (Lightweight Directory Access Protocol) a été créé.

Volume d’événements : faible.
Valeur par défaut : Aucun audit.

Étendre la politique de gestion des comptes d'ordinateur d'audit

La stratégie Audit Computer Account Management contrôle si le système d’exploitation enregistre les événements d’audit lorsqu’un compte d’ordinateur est créé, modifié ou supprimé dans Active Directory. Lorsque vous activez cette stratégie, les administrateurs surveillent et suivent les modifications apportées aux comptes d’ordinateur au sein d’un domaine. Des informations précieuses pour l’audit, la conformité et la résolution des problèmes des activités de gestion des comptes sont fournies par la surveillance de ces événements.

ID de l’événement	Message d’événement
4741	Un compte d’ordinateur a été créé.
4742	Un compte d'utilisateur a été modifié.
4743	Un compte d'utilisateur a été supprimé.

Volume d’événements : faible.
Valeur par défaut sur les éditions du client : Aucun audit.
Valeur par défaut sur les éditions du serveur : Réussite.

Développer la stratégie de gestion des groupes de distribution d’audit

La stratégie de gestion des groupes de distribution d’audit détermine si le système d’exploitation génère des événements d’audit pour des tâches d’administration de groupe de distribution spécifiques. Cette sous-catégorie à laquelle appartient cette stratégie est enregistrée uniquement sur les contrôleurs de domaine. Les tâches de gestion de groupe de distribution qui peuvent être auditées sont les suivantes :

Un groupe de distribution est créé, modifié ou supprimé.
Un membre est ajouté ou supprimé d’un groupe de distribution.

Note

Les groupes de distribution ne peuvent pas être utilisés pour gérer les autorisations de contrôle d’accès.

ID de l’événement	Message d’événement
4744	Un groupe local non sécurisé a été créé.
4745	Un groupe local non sécurisé a été modifié.
4746	Un membre a été ajouté à un groupe local non sécurisé.
4747	Un membre a été supprimé d’un groupe local non sécurisé.
4748	Un groupe local non sécurisé a été supprimé.
4749	Un groupe global non sécurisé a été créé.
4750	Un groupe global non sécurisé a été modifié.
4751	Un membre a été ajouté à un groupe global non sécurisé.
4752	Un membre a été supprimé d’un groupe global non sécurisé.
4753	Un groupe global non sécurisé a été supprimé.
4759	Un groupe universel non sécurisé a été créé.
4760	Un groupe universel non sécurisé a été modifié.
4761	Un membre a été ajouté à un groupe universel non sécurisé.
4762	Un membre a été supprimé d’un groupe universel non sécurisé.

Volume d’événements : faible.
Valeur par défaut : Aucun audit.

Étendre la politique d'audit des autres événements de gestion des comptes

La stratégie Audit Other Account Management Events détermine si le système d’exploitation génère des événements d’audit de gestion des comptes d’utilisateur. Les événements peuvent être générés pour l’audit de gestion des comptes d’utilisateur lorsque :

Le hachage de mot de passe d’un compte est accessible. Cela se produit généralement lorsque l’outil de migration Active Directory (ADMT) déplace les données de mot de passe.
L’interface de programmation d’application de vérification des stratégies de mot de passe (API) est appelée. Les appels à cette fonction peuvent faire partie d’une attaque d’une application malveillante qui teste si les paramètres de stratégie de complexité du mot de passe sont appliqués.

Note

Ces événements sont enregistrés lorsque la stratégie de domaine est appliquée (lors de l’actualisation ou du redémarrage), et non lorsque les paramètres sont modifiés par un administrateur.

Les modifications apportées à la stratégie de domaine se trouvent sous Configuration ordinateur\Paramètres Windows\Paramètres de sécurité\Stratégies de compte\Stratégie de mot de passe ou Configuration ordinateur\Paramètres Windows\Paramètres de sécurité\Stratégies de compte\Stratégie de verrouillage du compte.

ID de l’événement	Message d’événement
4782	Le hachage de mot de passe d’un compte a été consulté.
4793	L’API de vérification de la stratégie de mot de passe a été appelée.

Volume d’événements : faible.
Valeur par défaut : Aucun audit.

Développer la stratégie de gestion des groupes de sécurité d’audit

La stratégie de gestion des groupes d’audit détermine si le système d’exploitation génère des événements d’audit lorsque des tâches de gestion de groupe de sécurité spécifiques sont effectuées. Les tâches de gestion des groupes de sécurité sont les suivantes :

Un groupe de sécurité est créé, modifié ou supprimé.
Un membre est ajouté ou supprimé d’un groupe de sécurité.
Le type d’un groupe est modifié.

Les groupes de sécurité peuvent être utilisés pour les autorisations de contrôle d’accès et également comme listes de distribution.

ID de l’événement	Message d’événement
4727	Un groupe global sécurisé a été créé.
4728	Un membre a été ajouté à un groupe global sécurisé.
4729	Un membre a été supprimé d’un groupe global sécurisé.
4730	Un groupe global sécurisé a été supprimé.
4731	Un groupe local sécurisé a été créé.
4732	Un membre a été ajouté à un groupe local sécurisé.
4733	Un membre a été supprimé d’un groupe local sécurisé.
4734	Un groupe local sécurisé a été supprimé.
4735	Un groupe local sécurisé a été modifié.
4737	Un groupe global sécurisé a été modifié.
4754	Un groupe universel sécurisé a été créé.
4755	Un groupe universel sécurisé a été modifié.
4756	Un membre a été ajouté à un groupe universel sécurisé.
4757	Un membre a été supprimé d’un groupe universel sécurisé.
4758	Un groupe universel sécurisé a été supprimé.
4764	Le type d’un groupe a été modifié.

Volume d’événements : faible.
Valeur par défaut : Réussite.

Développer la gestion des comptes d’utilisateur d’audit

La gestion des comptes d’utilisateur d’audit détermine si le système d’exploitation génère des événements d’audit lorsque des tâches de gestion de compte d’utilisateur spécifiques sont effectuées. Les tâches auditées pour la gestion des comptes d’utilisateur sont les suivantes :

Un compte d’utilisateur est créé, modifié, supprimé, renommé, désactivé, activé, verrouillé ou déverrouillé.
Un mot de passe de compte d’utilisateur est défini ou modifié.
Un historique d’identificateur de sécurité (SID) est ajouté à un compte d’utilisateur.
Un mot de passe en mode de restauration des services d’annuaire est défini.
Les autorisations sont modifiées sur les comptes membres de groupes d’administrateur.
Les informations d’identification du Gestionnaire d’informations d’identification sont sauvegardées ou restaurées.

Ce paramètre de stratégie est essentiel pour le suivi des événements qui impliquent l’approvisionnement et la gestion des comptes d’utilisateur.

ID de l’événement	Message d’événement
4720	Un compte d’utilisateur a été créé.
4722	Un compte d’utilisateur a été activé.
4723	Une tentative de modification du mot de passe d’un compte a été effectuée.
4724	Une tentative de réinitialisation du mot de passe d’un compte a été effectuée.
4725	Un compte utilisateur a été désactivé.
4726	Un compte d’utilisateur a été supprimé.
4738	Un compte d'utilisateur a été modifié.
4740	Un compte d’utilisateur a été verrouillé.
4765	L’historique SID a été ajouté à un compte.
4766	Échec d’une tentative d’ajout de l’historique SID à un compte.
4767	Un compte d'utilisateur a été déverrouillé.
4780	La liste de contrôle d’accès a été définie sur les comptes qui sont membres de groupes Administrateurs.
4781	Le nom d’un compte a été modifié.
4794	Une tentative de définition du mode de restauration des services d’annuaire a été effectuée.
5376	Les informations d’identification du gestionnaire d’informations d’identification ont été sauvegardées.
5377	Les informations d’identification du gestionnaire d’informations d’identification ont été restaurées à partir d’une sauvegarde.

Volume d’événements : faible.
Valeur par défaut : Réussite.

Suivi détaillé

Les paramètres de stratégie de sécurité de suivi détaillés et les événements d’audit peuvent être utilisés pour surveiller les activités des applications individuelles et des utilisateurs sur cet ordinateur, et comprendre comment un ordinateur est utilisé. Cette catégorie inclut les sous-catégories suivantes :

Étendre la politique d'activité d'audit DPAPI

La stratégie d’activité Audit DPAPI détermine si le système d’exploitation génère des événements d’audit lorsque les appels de chiffrement ou de déchiffrement sont effectués dans l’interface d’application de protection des données (DPAPI).

DPAPI est utilisé pour protéger les informations secrètes telles que les mots de passe stockés et les informations de clé. Pour plus d’informations, consultez Protection des données Windows.

ID de l’événement	Message d’événement
4692	Une tentative de sauvegarde de la clé principale de protection des données a été effectuée.
4693	Une tentative de récupération de la clé principale de protection des données a été effectuée.
4694	Une tentative de protection des données protégées pouvant être auditées a été effectuée.
4695	Une tentative de déprotection des données protégées pouvant être auditées a été effectuée.

Volume d’événements : faible.

Développer la stratégie d’activité Audit PNP

La stratégie Audit de l'activité PNP s’applique lorsqu’un appareil plug-and-play (PnP) externe est détecté.

ID de l’événement	Message d’événement
6416	Un nouvel appareil est connecté ou un appareil existant est supprimé.

Volume d’événements : faible.

Développer la stratégie de création du processus d’audit

La stratégie de création du processus d’audit détermine si le système d’exploitation génère des événements d’audit lorsqu’un processus est créé ou démarre.

Ces événements d’audit peuvent vous aider à suivre l’activité de l’utilisateur et à comprendre comment un ordinateur est utilisé. Les informations incluent le nom du programme ou l’utilisateur qui a créé le processus.

ID de l’événement	Message d’événement
4688	Un processus a été créé.
4696	Un jeton principal a été affecté à un processus.

Volume d’événements : varie en fonction de l’utilisation du système.

Développer la stratégie d’arrêt du processus d’audit

La stratégie d’arrêt du processus d’audit détermine si le système d’exploitation génère des événements d’audit lorsqu’une tentative est effectuée pour mettre fin à un processus.

ID de l’événement	Message d’événement
4689	Un processus s'est arrêté.

Volume d’événements : varie en fonction de l’utilisation du système.

Développer la stratégie d’événements RPC d’audit

La stratégie d’audit des événements RPC détermine si le système d’exploitation génère des événements d’audit lors de connexions RPC entrantes.

RPC est une technologie permettant de créer des programmes client/serveur distribués. RPC est une technique de communication interprocesseur qui permet aux logiciels client et serveur de communiquer. Pour en savoir plus, consultez l’appel de procédure distante (RPC).

ID de l’événement	Message d’événement
5712	Une tentative de RPC a été effectuée.

Volume d’événements : élevé sur les serveurs RPC.
Valeur par défaut : Aucun audit.

Étendre la politique d'ajustement du droit de jeton d'audit

La stratégie Audit Token Right Adjustment audite les événements générés en ajustant les privilèges d’un jeton.

ID de l’événement	Message d’événement
4703	Un droit d’utilisateur a été ajusté.

Volume d’événements : élevé.
Valeur par défaut : Aucun audit.

Accès DS

Les paramètres de stratégie d’audit de sécurité d’accès DS fournissent une piste d’audit détaillée des tentatives d’accès et de modification d’objets dans Active Directory Domain Services (AD DS). Ces événements d’audit sont enregistrés uniquement sur les contrôleurs de domaine. Cette catégorie inclut les sous-catégories suivantes :

Développer la stratégie de réplication du service d’annuaire détaillé d’audit

La stratégie de réplication du service d’annuaire détaillé d’audit détermine si le système d’exploitation génère des événements d’audit qui contiennent des informations de suivi détaillées sur les données répliquées entre les contrôleurs de domaine. Cette sous-catégorie d’audit peut être utile pour diagnostiquer les problèmes de réplication.

ID de l’événement	Message d’événement
4928	Un contexte de nommage source de réplica Active Directory a été établi.
4929	Un contexte de nommage source de réplica Active Directory a été supprimé.
4930	Un contexte de nommage source de réplica Active Directory a été modifié.
4931	Un contexte de nommage de destination de réplica Active Directory a été modifié.
4934	Les attributs d’un objet Active Directory ont été répliqués.
4935	L’échec de la réplication commence.
4936	L’échec de la réplication termine.
4937	Un objet en attente a été supprimé d’un réplica.

Volume d’événements : élevé.
Valeur par défaut : Aucun audit.

Étendre la politique d'accès au service d'annuaire d'audit

La stratégie Audit Directory Service Access détermine si le système d’exploitation génère des événements d’audit lorsqu’un objet AD DS (Active Directory Domain Services) est accessible. Ces événements sont similaires aux événements d’accès au service d’annuaire dans les versions précédentes des systèmes d’exploitation Windows Server.

Note

Les événements d’audit sont générés uniquement sur les objets avec des listes SACL configurées et uniquement lorsqu’ils sont accessibles de manière à correspondre aux paramètres SACL.

ID de l’événement	Message d’événement
4662	Une opération a été effectuée sur un objet.

Volume d’événements : élevé sur les contrôleurs de domaine. Aucun sur les ordinateurs clients.
Valeur par défaut sur les éditions du client : Aucun audit.
Valeur par défaut sur les éditions du serveur : Réussite.

Étendre la stratégie de modifications de services d'annuaire d'audit

La stratégie Audit Directory Service Changes détermine si le système d’exploitation génère des événements d’audit lorsque des modifications sont apportées aux objets dans AD DS. Cette stratégie, le cas échéant, indique les anciennes et nouvelles valeurs des propriétés modifiées des objets qui ont été modifiés. Les types de modifications signalées sont les suivants :

Create
Delete
Modify
Move
Undelete

Note

Les événements d’audit sont générés uniquement pour les objets avec des listes SACL configurées, et uniquement lorsqu’ils sont accessibles de manière à ce qu’ils correspondent à leurs paramètres SACL. Certains objets et propriétés ne provoquent pas la génération d’événements d’audit en raison des paramètres de la classe d’objet dans le schéma.

Cette sous-catégorie journalise uniquement les événements sur les contrôleurs de domaine. Les modifications apportées aux objets Active Directory sont des événements importants à suivre pour comprendre l’état de la stratégie réseau.

ID de l’événement	Message d’événement
5136	Un objet du service d’annuaire a été déplacé.
5137	Un objet du service d’annuaire a été créé.
5138	La suppression d’un objet du service d’annuaire a été annulée.
5139	Un objet du service d’annuaire a été déplacé.
5141	Un objet du service d’annuaire a été supprimé.

Volume d’événements : élevé sur les contrôleurs de domaine uniquement.
Valeur par défaut : Aucun audit.

Développer la stratégie de réplication du service d’annuaire d’audit

La stratégie de réplication du service d’audit d’annuaire détermine si le système d’exploitation génère des événements d’audit lorsque la réplication entre deux contrôleurs de domaine commence et se termine. Les événements de cette sous-catégorie sont enregistrés uniquement sur les contrôleurs de domaine.

ID de l’événement	Message d’événement
4932	La synchronisation d’un réplica d’un contexte de nommage Active Directory a commencé.
4933	La synchronisation d’un réplica d’un contexte de nommage Active Directory s’est terminée.

Volume d’événements : moyen sur les contrôleurs de domaine. Aucun sur les ordinateurs clients.
Valeur par défaut : Aucun audit.

Logon/Logoff

Les paramètres de stratégie de sécurité d’ouverture de session/déconnexion et les événements d’audit vous permettent de suivre les tentatives de connexion à un ordinateur de manière interactive ou sur un réseau. Ces événements sont utiles pour le suivi de l’activité des utilisateurs et l’identification des attaques potentielles sur les ressources réseau. Cette catégorie inclut les sous-catégories suivantes :

Développer la stratégie de verrouillage du compte d’audit

La stratégie de verrouillage du compte d’audit vous permet d’auditer les événements de sécurité générés par une tentative d’échec de connexion à un compte verrouillé. Si vous configurez ce paramètre de stratégie, un événement d’audit est généré lorsqu’un compte ne peut pas se connecter à un ordinateur, car le compte est verrouillé. Les audits de réussite enregistrent les tentatives réussies et les audits d’échec enregistrent les tentatives infructueuses.

Les événements de verrouillage de compte sont essentiels pour comprendre l’activité de l’utilisateur et détecter les attaques potentielles.

ID de l’événement	Message d’événement
4625	Échec de connexion d’un compte.

Volume d’événements : faible.
Paramètre par défaut : Réussite.

Étendre les utilisateurs d’audit et les déclarations d’appareil

La stratégie Audit User / Device Claims vous permet d’auditer les informations sur les revendications des utilisateurs et des appareils dans le jeton d’ouverture de session du compte. Les événements de cette sous-catégorie sont générés sur l’ordinateur sur lequel une session d’ouverture de session est créée. Pour une ouverture de session interactive, l’événement d’audit de sécurité est généré sur l’ordinateur sur lequel l’utilisateur s’est connecté. Vous devez activer la sous-catégorie Audit Logon pour obtenir les événements de cette sous-catégorie.

Pour une ouverture de session réseau, comme l’accès à un dossier partagé sur le réseau, l’événement d’audit de sécurité est généré sur l’ordinateur hébergeant la ressource.

ID de l’événement	Message d’événement
4626	Données sur les réclamations utilisateur/appareil.

Volume d’événements : faible sur un ordinateur client. Moyen sur un contrôleur de domaine ou un serveur réseau
Valeur par défaut : Aucun audit.

Étendre la politique d'adhésion au groupe d'audit

La stratégie Audit Group Membership vous permet d’auditer les informations d’appartenance au groupe dans le jeton d’ouverture de session de l’utilisateur. Les événements de cette sous-catégorie sont générés sur l’ordinateur sur lequel une session d’ouverture de session est créée. Vous devez également activer la sous-catégorie Auditer l’ouverture de session.

Pour une ouverture de session interactive, l’événement d’audit de sécurité est généré sur l’ordinateur sur lequel l’utilisateur s’est connecté. Pour une ouverture de session réseau, comme l’accès à un dossier partagé sur le réseau, l’événement d’audit de sécurité est généré sur l’ordinateur hébergeant la ressource.

ID de l’événement	Message d’événement
4627	Informations d’appartenance au groupe.

Volume d’événements : faible sur un ordinateur client. Moyen sur un contrôleur de domaine ou un serveur réseau.
Valeur par défaut : Aucun audit.

Développer la stratégie Audit IPsec en mode étendu

La stratégie audit IPsec en mode étendu détermine si le système d’exploitation génère des événements d’audit pour les résultats du protocole IKE (Internet Key Exchange) et du protocole Internet authentifié (AuthIP) pendant les négociations en mode étendu.

IKE est une norme Internet, définie dans RFC 2409, qui définit un mécanisme permettant d’établir des associations de sécurité IPsec. Une association de sécurité est une combinaison d’une stratégie mutuellement acceptable et de clés qui définissent les services de sécurité et les mécanismes qui aident à protéger la communication entre les homologues IPsec.

AuthIP est une version améliorée d’IKE qui offre une flexibilité supplémentaire, notamment la prise en charge de l’authentification et de l’authentification basées sur l’utilisateur avec plusieurs informations d’identification. Il fournit également une meilleure négociation de méthode d’authentification et prend en charge l’authentification asymétrique. Comme IKE, AuthIP prend en charge le mode principal et la négociation en mode rapide. AuthIP prend également en charge le Mode étendu, une partie de la négociation d’homologue IPsec pendant laquelle une deuxième phase d’authentification peut être réalisée. Le mode étendu, facultatif, peut être utilisé pour plusieurs authentifications. Par exemple, avec le mode étendu, vous pouvez effectuer des authentifications distinctes basées sur un ordinateur et basées sur l’utilisateur.

ID de l’événement	Message d’événement
4978	Pendant la négociation en mode étendu, IPsec a reçu un paquet de négociation non valide. Si ce problème persiste, cela peut indiquer un problème de réseau ou une tentative de modification ou de relecture de cette négociation.
4979	Des associations de sécurité en mode principal et en mode étendu IPsec ont été établies. Cet événement fournit des données d’événement dans les catégories suivantes : point de terminaison local en mode principal, point de terminaison distant en mode principal, informations de chiffrement en mode principal, association de sécurité en mode principal, informations supplémentaires en mode principal et informations en mode étendu.
4980	Des associations de sécurité en mode principal et en mode étendu IPsec ont été établies. Cet événement fournit des données d'audit dans les catégories suivantes : mode principal - point de terminaison local, mode principal - point de terminaison distant. Informations cryptographiques en mode principal, association de sécurité en mode principal, informations supplémentaires en mode principal, point de terminaison local en mode étendu, point de terminaison distant en mode étendu et informations supplémentaires en mode étendu.
4981	Des associations de sécurité en mode principal et en mode étendu IPsec ont été établies. Cet événement fournit des données d’audit d’événements dans les catégories suivantes : point de terminaison local, certificat local, point de terminaison distant, certificat distant, informations de chiffrement, informations d’association de sécurité, informations supplémentaires et informations en mode étendu.
4982	Des associations de sécurité en mode principal et en mode étendu IPsec ont été établies. Cet événement fournit des données d’audit d’événements dans les catégories suivantes : point de terminaison local, certificat local, point de terminaison distant, certificat distant, informations de chiffrement, informations d’association de sécurité, informations supplémentaires, point de terminaison local en mode étendu, point de terminaison distant en mode étendu et informations supplémentaires en mode étendu.
4983	Échec d'une négociation en mode étendu IPsec. L'association de sécurité en mode principal correspondante a été supprimée. Cet événement fournit des données d’audit d’événement dans les catégories suivantes : point de terminaison local, certificat local, point de terminaison distant, certificat distant et informations d’échec.
4984	Échec d'une négociation en mode étendu IPsec. L'association de sécurité en mode principal correspondante a été supprimée. Cet événement fournit des données d’audit d’événement dans les catégories suivantes : point de terminaison local, point de terminaison distant, informations supplémentaires et informations d’échec.

Volume d’événements : élevé.
Valeur par défaut : Aucun audit.

Développer la stratégie d’audit IPsec en mode principal

La stratégie Audit IPsec Main Mode détermine si le système d’exploitation génère des événements d’audit pour les résultats du protocole IKE et de l’authentificationIP pendant les négociations en mode rapide. Comme IKE, AuthIP prend en charge le mode principal et la négociation en mode rapide.

La négociation IKE en mode principal établit un canal sécurisé, connu sous le nom d'association de sécurité ISAKMP (Internet Security Association and Key Management Protocol), entre deux ordinateurs. Pour établir le canal sécurisé, la négociation en mode principal détermine un ensemble de suites de protection de chiffrement, échange des documents de clé pour établir la clé secrète partagée et authentifie les identités d’ordinateur.

ID de l’événement	Message d’événement
4646	ID de sécurité : %1.
4650	Une association de sécurité en mode principal IPsec a été établie. Le mode étendu n’a pas été activé. L’authentification par certificat n’a pas été utilisée.
4651	Une association de sécurité en mode principal IPsec a été établie. Le mode étendu n’a pas été activé. Un certificat a été utilisé pour l’authentification.
4652	Échec d'une négociation en mode principal IPsec. Cet événement d’audit retourne des données d’audit détaillées dans les catégories suivantes : point de terminaison local, certificat local, point de terminaison distant, certificat distant, informations supplémentaires et informations d’échec.
4653	Échec d'une négociation en mode principal IPsec. Cet événement d’audit retourne des données d’audit détaillées dans les catégories suivantes : point de terminaison local, point de terminaison distant, informations supplémentaires et informations d’échec.
4655	Une association de sécurité en mode principal IPsec s’est terminée.
4976	Pendant la négociation en mode principal, IPsec a reçu un paquet de négociation non valide. Si ce problème persiste, cela peut indiquer un problème de réseau ou une tentative de modification ou de relecture de cette négociation.
5049	Une association de sécurité IPsec a été supprimée.
5453	Une négociation IPsec avec un ordinateur distant a échoué, car le service des modules de génération de clés IKE et AuthIP (IKEEXT) n’est pas démarré.

Volume d’événements : élevé.
Valeur par défaut : Aucun audit.

Étendre la stratégie d'audit IPsec en mode rapide

La stratégie Audit IPsec En mode rapide détermine si le système d’exploitation génère des événements d’audit pour les résultats du protocole IKE et de l’authentificationIP pendant les négociations en mode rapide. Comme IKE, AuthIP prend en charge le mode principal et la négociation en mode rapide.

La négociation IKE en mode rapide (également appelée phase 2) établit un canal sécurisé entre deux ordinateurs pour protéger les données. Le mode rapide crée des associations de sécurité IPsec, qui sont des accords entre ordinateurs sur la façon de protéger le trafic réseau. Ces associations sont négociées par le service IPsec.

Pendant le mode rapide, le matériel de clé est actualisé ou, si nécessaire, de nouvelles clés sont générées. Une suite de protection qui protège le trafic IP spécifié est également sélectionnée. Une suite de protection est un ensemble défini de paramètres d’intégrité des données ou de chiffrement des données. Le mode rapide n’est pas considéré comme un échange complet, car il dépend d’un échange en mode principal.

ID de l’événement	Message d’événement
4977	Pendant la négociation en mode rapide, IPsec a reçu un paquet de négociation non valide. Si ce problème persiste, cela peut indiquer un problème de réseau ou une tentative de modification ou de relecture de cette négociation.
5451	Une association de sécurité en mode rapide IPsec a été établie.
5452	Une association de sécurité en mode rapide IPsec s’est terminée.

Volume d’événements : élevé.
Valeur par défaut : Aucun audit.

Étendre la stratégie de déconnexion d’audit

La stratégie de déconnexion d’audit détermine si le système d’exploitation génère des événements d’audit lorsque les sessions d’ouverture de session sont arrêtées. Ces événements se produisent sur l’ordinateur auquel l’accès a été effectué. Lorsqu’une ouverture de session interactive se produit, ces événements sont générés sur l’ordinateur connecté.

Note

Il n’existe aucun événement d’échec dans cette sous-catégorie, car les déconnexions ayant échoué (par exemple, lorsqu’un système s’arrête brusquement) ne génèrent pas d’enregistrement d’audit.

Les événements d’ouverture de session sont essentiels pour comprendre l’activité de l’utilisateur et détecter les attaques potentielles. Les événements de déconnexion ne sont pas 100 % fiables. Par exemple, l’ordinateur peut être désactivé sans déconnexion et arrêt appropriés ; dans ce cas, un événement de déconnexion n’est pas généré.

ID de l’événement	Message d’événement
4634	Fermeture de session d’un compte.
4647	Déconnexion initiée par l’utilisateur.

Volume d’événements : faible.
Valeur par défaut : Réussite.

Développer la stratégie d’ouverture de session d’audit

La stratégie d’ouverture de session d’audit détermine si le système d’exploitation génère des événements d’audit lorsqu’un utilisateur tente de se connecter à un ordinateur.

Ces événements sont liés à la création de sessions de connexion et se produisent sur l’ordinateur accessible. Pour une ouverture de session interactive, les événements sont générés sur l’ordinateur connecté. Pour une ouverture de session réseau, telle que l’accès à un partage, les événements sont générés sur l’ordinateur qui héberge la ressource accessible. Les événements d’ouverture de session sont essentiels pour suivre l’activité des utilisateurs et détecter les attaques potentielles. Les événements suivants sont enregistrés :

Échec et réussite de l’ouverture de session.
Tentatives d’ouverture de session à l’aide d’informations d’identification explicites. Cet événement est généré lorsqu’un processus tente de se connecter à un compte en spécifiant explicitement les informations d’identification de ce compte. Cela se produit le plus souvent dans les configurations de traitement par lots, telles que les tâches planifiées ou lors de l’utilisation de la runas commande.

ID de l’événement	Message d’événement
4624	L’ouverture de session d’un compte s’est correctement déroulée.
4625	Échec de connexion d’un compte.
4648	Une connexion a été tentée à l’aide d’informations d’identification explicites.
4675	Les SID ont été filtrés.

Volume d’événements : faible sur un ordinateur client. Moyen sur un contrôleur de domaine ou un serveur réseau.
Valeur par défaut : Réussite pour les ordinateurs clients. Réussite et échec pour les serveurs.

Étendre la stratégie du serveur de politiques réseau

La stratégie Audit Network Policy Server détermine si le système d’exploitation génère des événements d’audit pour l’activité RADIUS (IAS) et nap (Network Access Protection) sur les demandes d’accès utilisateur. Ces demandes sont les suivantes :

Grant
Deny
Discard
Quarantine
Lock
Unlock

Les événements NAP peuvent être utilisés pour mieux comprendre l’intégrité globale du réseau.

ID de l’événement	Message d’événement
6272	Le serveur NPS (Network Policy Server) a accordé l’accès à un utilisateur.
6273	Le serveur de stratégie réseau a refusé l’accès à un utilisateur.
6274	Le serveur NPS (Network Policy Server) a ignoré la requête d’un utilisateur.
6275	Le serveur NPS (Network Policy Server) a ignoré la requête de gestion des comptes d’un utilisateur.
6276	Le serveur NPS (Network Policy Server) a mis en quarantaine un utilisateur.
6277	Le serveur de stratégie réseau a accordé l’accès à un utilisateur, mais l’a mis en probation, car l’hôte ne répondait pas à la stratégie de santé définie.
6278	Le serveur NPS (Network Policy Server) a accordé un accès complet à un utilisateur, car l’hôte répondait à la stratégie de contrôle d'intégrité définie.
6279	Le serveur NPS (Network Policy Server) a verrouillé le compte d’utilisateur en raison d’échecs répétés de tentatives d’authentification.
6280	Le serveur NPS (Network Policy Server) a déverrouillé le compte d’utilisateur.

Volume d’événements : moyen ou élevé sur les serveurs NPS et IAS. Modérer sur d’autres serveurs ou sur des ordinateurs clients.
Valeur par défaut : Réussite et échec.

Étendre la stratégie d'audit des autres événements de connexion/déconnexion

La stratégie Audit Other Logon/Logoff Events détermine si Windows génère des événements d’audit pour d’autres événements d’ouverture de session ou de déconnexion. Ces autres événements d’ouverture de session ou de déconnexion sont les suivants :

Une session de Bureau à distance se connecte ou se déconnecte.
Une station de travail est verrouillée ou déverrouillée.
Un économiseur d’écran est activé ou désactivé.
Une attaque de relecture est détectée. Cet événement indique qu’une demande Kerberos a été reçue deux fois avec des informations identiques. Une configuration incorrecte du réseau peut également entraîner cette erreur.
Un utilisateur est autorisé à accéder à un réseau sans fil. Il peut s’agir d’un compte d’utilisateur ou d’un compte d’ordinateur.
Un utilisateur est autorisé à accéder à un réseau câblé 802.1x. Il peut s’agir d’un compte d’utilisateur ou d’un compte d’ordinateur.

ID de l’événement	Message d’événement
4649	Détection d’une attaque par relecture.
4778	Une session a été reconnectée à une station Windows.
4779	Une session a été déconnectée d’une station Windows.
4800	La station de travail a été déverrouillée.
4801	La station de travail a été déverrouillée.
4802	L’économiseur d’écran a été appelé.
4803	L’économiseur d’écran a été masqué.
5378	La délégation des informations d’identification demandée n’a pas été autorisée par la stratégie.
5632	Une requête a été effectuée pour s’authentifier auprès d’un réseau sans fil.
5633	Une requête a été effectuée pour s’authentifier auprès d’un réseau filaire.

Volume d’événements : faible.
Valeur par défaut : Aucun audit.

Développer la stratégie d’ouverture de session spéciale d’audit

La stratégie Audit de Connexion Spéciale détermine si le système d’exploitation génère des événements d’audit dans des circonstances de connexion spéciale (ou d'authentification). Ce paramètre de stratégie de sécurité détermine si le système d’exploitation génère des événements d’audit quand :

Une ouverture de session spéciale est utilisée. Une ouverture de session spéciale est une ouverture de session dotée de privilèges équivalents à un administrateur et pouvant être utilisée pour élever un processus à un niveau supérieur.
Un membre d’un groupe spécial se connecte. Les groupes spéciaux sont une fonctionnalité Windows qui permet à l’administrateur de savoir quand un membre d’un certain groupe s’est connecté. L’administrateur peut définir une liste d’identificateurs de sécurité de groupe (SID) dans le Registre. Si l’un de ces SID est ajouté à un jeton pendant l’ouverture de session et que cette sous-catégorie d’audit est activée, un événement de sécurité est journalisé.

Les utilisateurs qui détiennent des privilèges spéciaux peuvent éventuellement apporter des modifications au système. Nous vous recommandons de suivre leur activité.

ID de l’événement	Message d’événement
4964	Des groupes spéciaux ont été attribués à une nouvelle session.

Volume d’événements : Faible
Valeur par défaut : Réussite

Accès aux objets

Les paramètres de stratégie d’accès aux objets et les événements d’audit vous permettent de suivre les tentatives d’accès à des objets ou types d’objets spécifiques sur un réseau ou un ordinateur. Pour auditer les tentatives d’accès à un fichier, à un répertoire, à une clé de Registre ou à tout autre objet, vous devez activer la sous-catégorie d’audit d’accès aux objets appropriée pour les événements de réussite et/ou d’échec. Par exemple, la sous-catégorie système de fichiers doit être activée pour auditer les opérations de fichier, et la sous-catégorie registre doit être activée pour auditer les accès au Registre. Cette catégorie inclut les sous-catégories suivantes :

Développer la stratégie générée par l’application d’audit

La politique de génération d'application audit détermine si le système d'exploitation génère des événements d'audit lorsque les applications tentent d'utiliser les API d'audit de Windows.

Les événements suivants peuvent générer une activité d’audit :

Création, suppression ou initialisation d’un contexte client d’application
Opérations d’application

Les applications conçues pour utiliser les API d’audit Windows peuvent utiliser cette sous-catégorie pour journaliser les événements d’audit liés à ces API. Le niveau, le volume, la pertinence et l’importance de ces événements d’audit dépendent de l’application qui les génère. Le système d’exploitation enregistre les événements au fur et à mesure qu’ils sont générés par l’application.

ID de l’événement	Message d’événement
4665	Une tentative de création d’un contexte client d’application a été effectuée.
4666	Une application a tenté une opération.
4667	Un contexte client d’application a été supprimé.
4668	Une application a été initialisée.

Volume d’événements : varie en fonction de l’utilisation de l’application installée de l’audit Windows

Développer la stratégie Audit Certification Services

La stratégie Audit Certification Services détermine si le système d’exploitation génère des événements lorsque les opérations ad CS (Active Directory Certificate Services) sont effectuées. La surveillance de ces événements opérationnels est importante pour s’assurer que les services de rôle AD CS fonctionnent correctement. Voici quelques exemples d’opérations AD CS :

AD CS démarre, s'arrête, est sauvegardé ou restauré.
Les tâches associées à la liste de révocation de certificats (CRL) sont effectuées.
Les certificats sont demandés, émis ou révoqués.
Les paramètres du gestionnaire de certificats pour AD CS sont modifiés.
La configuration et les propriétés de l’autorité de certification (CA) sont modifiées.
Les modèles AD CS sont modifiés.
Les certificats sont importés.
Un certificat d'autorité de certification est publié dans Active Directory Domain Services.
Les autorisations de sécurité pour les services de rôle AD CS sont modifiées.
Les clés sont archivées, importées ou récupérées.
Le service répondeur OCSP est soit démarré, soit arrêté.

ID de l’événement	Message d’événement
4868	Le gestionnaire de certificats a refusé une requête de certificat en cours.
4869	Les services de certificats ont reçu une requête de certificat soumise à nouveau.
4870	Les services de certificats ont révoqué un certificat.
4871	Les services de certificats ont reçu une requête pour publier la liste de révocation des certificats (CRL).
4872	Les services de certificats ont publié la liste de révocation des certificats (CRL).
4873	Une extension de requête de certificats a changé.
4874	Un ou plusieurs attributs de requête de certificats ont changé.
4875	Les services de certificats ont reçu une requête d’arrêt.
4876	La sauvegarde des services de certificats a démarré.
4877	La sauvegarde des services de certificats est terminée.
4878	La restauration des services de certificats a démarré.
4879	La restauration des services de certificats est terminée.
4880	Les services de certificats ont démarré.
4881	Les services de certificats se sont arrêtés.
4882	Les autorisations de sécurité des services de certificats ont changé.
4883	Les services de certificats ont récupéré une clé archivée.
4884	Les services de certificats ont importé un certificat dans sa base de données.
4885	Le filtre d’audit des services de certificats a changé.
4886	Les services de certificats ont reçu une requête de certificat.
4887	Les services de certificats ont approuvé une requête de certificat et émis un certificat.
4888	Les services de certificats ont refusé une requête de certificat.
4889	Les services de certificats ont défini le statut d’une requête de certificat comme étant en attente.
4890	Les paramètres du gestionnaire de certificats des services de certificats ont changé.
4891	Une entrée de configuration a changé dans les services de certificats.
4892	La propriété des services de certificats a changé.
4893	Les services de certificats ont archivé une clé.
4894	Les services de certificats ont importé et archivé une clé.
4895	Les services de certificats ont publié un certificat d’autorité de certification dans Active Directory Domain Services.
4896	Une ou plusieurs rangées ont été supprimées de la base de données de certificats.
4897	Séparation des rôles activée.
4898	Les services de certificats ont chargé une modèle.

Volume d’événements : moyen ou faible sur les serveurs qui hébergent les services AD CS

Étendre la stratégie de partage de fichiers d'audit détaillée

La stratégie audit détaillé de partage de fichiers vous permet d’auditer les tentatives d’accès aux fichiers et dossiers sur un dossier partagé. Le paramètre De partage de fichiers détaillé enregistre un événement chaque fois qu’un fichier ou un dossier est accessible, tandis que le paramètre Partage de fichiers enregistre un seul événement pour toute connexion établie entre un ordinateur client et un partage de fichiers. Les événements d’audit de partage de fichiers détaillés incluent des informations détaillées sur les autorisations ou d’autres critères utilisés pour accorder ou refuser l’accès.

Note

Les dossiers partagés n'ont pas de listes de contrôle d'accès système (SACL). Lorsque vous activez ce paramètre de stratégie, tous les accès aux fichiers et dossiers partagés sur le système sont audités.

ID de l’événement	Message d’événement
5145	Un objet de partage réseau a été vérifié pour voir si le client peut bénéficier de l’accès souhaité.

Volume d’événements : élevé sur un serveur de fichiers ou un contrôleur de domaine en raison de l’accès réseau SYSVOL requis par la stratégie de groupe

Étendre la stratégie de partage des fichiers d'audit

La stratégie Audit File Share détermine si le système d’exploitation génère des événements d’audit lorsqu’un partage de fichiers est accédé. Les événements d’audit ne sont pas générés lorsque des partages sont créés, supprimés ou lorsque les autorisations de partage changent. Combiné à l’audit du système de fichiers, l’audit de partage de fichiers vous permet de suivre le contenu auquel le contenu a été accédé, la source (adresse IP et port) de la requête et le compte d’utilisateur utilisé pour l’accès.

Note

Il n’y a pas de SACL pour les partages ; par conséquent, une fois ce paramètre activé, l’accès à tous les partages sur le système sera audité.

ID de l’événement	Message d’événement
5140	Un objet du partage réseau a fait l’objet d’un accès. Cet événement est enregistré sur des ordinateurs exécutant Windows Server 2008 R2, Windows Server 2008, Windows 7 ou Windows Vista.
5142	Un objet de partage réseau a été ajouté.
5143	Un objet de partage réseau a été modifié.
5144	Un objet de partage réseau a été supprimé.
5168	Échec de la vérification SPN pour SMB/SMB2.

Volume d’événements : élevé sur un serveur de fichiers ou un contrôleur de domaine en raison de l’accès réseau SYSVOL requis par la stratégie de groupe.

Développer la stratégie de système de fichiers d’audit

La stratégie de système de fichiers d’audit détermine si le système d’exploitation génère des événements d’audit lorsque les utilisateurs tentent d’accéder aux objets du système de fichiers. Les événements d’audit sont générés uniquement pour les objets qui ont des SACLs configurées, et uniquement si le type d’accès demandé (par exemple, écriture, lecture ou modification) et le compte font correspondre les paramètres dans le SACL.

Si l’audit de réussite est activé, une entrée d’audit est générée chaque fois que tout compte accède avec succès à un objet de système de fichiers disposant d’un SACL correspondant. Si l’audit d’échec est activé, une entrée d’audit est générée chaque fois qu'un utilisateur tente sans succès d’accéder à un objet du système de fichiers ayant un SACL correspondant. Ces événements sont essentiels pour le suivi de l’activité des objets de fichiers sensibles ou précieux et nécessitent une surveillance supplémentaire.

ID de l’événement	Message d’événement
4664	Une tentative de création d’une liaison fixe a été effectuée.
4985	L’état d’une transaction a changé.
5051	Un fichier a été virtualisé.

Volume d’événements : varie en fonction de la configuration des sacLs du système de fichiers.

Étendre la politique de connexion de la plateforme de filtrage d'audit

La stratégie de connexion de la plateforme de filtrage d’audit détermine si le système d’exploitation génère des événements d’audit lorsque les connexions sont autorisées ou bloquées par la plateforme de filtrage Windows. La plateforme de filtrage Windows (PAM) a été introduite dans Windows Server 2008 et Windows Vista. Il permet aux éditeurs de logiciels indépendants (ISV) de filtrer et de modifier les paquets TCP/IP, de surveiller ou d’autoriser les connexions, de filtrer le trafic protégé par IPsec (Internet Protocol Security) et de filtrer les RPC. Cette stratégie de sécurité vous permet d’auditer les types d’actions suivants :

Le service pare-feu Windows empêche une application d’accepter des connexions entrantes sur le réseau.
La plateforme de filtrage Windows autorise ou bloque une connexion.
La plateforme de filtrage Windows autorise ou bloque une liaison à un port local.
La plateforme de filtrage Windows autorise ou bloque l’écoute d’une application ou d’un service pour les connexions entrantes sur un port.

ID de l’événement	Message d’événement
5031	Le service Pare-feu Windows a empêché une application d’accepter des connexions entrantes sur le réseau.
5140	Un objet du partage réseau a fait l’objet d’un accès. Cet événement est enregistré uniquement sur les ordinateurs exécutant les versions du système d’exploitation Windows prises en charge, comme indiqué dans la liste des 'S'applique à'.
5150	La plateforme de filtrage Windows a bloqué un paquet.
5151	Un filtre plus restrictif de la plateforme de filtrage Windows a bloqué un paquet.
5154	La plateforme de filtrage Windows a permis à une application ou à un service d’être à l’écoute de connexions entrantes sur un port.
5155	La plateforme de filtrage Windows a empêché une application ou un service d’être à l’écoute de connexions entrantes sur un port.
5156	La plateforme de filtrage Windows a autorisé une connexion.
5157	La plateforme de filtrage Windows a bloqué une connexion.
5158	La plateforme de filtrage Windows a autorisé une liaison à un port local.
5159	La plateforme de filtrage Windows a bloqué une liaison à un port local.

Volume d’événements : élevé.

Développer la stratégie de suppression de paquets de la plateforme de filtrage d’audit

La stratégie de suppression de paquets de la plateforme de filtrage d’audit détermine si le système d’exploitation génère des événements d’audit lorsque les paquets sont supprimés par la plateforme de filtrage Windows. La plateforme de filtrage Windows (PAM) a été introduite dans Windows Server 2008 et Windows Vista. LE PAM permet aux éditeurs de logiciels indépendants (ISV) de filtrer et de modifier les paquets TCP/IP, de surveiller ou d’autoriser les connexions, de filtrer le trafic protégé par IPsec (Internet Protocol Security) et de filtrer les RPC. Un taux élevé de paquets supprimés peut indiquer qu’il y a eu des tentatives d’accès non autorisé aux ordinateurs sur votre réseau.

ID de l’événement	Message d’événement
5152	La plateforme de filtrage Windows a bloqué un paquet.
5153	Un filtre plus restrictif de la plateforme de filtrage Windows a bloqué un paquet.

Volume d’événements : élevé.

Étendre la stratégie de gestion du contrôle d’audit

La stratégie d’audit Audit Handle Manipulation détermine si le système d'exploitation génère des événements d’audit lorsque qu'un handle vers un objet est ouvert ou fermé. Seuls les objets dotés de SACL configurés génèrent ces événements, et uniquement si l'opération de gestion tentée correspond à la SACL.

Note

Les événements de manipulation de handle sont générés uniquement pour les types d’objets dans lesquels la sous-catégorie d’accès aux objets du système de fichiers ou du Registre correspondante est activée. Reportez-vous aux stratégies de système de fichiers d’audit ou de Registre d’audit .

ID de l’événement	Message d’événement
4656	Un descripteur d’objet a été demandé.
4658	Un descripteur d’objet a été fermé.
4690	Un descripteur d’objet a fait l’objet d’une tentative de duplication.

Volume d’événements : varie selon la façon dont les LISTES SACL sont configurées.

Développer la stratégie d’objet noyau d’audit

La stratégie Audit Kernel Object détermine si le système d’exploitation génère des événements d’audit lorsque les utilisateurs tentent d’accéder au noyau système, qui inclut des mutex et des sémaphores. Seuls les objets noyau avec une saCL correspondante génèrent des événements d’audit de sécurité. Les audits générés sont utiles uniquement aux développeurs. En règle générale, les objets noyau reçoivent des listes SACL uniquement si les options d’audit AuditBaseObjects ou AuditBaseDirectories sont activées.

Note

Audit : Auditer l'accès aux objets système globaux contrôle la SACL par défaut des objets noyau.

ID de l’événement	Message d’événement
4659	Un descripteur d’objet a été demandé avec l’intention de supprimer.
4660	Un objet a été supprimé.
4661	Un descripteur d’objet a été demandé.
4663	Une tentative d’accès à un objet a été effectuée.

Volume d’événements : élevé si l’audit de l’accès aux objets système globaux est activé.

Développer la stratégie d’audit d’autres événements d’accès aux objets

La stratégie Audit Other Object Access Events détermine si le système d’exploitation génère des événements d’audit pour la gestion des travaux du Planificateur de tâches ou des objets COM+.

Pour les travaux du planificateur, les actions suivantes sont auditées :

Un travail est créé, supprimé, activé, désactivé ou mis à jour.

Pour les objets COM+, les actions suivantes sont auditées :

Un objet catalogue est ajouté, supprimé ou mis à jour.

ID de l’événement	Message d’événement
4671	Une application a tenté d’accéder à un ordinal bloqué via le service TBS.
4691	L’accès indirect à un objet a été demandé.
4698	Une tâche planifiée a été créée.
4699	Une tâche planifiée a été supprimée.
4700	Une tâche planifiée a été activée.
4701	Une tâche planifiée a été désactivée.
4702	Une tâche planifiée a été mise à jour.
5148	La plateforme de filtrage Windows a détecté une attaque DoS et entré en mode défensif ; les paquets associés à cette attaque seront ignorés. Cet événement est enregistré uniquement sur les ordinateurs exécutant les versions prises en charge du système d’exploitation Windows.
5149	L’attaque DoS a été interrompue et le traitement normal est en cours de reprise. Cet événement est enregistré uniquement sur les ordinateurs exécutant les versions prises en charge du système d’exploitation Windows.
5888	Un objet dans le catalogue COM+ a été modifié.
5889	Un objet a été supprimé du catalogue COM+.
5890	Un objet a été ajouté au catalogue COM+.

Volume d’événements : faible.

Étendre la politique de registre d’audit

La stratégie De Registre d’audit détermine si le système d’exploitation génère des événements d’audit lorsque les utilisateurs tentent d’accéder aux objets de Registre. Les événements d’audit sont générés uniquement pour les objets qui ont des listes de contrôle d'accès système (SACL) spécifiées, et seulement si le type d’accès demandé (par exemple, écriture, lecture ou modification) et le compte faisant la demande correspondent aux paramètres dans le SACL.

Si l’audit de réussite est activé, une entrée d’audit est générée chaque fois que n’importe quel compte accède correctement à un objet de Registre disposant d’une liste de contrôle d’accès partagé correspondante. Si l’audit d’échec est activé, une entrée d’audit est générée chaque fois qu'un utilisateur tente sans succès d’accéder à un objet du registre disposant d’un SACL correspondant.

ID de l’événement	Message d’événement
4657	Une valeur de registre a été modifiée.
5039	Une clé de registre a été virtualisée.

Volume d’événements : varie selon la configuration des listes SACL de Registre.

Étendre la stratégie d'audit du stockage amovible

La stratégie audit de stockage amovible détermine si le système d’exploitation génère des événements d’audit lorsque les utilisateurs tentent d’accéder aux objets du système de fichiers sur des appareils de stockage amovibles. Les événements d’audit sont générés pour tous les types d’accès à n’importe quel objet sur le stockage amovible.

Lorsque cette stratégie est activée, un événement d’audit est journalisé chaque fois qu’un compte accède à un objet de système de fichiers sur un appareil de stockage amovible. Les audits de réussite capturent les tentatives d’accès réussies, tandis que les audits d’échec capturent les tentatives infructueuses. Si cette stratégie n’est pas configurée, aucun événement d’audit n’est généré pour l’accès aux objets de système de fichiers sur les appareils de stockage amovibles.

ID de l’événement	Message d’événement
4656	Un descripteur d’objet a été demandé.
4658	Un descripteur d’objet a été fermé.
4663	Une tentative d’accès à un objet a été effectuée.

Développer la stratégie SAM d’audit

Le SAM d’audit, qui vous permet d’auditer les événements générés par des tentatives d’accès aux objets SAM. Le SAM est une base de données présente sur des ordinateurs exécutant des systèmes d’exploitation Windows qui stocke les comptes d’utilisateur et les descripteurs de sécurité pour les utilisateurs sur l’ordinateur local. Les objets SAM sont les suivants :

SAM_ALIAS : un groupe local
SAM_GROUP : groupe qui n’est pas un groupe local
SAM_USER : un compte d’utilisateur
SAM_DOMAIN : un domaine
SAM_SERVER : un compte d’ordinateur

Si vous configurez ce paramètre de stratégie, un événement d’audit est généré lorsqu’un objet SAM est accessible. Les audits de réussite enregistrent les tentatives réussies et les audits d’échec enregistrent les tentatives infructueuses. Seule la liste de contrôle d’accès partagé pour SAM_SERVER peut être modifiée.

Les modifications apportées aux objets utilisateur et de groupe sont suivies par la catégorie d’audit Gestion des comptes. Toutefois, les comptes d’utilisateur disposant de privilèges suffisants peuvent éventuellement modifier les fichiers dans lesquels les informations de compte et de mot de passe sont stockées dans le système, en contournant les événements de gestion des comptes.

ID de l’événement	Message d’événement
4659	Un descripteur d’objet a été demandé avec l’intention de supprimer.
4660	Un objet a été supprimé.
4661	Un descripteur d’objet a été demandé.
4663	Une tentative d’accès à un objet a été effectuée.

Volume d’événements : élevé sur les contrôleurs de domaine.

Étendre la politique de mise en scène de la politique d'accès central d'audit

La stratégie de préproduction de la stratégie de sécurité centrale permet d’auditer les tentatives d’accès où les autorisations accordées ou refusées par une stratégie centrale proposée diffèrent de celles de la stratégie actuelle sur un objet. Lorsque cette stratégie est configurée, un événement d’audit est généré chaque fois qu’un utilisateur accède à un objet et que les autorisations accordées par la stratégie d’accès centrale actuelle diffèrent de celles accordées par la stratégie proposée. Les événements d’audit sont générés comme suit :

La réussite des audits (lorsqu’elle est activée) tente d’accéder aux journaux où la stratégie actuelle accorde l’accès, mais la stratégie proposée le refuserait.
Les audits d’échec ( en cas d’activation) des tentatives d’accès au journal dans les scénarios suivants :
- La stratégie actuelle n’accorde pas l’accès, mais la stratégie proposée l’accorderait.
- Un principal demande ses droits d’accès maximum autorisés, et les droits accordés par la stratégie actuelle diffèrent de ceux accordés par la stratégie proposée.

ID de l’événement	Message d’événement
4818	La stratégie d’accès central proposée n’accorde pas les mêmes autorisations d’accès que la stratégie d’accès centrale actuelle.

Volume d’événements : potentiellement élevé sur un serveur de fichiers lorsque la stratégie proposée diffère considérablement de la stratégie d’accès centrale actuelle.
Valeur par défaut : Aucun audit.

Modification de la stratégie

Les événements d’audit des modifications de stratégie vous permettent de suivre les modifications apportées aux stratégies de sécurité importantes sur un système ou un réseau local. Étant donné que les stratégies sont généralement établies par les administrateurs pour sécuriser les ressources réseau, la surveillance des modifications ou les tentatives de modification de ces stratégies peut être un aspect important de la gestion de la sécurité pour un réseau. Cette catégorie inclut les sous-catégories suivantes :

Étendre la politique de modification de la stratégie d’audit

La stratégie Audit Audit Policy Change détermine si le système d’exploitation génère des événements d’audit lorsqu’il y a des modifications apportées à la politique d’audit. Les modifications apportées à la stratégie d’audit sont des événements de sécurité critiques. Les modifications apportées à la stratégie d’audit qui sont auditées sont les suivantes :

Modification des autorisations et des paramètres d’audit sur l’objet de stratégie d’audit (à l’aide de auditpol /set /sd).
Modification de la stratégie d’audit système.
Inscription et désinscription des sources d’événements de sécurité.
Modification des paramètres d’audit par utilisateur.
Modification de la valeur de CrashOnAuditFail.
Modification de tout élément dans la liste des Groupes spéciaux.
Modification des paramètres d’audit sur un objet (par exemple, modification de la liste de contrôle d’accès partagé pour un fichier ou une clé de Registre).

Note

L’audit des modifications SACL est effectué lorsqu’un SACL d’objets a changé et que la catégorie Modification de stratégie est configurée. L’audit de la liste de contrôle d’accès discrétionnaire (DACL) et du changement de propriétaire est effectué lorsque l’audit d’accès aux objets est configuré et que la SACL de l’objet est configurée pour l’audit du changement de DACL ou du changement de propriétaire.

ID de l’événement	Message d’événement
4715	La stratégie d'audit (SACL) sur un objet a été modifiée.
4719	La stratégie d’audit du système a été modifiée.
4817	Les paramètres d’audit d’un objet ont été modifiés. Cet événement est enregistré uniquement sur les ordinateurs exécutant les versions prises en charge du système d’exploitation Windows.
4902	La table de stratégie d’audit par utilisateur a été créée.
4904	Tentative d’inscription d’une source d’événement de sécurité.
4905	Tentative de désinscription d’une source d’événement de sécurité.
4906	La valeur de CrashOnAuditFail a été modifiée.
4907	Les paramètres d’audit sur l’objet ont été modifiés.
4908	La table de connexion des groupes spéciaux a été modifiée.
4912	La stratégie d’audit par utilisateur a été modifiée.

Volume d’événements : faible.
Valeur par défaut : Réussite.

Développer la stratégie de modification de stratégie d’authentification d’audit

La stratégie de modification de la stratégie d’authentification d’audit détermine si le système d’exploitation génère des événements d’audit lorsque des modifications sont apportées à la stratégie d’authentification. Ce paramètre est utile pour le suivi des modifications apportées à l’approbation et aux privilèges au niveau du domaine et au niveau de la forêt qui sont accordés aux comptes d’utilisateur ou aux groupes. Les modifications apportées à la stratégie d’authentification sont les suivantes :

Création, modification et suppression des relations de confiance de forêt et de domaine.
Modifications apportées à la stratégie Kerberos sous Configuration ordinateur\Paramètres Windows\Paramètres de sécurité\Stratégies de compte\Stratégie Kerberos.

Note

L’événement d’audit est journalisé lorsque la stratégie est appliquée, et non lorsque les paramètres sont modifiés par l’administrateur.

Quand l’un des droits d’utilisateur suivants est accordé à un utilisateur ou un groupe :

Accédez à cet ordinateur à partir du réseau.
Autoriser l’ouverture de session localement.
Autoriser la connexion via le Bureau à distance.
Ouverture de session en tant que travail par lots.
Ouverture de session en tant que service.

Collision d’espace de noms, par exemple lorsqu’une confiance ajoutée entre en conflit avec un nom d’espace de noms existant.

ID de l’événement	Message d’événement
4713	La stratégie Kerberos a été modifiée.
4716	Les informations de domaine approuvé ont été modifiées.
4717	L’accès à la sécurité du système a été accordé à un compte.
4718	L’accès à la sécurité système a été supprimé d’un compte.
4739	La stratégie de domaine a été modifiée.
4864	Une collision d’espace de noms a été détectée.
4865	Une entrée d’informations de forêt approuvée a été ajoutée.
4866	Une entrée d’informations de forêt approuvée a été supprimée.
4867	Une entrée d’informations de forêt approuvée a été modifiée.

Volume d’événements : faible.
Valeur par défaut : Réussite.

Étendre la politique de modification de l'autorisation d'audit

La stratégie de modification de stratégie d’autorisation d’audit détermine si le système d’exploitation génère des événements d’audit lorsque des modifications spécifiques sont apportées à la stratégie d’autorisation. Les modifications apportées à la stratégie d’autorisation qui peuvent être auditées sont les suivantes :

Affectation ou suppression de droits d’utilisateur (privilèges) tels que SeCreateTokenPrivilege, à l’exception des droits d’accès système audités à l’aide de la sous-catégorie Modification de stratégie d’authentification d’audit .
Modification de la stratégie EFS (Encrypting File System).

ID de l’événement	Message d’événement
4704	Un droit d’utilisateur a été attribué.
4705	Un droit d’utilisateur a été supprimé.
4706	Une nouvelle approbation a été créée sur un domaine.
4707	Une approbation sur un domaine a été supprimée.
4714	La stratégie de récupération de données chiffrée a été modifiée.

Volume d’événements : faible.
Valeur par défaut : Aucun audit.

Étendre la politique de modification de la politique de la plateforme de filtrage d’audit

La stratégie de modification des stratégies de filtrage d’audit détermine si le système d’exploitation génère des événements d’audit pour certaines actions de la plateforme de filtrage IPsec et Windows. La plateforme de filtrage Windows (PAM) permet aux éditeurs de logiciels indépendants (ISV) de filtrer et de modifier les paquets TCP/IP, de surveiller ou d’autoriser les connexions, de filtrer le trafic protégé par IPsec (Internet Protocol Security) et de filtrer les RPC. Ce paramètre de stratégie de sécurité détermine si le système d’exploitation génère des événements d’audit pour :

État des services IPsec.
Modifications apportées aux paramètres IPsec.
État et modifications apportées au moteur et aux fournisseurs de la plateforme de filtrage Windows.
Activités du service Agent de stratégie IPsec.

ID de l’événement	Message d’événement
4709	Les services IPsec ont été démarrés.
4710	Les services IPsec ont été désactivés.
4711	Peut contenir l’un des messages suivants : Le moteur PAStore a appliqué une copie mise en cache localement de la stratégie IPsec de stockage Active Directory sur l’ordinateur. Le moteur PAStore a appliqué la stratégie IPsec de stockage Active Directory sur l’ordinateur. Le moteur PAStore a appliqué la stratégie IPsec de stockage de registre local sur l’ordinateur. Le moteur PAStore n’a pas pu appliquer une copie mise en cache localement de la stratégie IPsec de stockage Active Directory sur l’ordinateur. Le moteur PAStore n’a pas pu appliquer la stratégie IPsec de stockage Active Directory sur l’ordinateur. Le moteur PAStore n’a pas pu appliquer la stratégie IPsec de stockage de registre local sur l’ordinateur. Le moteur PAStore n’a pas pu appliquer certaines règles de la stratégie IPsec active sur l’ordinateur. Le moteur PAStore n’a pas pu charger la stratégie IPsec de stockage de registre sur l’ordinateur. Le moteur PAStore a chargé la stratégie IPsec de stockage de registre sur l’ordinateur. Le moteur PAStore n’a pas pu charger la stratégie IPsec de stockage local sur l’ordinateur. Le moteur PAStore a chargé la stratégie IPsec de stockage local sur l’ordinateur. Le moteur PAStore a interrogé les modifications apportées à la stratégie IPsec active et n’a détecté aucune modification.
4712	Les services IPsec ont rencontré un échec potentiellement grave.
5040	Une modification a été apportée aux paramètres IPsec. Un jeu d’authentification a été ajouté.
5041	Une modification a été apportée aux paramètres IPsec. Un jeu d’authentification a été modifié.
5042	Une modification a été apportée aux paramètres IPsec. Un jeu d’authentification a été supprimé.
5043	Une modification a été apportée aux paramètres IPsec. Une règle de sécurité de connexion a été ajoutée.
5044	Une modification a été apportée aux paramètres IPsec. Une règle de sécurité de connexion a été modifiée.
5045	Une modification a été apportée aux paramètres IPsec. Une règle de sécurité de connexion a été supprimée.
5046	Une modification a été apportée aux paramètres IPsec. Un jeu de chiffrements a été ajouté.
5047	Une modification a été apportée aux paramètres IPsec. Un jeu de chiffrement a été modifié.
5048	Une modification a été apportée aux paramètres IPsec. Un jeu de chiffrement a été supprimé.
5440	La légende suivante était présente lors du démarrage du moteur de filtrage de base de la plateforme de filtrage Windows.
5441	Le filtre suivant était présent lors du démarrage du moteur de filtrage de base de la plateforme de filtrage Windows.
5442	Le fournisseur suivant était présent lors du démarrage du moteur de filtrage de base de la plateforme de filtrage Windows.
5443	Le contexte de fournisseur suivant était présent lors du démarrage du moteur de filtrage de base de la plateforme de filtrage Windows.
5444	La sous-couche suivante était présente lorsque le moteur de filtrage de base de la plateforme de filtrage Windows a démarré.
5446	Une légende de la plateforme de filtrage Windows a été modifiée.
5448	Un fournisseur de la plateforme de filtrage Windows a été modifié.
5449	Un contexte de fournisseur de la plateforme de filtrage Windows a été modifié.
5450	Une sous-couche de la plateforme de filtrage Windows a été modifiée.
5456	Le moteur PAStore a appliqué la stratégie IPsec de stockage Active Directory sur l’ordinateur.
5457	Le moteur PAStore n’a pas pu appliquer la stratégie IPsec de stockage Active Directory sur l’ordinateur.
5458	Le moteur PAStore a appliqué une copie mise en cache localement de la stratégie IPsec de stockage Active Directory sur l’ordinateur.
5459	Le moteur PAStore n’a pas pu appliquer une copie mise en cache localement de la stratégie IPsec de stockage Active Directory sur l’ordinateur.
5460	Le moteur PAStore a appliqué la stratégie IPsec de stockage de registre local sur l’ordinateur.
5461	Le moteur PAStore n’a pas pu appliquer la stratégie IPsec de stockage de registre local sur l’ordinateur.
5462	Le moteur PAStore n’a pas pu appliquer certaines règles de la stratégie IPsec active sur l’ordinateur. Utilisez le composant logiciel enfichable Moniteur de sécurité IP pour diagnostiquer le problème.
5463	Le moteur PAStore a interrogé les modifications apportées à la stratégie IPsec active et n’a détecté aucune modification.
5464	Le moteur PAStore a interrogé les modifications apportées à la stratégie IPsec active, a détecté des modifications et les a appliquées aux services IPsec.
5465	Le moteur PAStore a reçu un contrôle pour le rechargement forcé de la stratégie IPsec et a traité le contrôle avec succès.
5466	Le moteur PAStore a interrogé les modifications apportées à la stratégie IPsec Active Directory , a déterminé qu’Active Directory n’est pas accessible et utilisera la copie mise en cache de la stratégie IPsec Active Directory à la place. Les modifications apportées à la stratégie IPsec Active Directory depuis la dernière interrogation n’ont pas pu être appliquées.
5467	Le moteur PAStore a interrogé les modifications apportées à la stratégie IPsec Active Directory , a déterminé qu’Active Directory était accessible et n’a trouvé aucune modification apportée à la stratégie. La copie mise en cache de la stratégie IPsec Active Directory n’est plus utilisée.
5468	Le moteur PAStore a interrogé les modifications apportées à la stratégie IPsec Active Directory , a déterminé qu’Active Directory était accessible, a trouvé des modifications apportées à la stratégie et a appliqué ces modifications. La copie mise en cache de la stratégie IPsec Active Directory n’est plus utilisée.
5471	Le moteur PAStore a chargé la stratégie IPsec de stockage local sur l’ordinateur.
5472	Le moteur PAStore n’a pas pu charger la stratégie IPsec de stockage local sur l’ordinateur.
5473	Le moteur PAStore a chargé la stratégie IPsec de stockage de registre sur l’ordinateur.
5474	Le moteur PAStore n’a pas pu charger la stratégie IPsec de stockage de registre sur l’ordinateur.
5477	Le moteur PAStore n’a pas pu ajouter de filtre en mode rapide.

Volume d’événements : faible.
Valeur par défaut : Aucun audit.

Étendre l’audit MPSSVC Rule-Level Modification de politique

La stratégie Audit MPSSVC Rule-Level de modification de stratégie détermine si le système d’exploitation génère des événements d’audit lorsque des modifications sont apportées aux règles pour le service de protection Microsoft (MPSSVC.exe).

Le service de protection Microsoft, utilisé par le Pare-feu Windows, fait partie intégrante de la protection contre les menaces de l’ordinateur contre les menaces liées à Internet, telles que les Troie et les logiciels espions. Les activités suivies sont les suivantes :

Stratégies actives au démarrage du service pare-feu Windows.
Modifications apportées aux règles du Pare-feu Windows.
Modifications apportées à la liste des exceptions du Pare-feu Windows.
Modifications apportées aux paramètres du Pare-feu Windows.
Règles ignorées ou non appliquées par le service de pare-feu Windows.
Modifications apportées aux paramètres de stratégie de groupe du Pare-feu Windows.

Les modifications apportées aux règles de pare-feu sont importantes pour comprendre l’état de sécurité de l’ordinateur et la façon dont elle est protégée contre les attaques réseau.

ID de l’événement	Message d’événement
4944	La stratégie suivante était active lorsque le Pare-feu Windows a démarré.
4945	Une règle a été listée au démarrage du pare-feu Windows.
4946	Une modification a été apportée à la liste des exceptions du pare-feu Windows. Une règle a été ajoutée.
4947	Une modification a été apportée à la liste des exceptions du pare-feu Windows. Une règle a été modifiée.
4948	Une modification a été apportée à la liste des exceptions du pare-feu Windows. Une règle a été supprimée.
4949	Les paramètres du pare-feu Windows ont été rétablis aux valeurs par défaut.
4950	Un paramètre de pare-feu Windows a changé.
4951	Une règle a été ignorée, car son numéro de version principale n’a pas été reconnu par le pare-feu Windows.
4952	Des parties d’une règle ont été ignorées, car son numéro de version mineure n’a pas été reconnu par le Pare-feu Windows. Les autres parties de la règle seront appliquées.
4953	Une règle a été ignorée par le pare-feu Windows, car elle n’a pas pu analyser la règle.
4954	Les paramètres de stratégie de groupe du Pare-feu Windows ont été modifiés. Les nouveaux paramètres ont été appliqués.
4956	Le pare-feu Windows a modifié le profil actif.
4957	Le Pare-feu Windows n’a pas appliqué la règle suivante.
4958	Le Pare-feu Windows n’a pas appliqué la règle suivante, car la règle fait référence à des éléments non configurés sur cet ordinateur.

Volume d’événements : faible.
Valeur par défaut : Aucun audit.

Développer la stratégie d'audit des autres événements de modification de politique

La stratégie Audit Other Policy Change Events détermine si le système d’exploitation génère des événements d’audit pour les modifications de stratégie de sécurité qui ne sont pas auditées dans la catégorie Modification de stratégie. Ces autres activités de la catégorie Modification de stratégie qui peuvent être auditées sont les suivantes :

Modifications de configuration du module de plateforme sécurisée (TPM).
Auto-tests de chiffrement en mode noyau.
Opérations du fournisseur de chiffrement.
Opérations ou modifications du contexte de chiffrement.

ID de l’événement	Message d’événement
4670	Les autorisations sur un objet ont été modifiées.
4909	Les paramètres de stratégie locale pour le service TBS ont été modifiés.
4910	Les paramètres de stratégie de groupe pour le TBS ont été modifiés.
5063	Une opération de fournisseur de chiffrement a été tentée.
5064	Une opération de contexte de chiffrement a été tentée.
5065	Une modification de contexte de chiffrement a été tentée.
5066	Une opération de fonction de chiffrement a été tentée.
5067	Une modification d’opération de fonction de chiffrement a été tentée.
5068	Une opération de fournisseur de fonction de chiffrement a été tentée.
5069	Une opération de propriété de fonction de chiffrement a été tentée.
5070	Une modification de propriété de fonction de chiffrement a été tentée.
5447	Un filtre de la plateforme de filtrage Windows a été modifié.
6144	La stratégie de sécurité dans les objets de stratégie de groupe a été appliquée avec succès.
6145	Une ou plusieurs erreurs se sont produites lors du traitement de la stratégie de sécurité dans les objets de stratégie de groupe.

Volume d’événements : faible.
Valeur par défaut : Aucun audit.

Utilisation des privilèges

Les autorisations sur un réseau sont accordées aux utilisateurs ou aux ordinateurs pour effectuer des tâches définies. Les paramètres de stratégie de sécurité et les événements d’audit Privilege Use vous permettent de suivre l’utilisation de certaines autorisations sur un ou plusieurs systèmes. Cette catégorie inclut les sous-catégories suivantes :

Étendre la politique d'utilisation des privilèges non sensibles audités

La politique Utilisation de privilèges non sensibles détermine si le système d’exploitation génère des événements d’audit lorsque des privilèges non sensibles (droits utilisateur) sont utilisés. Les privilèges suivants ne sont pas sensibles :

Ajouter des stations de travail au domaine
Ajuster les quotas de mémoire pour un processus
Permettre l’ouverture d’une session locale
Autoriser la connexion via les services Terminal
Contourner la vérification de parcours
Modifier l’heure système
Créer un fichier d’échange
Créer des objets globaux
Créer des objets partagés permanents
Créer des liens symboliques
Interdire l’accès à cet ordinateur à partir du réseau
Interdire l’ouverture de session en tant que tâche
Interdire l’ouverture de session en tant que service
Interdire l’ouverture d’une session locale
Refuser la connexion via les services terminal
Forcer l’arrêt à partir d’un système distant
Augmenter une plage de travail de processus
Augmenter la priorité de planification
Verrouillage des pages en mémoire
Ouvrir une session en tant que tâche
Ouvrir une session en tant que service
Modifier un nom d’objet
Effectuer les tâches de maintenance de volume
Processus unique du profil
Performance système du profil
Retirer l’ordinateur de la station d’accueil
Arrêter le système
Synchroniser les données du service d’annuaire

Si vous configurez ce paramètre de stratégie, un événement d’audit est généré lorsqu’un privilège non sensible est appelé. Les audits de réussite enregistrent les tentatives réussies et les audits d’échec enregistrent les tentatives infructueuses.

ID de l’événement	Message d’événement
4672	Privilèges spéciaux assignés à la nouvelle session.
4673	Un service privilégié a été appelé.
4674	Une opération a été tentée sur un objet privilégié.

Volume d’événements : très élevé.

Étendre la politique d’audit des autres événements d’utilisation de privilèges

La stratégie Audit Other Privilege Use Events n’est pas utilisée.

Développer la stratégie Audit Sensitive Privilege Use

La stratégie Audit Sensitive Privilege Use détermine si le système d’exploitation génère des événements d’audit lorsque des privilèges sensibles (droits utilisateur) sont utilisés. Les actions qui peuvent être auditées sont les suivantes :

Un service privilégié est appelé.
L’un des privilèges suivants est appelé :
- Agir dans le cadre du système d’exploitation
- Sauvegarder des fichiers et des répertoires
- Créer un objet-jeton
- Déboguer des programmes
- Permettre à l’ordinateur et aux comptes d’utilisateurs d’être approuvés pour la délégation
- Générer des audits de sécurité
- Emprunter l'identité d'un client après authentification
- Charger et décharger les pilotes de périphériques
- Gérer le journal d'audit et de sécurité
- Modifier les valeurs de l’environnement du microprogramme
- Remplacer un jeton de niveau processus
- Restaurer des fichiers et des répertoires
- Prendre possession de fichiers ou d’autres objets

Si vous configurez ce paramètre de stratégie, un événement d’audit est généré lorsque des demandes de privilèges sensibles sont effectuées. Les audits de réussite enregistrent les tentatives réussies et les audits d’échec enregistrent les tentatives infructueuses.

ID de l’événement	Message d’événement
4672	Privilèges spéciaux assignés à la nouvelle session.
4673	Un service privilégié a été appelé.
4674	Une opération a été tentée sur un objet privilégié.

Volume d’événements : élevé.

System

Les paramètres de stratégie de sécurité système et les événements d’audit vous permettent de suivre les modifications au niveau du système sur un ordinateur qui ne sont pas inclus dans d’autres catégories et qui ont des implications potentielles en matière de sécurité. Cette catégorie inclut les sous-catégories suivantes :

Étendre la stratégie de l'audit du pilote IPsec

La stratégie Audit IPsec Driver détermine si le système d’exploitation génère des événements d’audit pour les activités du pilote IPsec. Le pilote IPsec, à l’aide de la liste de filtres IP à partir de la stratégie IPsec active, surveille les paquets IP sortants qui doivent être sécurisés et entrants, qui doivent être vérifiés et déchiffrés. Ce paramètre de stratégie de sécurité signale les activités suivantes du pilote IPsec :

Démarrage et arrêt des services IPsec.
Paquets supprimés en raison d’un échec de vérification de l’intégrité.
Les paquets supprimés en raison d’un échec de vérification de relecture.
Paquets rejetés en raison d'un texte non chiffré.
Paquets reçus avec un index de paramètre de sécurité incorrect (SPI). Cela peut indiquer des problèmes de matériel ou d’interopérabilité défectueux.
Échec du traitement des filtres IPsec.

Un taux élevé de suppressions de paquets par le pilote de filtre IPsec peut indiquer des tentatives d’accès au réseau par des systèmes non autorisés. L’échec du traitement des filtres IPsec présente un risque de sécurité potentiel, car certaines interfaces réseau peuvent ne pas obtenir la protection fournie par le filtre IPsec.

ID de l’événement	Message d’événement
4960	IPsec a annulé un paquet entrant ayant échoué une vérification d’intégrité. Si ce problème persiste, il peut indiquer un problème réseau ou que les paquets sont modifiés en transit vers cet ordinateur. Vérifiez que les paquets envoyés à partir de l’ordinateur distant sont identiques à ceux reçus par cet ordinateur. Cette erreur peut également indiquer des problèmes d’interopérabilité avec d’autres implémentations IPsec.
4961	IPsec a annulé un paquet entrant ayant échoué une vérification de relecture. Si ce problème persiste, il peut indiquer une attaque de relecture contre cet ordinateur.
4962	IPsec a annulé un paquet entrant ayant échoué une vérification de relecture. Le paquet entrant avait un nombre de séquences trop faible pour s’assurer qu’il n’était pas une relecture.
4963	IPsec a annulé un paquet de texte clair entrant qui aurait dû être sécurisé. Cela est généralement dû au changement de stratégie IPsec de l’ordinateur distant sans informer cet ordinateur. Cela peut également être une tentative d’attaque d’usurpation.
4965	IPsec a reçu un paquet d’un ordinateur distant avec un index de paramètre de sécurité (SPI) incorrect. Cela est généralement dû à un mauvais fonctionnement du matériel qui endommage les paquets. Si ces erreurs persistent, vérifiez que les paquets envoyés à partir de l’ordinateur distant sont identiques à ceux reçus par cet ordinateur. Cette erreur peut également indiquer des problèmes d’interopérabilité avec d’autres implémentations IPsec. Dans ce cas, si la connectivité n’est pas empêchée, ces événements peuvent être ignorés.
5478	IPsec Services a démarré avec succès.
5479	IPsec Services a été arrêté avec succès. L’arrêt d’IPsec Services peut mettre l’ordinateur à un risque plus élevé d’attaque réseau ou exposer l’ordinateur à des risques de sécurité potentiels.
5480	IPsec Services n’a pas pu obtenir la liste complète des interfaces réseau sur l’ordinateur. Cela pose un risque de sécurité potentiel, car certaines des interfaces réseau peuvent ne pas obtenir la protection fournie par les filtres IPsec appliqués. Utilisez le composant logiciel enfichable Moniteur de sécurité IP pour diagnostiquer le problème.
5483	IPsec Services n’a pas pu initialiser le serveur RPC. Les services IPsec n’ont pas pu être démarrés.
5484	IPsec Services a rencontré une défaillance critique et a été arrêté. L’arrêt d’IPsec Services peut mettre l’ordinateur à un risque plus élevé d’attaque réseau ou exposer l’ordinateur à des risques de sécurité potentiels.
5485	IPsec Services n’a pas pu traiter certains filtres IPsec sur un événement plug-and-play pour les interfaces réseau. Cela pose un risque de sécurité potentiel, car certaines des interfaces réseau peuvent ne pas obtenir la protection fournie par les filtres IPsec appliqués. Utilisez le composant logiciel enfichable Moniteur de sécurité IP pour diagnostiquer le problème.

Volume d’événements : faible.
Valeur par défaut : Aucun audit.

Étendre la stratégie d’audit d’autres événements système

La stratégie Audit Other System Events détermine si le système d’exploitation audite différents événements système. Les événements système de cette catégorie sont les suivants :

Démarrage et arrêt du service et du pilote du Pare-feu Windows.
Traitement de la stratégie de sécurité par le service de pare-feu Windows.
Fichier de clé de chiffrement et opérations de migration.

Important

L’échec du démarrage du service pare-feu Windows peut entraîner un ordinateur qui n’est pas entièrement protégé contre les menaces réseau.

ID de l’événement	Message d’événement
5024	Le démarrage du service Pare-feu Windows s’est correctement déroulé.
5025	Le service Pare-feu Windows a été arrêté.
5027	Le service Pare-feu Windows n’a pas réussi à récupérer la stratégie de sécurité du stockage local. Il va continuer à appliquer la stratégie active.
5028	Le service Pare-feu Windows n’a pas réussi à analyser la nouvelle stratégie de sécurité. Il va continuer à appliquer la stratégie active.
5029	Le service Pare-feu Windows n’a pas pu initialiser le lecteur. Il va continuer à appliquer la stratégie active.
5030	Le démarrage du service Pare-feu Windows a échoué.
5032	Le Pare-feu Windows n’a pas pu signaler à l’utilisateur qu’il a empêché une application d’accepter les connexions entrantes sur le réseau.
5033	Le pilote du Pare-feu Windows est correctement démarré.
5034	Le pilote du Pare-feu Windows a été arrêté.
5035	Le démarrage du pilote du Pare-feu Windows a échoué.
5037	Le pilote du Pare-feu Windows a détecté une erreur d’exécution critique. Terminating.
5058	Opération de fichier de clé.
5059	Opération de migration de clé.
6400	BranchCache : Reçu une réponse incorrectement formatée lors de la vérification de la disponibilité du contenu. Cet événement est enregistré uniquement sur les ordinateurs exécutant des versions prises en charge du système d’exploitation Windows.
6401	BranchCache : reçu des données non valides d’un homologue. Données ignorées. ¹
6402	BranchCache : le message vers le cache hébergé qui lui offre des données est mal mis en forme. ¹
6403	BranchCache : le cache hébergé a envoyé une réponse mal mise en forme au client. ¹
6404	BranchCache : Le cache hébergé n’a pas pu être authentifié à l’aide du certificat SSL approvisionné. ¹
6405	BranchCache : %2 instance(s) de l’ID d’événement %1 se sont produites. ¹
6406	%1 inscrite auprès du Pare-feu Windows pour contrôler le filtrage des éléments suivants : %2 ¹
6407	1% ¹
6408	Le produit inscrit %1 a échoué et le Pare-feu Windows contrôle désormais le filtrage pour %2 ¹

Note

¹ Cet événement est enregistré uniquement sur les ordinateurs exécutant des versions prises en charge du système d’exploitation Windows.

Volume d’événements : faible.
Valeur par défaut : Réussite et échec.

Développer la stratégie Audit Security State Change

La stratégie Audit Security State Change détermine si Windows génère des événements d’audit pour les modifications apportées à l’état de sécurité d’un système. Les modifications apportées à l’état de sécurité du système d’exploitation sont les suivantes :

Démarrage et arrêt du système.
Modification de l’heure système.
Récupération du système à partir de CrashOnAuditFail. Cet événement est enregistré après un redémarrage du système suivant CrashOnAuditFail. Certaines activités auditables peuvent ne pas être enregistrées lorsqu’un système redémarre en raison de CrashOnAuditFail.

ID de l’événement	Message d’événement
4608	Démarrage de Windows.
4609	Arrêt de Windows.
4616	L’heure système a été modifiée.
4621	L’administrateur a récupéré le système à partir de CrashOnAuditFail. Les utilisateurs qui ne sont pas administrateurs sont désormais autorisés à se connecter. Certaines activités pouvant être auditées n’ont peut-être pas été enregistrées.

Volume d’événements : faible.
Valeur par défaut : Réussite.

Développer la stratégie d’extension du système d’audit de sécurité

La stratégie Audit Security System Extension détermine si le système d’exploitation génère des événements d’audit liés aux extensions de système de sécurité. Les modifications apportées aux extensions de système de sécurité dans le système d’exploitation incluent les activités suivantes :

Un code d’extension de sécurité est chargé (par exemple, une authentification, une notification ou un package de sécurité). Un code d’extension de sécurité s’inscrit auprès de l’autorité de sécurité locale et sera utilisé et approuvé pour authentifier les tentatives d’ouverture de session, envoyer des demandes d’ouverture de session et être informé des modifications de compte ou de mot de passe. Des exemples de ce code d'extension sont des fournisseurs de support de sécurité, tels que Kerberos et NTLM.
Un service est installé. Un journal d’audit est généré lorsqu’un service est inscrit auprès du Gestionnaire de contrôle de service. Le journal d’audit contient des informations sur le nom du service, le fichier binaire, le type, le type de début et le compte de service.

Important

Les tentatives d’installation ou de chargement des extensions ou services de système de sécurité sont des événements système critiques susceptibles d’indiquer une violation de sécurité.

ID de l’événement	Message d’événement
4610	Un package d’authentification a été chargé par l’autorité de sécurité locale.
4611	Un processus d’ouverture de session approuvé a été inscrit auprès de l’autorité de sécurité locale.
4614	Un package de notification a été chargé par le gestionnaire de compte de sécurité.
4622	Un package de sécurité a été chargé par l’autorité de sécurité locale.
4697	Un service a été installé dans le système.

Volume d’événements : faible. Les événements d’extension de système de sécurité sont générés plus souvent sur un contrôleur de domaine que sur les ordinateurs clients ou les serveurs membres.
Valeur par défaut : Aucun audit.

Développer la stratégie d’intégrité du système d’audit

La stratégie d’intégrité du système d’audit détermine si le système d’exploitation audite les événements qui violent l’intégrité du sous-système de sécurité. Les activités qui violent l’intégrité du sous-système de sécurité sont les suivantes :

Les événements audités sont perdus en raison d’un échec du système d’audit.
Un processus utilise un port LPC (Local Procedure Call) non valide dans une tentative d'emprunter l'identité d'un client, de répondre à un espace d'adressage client, de lire à partir d'un espace d'adressage client ou d'écrire à un espace d'adressage client.
Une violation d’intégrité RPC est détectée.
Une violation de l’intégrité du code avec une valeur de hachage non valide d’un fichier exécutable est détectée.
Les tâches de chiffrement sont effectuées.

Important

Les violations de l’intégrité du sous-système de sécurité sont critiques et peuvent indiquer une attaque de sécurité potentielle.

ID de l’événement	Message d’événement
4612	Les ressources internes allouées à la file d’attente des messages d’audit sont épuisées. Certains audits ont été perdus.
4615	Utilisation non valide du port LPC.
4618	Un modèle d’événement de sécurité supervisé s’est produit.
4816	RPC a détecté une violation d’intégrité lors du déchiffrement d’un message entrant.
5038	L’intégrité du code a déterminé que le hachage d’image d’un fichier n’est pas valide. Le fichier peut être endommagé en raison d’une modification non autorisée, ou le hachage non valide peut indiquer une erreur de périphérique de disque potentielle.
5056	Un auto-test de chiffrement a été effectué.
5057	Une opération de primitive de chiffrement a échoué.
5060	Échec de l’opération de vérification.
5061	Opération de chiffrement.
5062	Un auto-test de chiffrement en mode noyau a été effectué.
6281	L’intégrité du code a déterminé que les hachages de page d’un fichier image ne sont pas valides. Le fichier peut être signé de manière incorrecte sans hachage de page ou endommagé en raison d’une modification non autorisée. Les hachages non valides peuvent indiquer une erreur potentielle de périphérique de disque. Cet événement est enregistré uniquement sur les ordinateurs exécutant les versions prises en charge du système d’exploitation Windows.

Volume d’événements : faible.
Valeur par défaut : Réussite et échec.

Accès à l’objet global

Les paramètres de stratégie d’audit d’accès aux objets globaux permettent aux administrateurs de définir des listes SACL d’ordinateur par type d’objet pour le système de fichiers ou pour le Registre. La SACL spécifiée est ensuite automatiquement appliquée à chaque objet de ce type.

Les auditeurs peuvent prouver que chaque ressource du système est protégée par une stratégie d’audit en affichant le contenu des paramètres de stratégie d’audit d’accès aux objets globaux. Par exemple, si les auditeurs voient un paramètre de stratégie appelé « Suivre toutes les modifications apportées par les administrateurs de groupe », ils savent que cette stratégie est en vigueur.

Les listes SACL de ressources sont également utiles pour les scénarios de diagnostic. Par exemple, la définition de la stratégie d’audit d’accès aux objets globaux pour journaliser toutes les activités d’un utilisateur spécifique et permettre à la stratégie de suivre les événements « Accès refusé » pour le système de fichiers ou le Registre peut aider les administrateurs à identifier rapidement l’objet d’un système qui refuse un accès utilisateur.

Si vous activez la case à cocher Définir ce paramètre de stratégie sur la page de propriétés de la stratégie, puis sélectionnez Configurer, vous pouvez ajouter un utilisateur ou un groupe au SACL global. Cela vous permet de définir des SACL d’ordinateurs pour le système de fichiers par type d’objet. La SACL spécifiée est ensuite appliquée automatiquement à chaque type d’objet du système de fichiers.
Développer la stratégie Système de fichiers (Audit d’accès aux objets globaux)

La stratégie Système de fichiers (audit d’accès aux objets globaux) vous permet de configurer une SACL globale sur le système de fichiers pour l'ensemble de l'ordinateur.

Si une SACL de fichier ou de dossier et une SACL globale sont configurées sur un ordinateur, la SACL finale est dérivée en combinant le SACL de fichier ou de dossier et le SACL global. Cela signifie qu’un événement d’audit est généré si une activité correspond au fichier ou au dossier SACL ou à la liste de contrôle d’accès partagé globale.
- Volume d’événements : varie selon la sacl effective et le niveau d’activité utilisateur.
Développer la stratégie Registre (audit d’accès aux objets global)

La stratégie Registre (audit d’accès aux objets globaux) vous permet de configurer une saCL globale sur le registre d’un ordinateur.

Si une SACL de Registre et une SACL globale sont configurées sur un ordinateur, la saCL effective est dérivée en combinant la SACL de Registre et la SACL globale. Cela signifie qu’un événement d’audit est généré lorsqu’une activité correspond à la clé de Registre SACL ou à la clé SACL globale.
- Volume d’événements : varie selon la sacl effective et le niveau d’activité utilisateur.

Commentaires

Cette page a-t-elle été utile ?

Last updated on 2025-08-16

Configuration avancée de la stratégie d’audit

Commentaires

Ressources supplémentaires