Nouveautés de l’audit de sécurité

  • Article

L’audit de sécurité est l’un des outils les plus puissants que vous pouvez utiliser pour préserver l’intégrité du système. Dans le cadre d’une stratégie de sécurité globale, vous devez déterminer le niveau d’audit approprié pour votre environnement. L’audit doit identifier les attaques (ayant atteint leur objectif ou non) qui représentent une menace pour votre réseau et les attaques dirigées contre les ressources identifiées comme précieuses suite à votre évaluation des risques.

Nouvelles fonctionnalités de Windows 10, version 1511

  • Les fournisseurs de services de configuration WindowsSecurityAuditing et Reporting vous permettent d’ajouter des stratégies d’audit de sécurité pour les appareils mobiles.

Nouvelles fonctionnalités de Windows 10

Dans Windows 10, l’audit de sécurité a ajouté certaines améliorations :

  • Nouvelles sous-catégories d’audit
  • Plus d’informations ajoutées aux événements d’audit existants

Nouvelles sous-catégories d’audit

Dans Windows 10, deux nouvelles sous-catégories d’audit ont été ajoutés à la configuration de stratégie d’audit pour fournir une plus grande granularité sur les événements d’audit :

  • Auditer l’appartenance à un groupe Intégrée à la catégorie d’audit Ouverture/Fermeture de session, la sous-catégorie Auditer l’appartenance à un groupe vous permet d’auditer les informations d’appartenance à un groupe dans le jeton d’ouverture de session d’un utilisateur. Les événements de cette sous-catégorie sont générés lorsque des appartenances à un groupe sont énumérées ou interrogées sur le PC sur lequel l’ouverture de session a été créée. Pour une ouverture de session interactive, l’événement d’audit de sécurité est généré sur le PC auquel l’utilisateur est connecté. Pour une ouverture de session réseau, telle que l’accès à un dossier partagé sur le réseau, l’événement d’audit de sécurité est généré sur le PC qui héberge la ressource.

    Lorsque ce paramètre est configuré, un ou plusieurs événements d’audit de sécurité sont générés pour chaque ouverture de session réussie. Vous devez également activer le paramètre Auditer l’ouverture de session sous Configuration avancée de la stratégie d’audit\Stratégies d’audit du système\Ouverture/Fermeture de session. Si les informations d’appartenance à un groupe ne tiennent pas dans un seul événement d’audit de sécurité, plusieurs événements sont générés.

  • Auditer l’activité Plug-and-Play Intégrée à la catégorie Suivi détaillé, la sous-catégorie Auditer l’activité Plug-and-Play vous permet d’auditer lorsque la fonctionnalité Plug-and-Play détecte un appareil externe.

    Seuls les audits réussis sont enregistrés pour cette catégorie. Si vous ne configurez pas ce paramètre de stratégie, aucun événement d’audit n’est généré lorsqu’un appareil externe est détecté par la fonctionnalité Plug-and-Play.

    Un événement d’audit Plug-and-Play permet d’effectuer le suivi des modifications apportées au matériel du système et est enregistré sur le PC sur lequel le changement est intervenu. Une liste des ID de fournisseurs de matériels est incluse dans l’événement.

Plus d’informations ajoutées aux événements d’audit existants

Avec Windows 10, nous avons ajouté des informations supplémentaires sur les événements d’audit existants afin de simplifier la création d’un journal d’audit complet et la fourniture immédiate des informations dont vous avez besoin pour protéger votre entreprise. Des améliorations ont été apportées aux événements d’audit suivants :

  • Modification de la stratégie d’audit par défaut du noyau

  • Ajout d’une SACL de processus par défaut à LSASS.exe

  • Ajout de nouveaux champs à l’événement d’ouverture de session

  • Ajout de nouveaux champs à l’événement de création de processus

  • Ajout de nouveaux événements de Gestionnaire des comptes de sécurité

  • Ajout de nouveaux événements BCD

  • Ajout de nouveaux événements Plug-and-Play

Modification de la stratégie d’audit par défaut du noyau

Dans les versions précédentes, le noyau dépendait de l’autorité de sécurité locale (LSA) pour récupérer des informations sur certains de ses événements. Dans Windows 10, la stratégie d’audit des événements de création de processus est automatiquement activée jusqu’à ce qu’une stratégie d’audit réelle soit reçue de l’autorité de sécurité locale. Cela permet d’obtenir de meilleurs résultats d’audit des services pouvant démarrer avant l’autorité de sécurité locale.

Ajout d’une SACL de processus par défaut à LSASS.exe

Dans Windows 10, une SACL de processus par défaut a été ajoutée à LSASS.exe afin de consigner les processus tentant d’accéder à LSASS.exe. La SACL est L"S:(AU;SAFA;0x0010;;;WD)". Vous pouvez l’activer sous Configuration avancée de la stratégie d’audit\Accès aux objets\Auditer l’objet de noyau.

Cela permet d’identifier les attaques visant à voler les informations d’identification dans la mémoire d’un processus.

Nouveaux champs dans l’événement d’ouverture de session

L’ID d’événement d’ouverture de session 4624 a été mis à jour pour inclure des informations plus détaillées afin de simplifier leur analyse. Les champs suivants ont été ajoutés à l’événement 4624 :

  1. MachineLogon Chaîne : oui ou non

    Si le compte connecté au PC est un compte d’ordinateur, ce champ sera oui. Sinon, le champ est non.

  2. ElevatedToken Chaîne : oui ou non

    Si le compte connecté au PC est une ouverture de session d’administration, ce champ sera oui. Sinon, le champ est non. En outre, s’il fait partie d’un jeton fractionné, l’ID d’ouverture de session lié (LSAP_LOGON_SESSION) est également affiché.

  3. TargetOutboundUserName Chaîne

    TargetOutboundUserDomain Chaîne

    Le nom d’utilisateur et le domaine de l’identité créée par la méthode LogonUser pour le trafic sortant.

  4. VirtualAccount Chaîne : oui ou non

    Si le compte connecté au PC est un compte virtuel, ce champ sera oui. Sinon, le champ est non.

  5. GroupMembership Chaîne

    Une liste de tous les groupes dans le jeton de l’utilisateur.

  6. RestrictedAdminMode Chaîne : oui ou non

    Si l’utilisateur ouvre une session sur le PC en mode administrateur restreint avec Bureau à distance, ce champ sera oui.

    Pour plus d’informations sur le mode administrateur restreint, voir Mode administrateur restreint pour RDP.

Nouveaux champs dans l’événement de création de processus

L’ID d’événement d’ouverture de session 4688 a été mis à jour pour inclure des informations plus détaillées afin de simplifier leur analyse. Les champs suivants ont été ajoutés à l’événement 4688 :

  1. TargetUserSid Chaîne

    Le SID du principal cible.

  2. TargetUserName Chaîne

    Le nom du compte de l’utilisateur cible.

  3. TargetDomainName Chaîne

    Le domaine de l’utilisateur cible.

  4. TargetLogonID Chaîne

    L’ID d’ouverture de session de l’utilisateur cible.

  5. ParentProcessName Chaîne

    Le nom du processus créateur.

  6. ParentProcessID Chaîne

    Un pointeur vers le processus parent réel s’il est différent du processus créateur.

Nouveaux événements de Gestionnaire des comptes de sécurité

Dans Windows 10, des nouveaux événements SAM ont été ajoutés pour couvrir les API SAM effectuant des opérations de lecture/requête. Dans les versions précédentes de Windows, seules les opérations d’écriture étaient auditées. Les nouveaux événements sont l’ID d’événement 4798 et l’ID d’événement 4799. Les API suivantes sont désormais auditées :

  • SamrEnumerateGroupsInDomain
  • SamrEnumerateUsersInDomain
  • SamrEnumerateAliasesInDomain
  • SamrGetAliasMembership
  • SamrLookupNamesInDomain
  • SamrLookupIdsInDomain
  • SamrQueryInformationUser
  • SamrQueryInformationGroup
  • SamrQueryInformationUserAlias
  • SamrGetMembersInGroup
  • SamrGetMembersInAlias
  • SamrGetUserDomainPasswordInformation

Nouveaux événements BCD

L’ID d’événement 4826 a été ajouté pour suivre les modifications suivantes apportées à la base de données de configuration de démarrage (BCD) :

  • Paramètres DEP/NEX
  • Signature de test
  • Simulation PCAT SB
  • Débogage
  • Débogage de démarrage
  • Services d’intégrité
  • Désactiver le menu de débogage winload

Nouveaux événements Plug-and-Play

L’ID d’événement 6416 a été ajouté pour déterminer lorsqu’un appareil externe est détecté via la fonctionnalité Plug-and-Play. Un scénario important est le suivant : si un appareil externe contenant des programmes malveillants est inséré dans un ordinateur à valeur élevée qui ne s’attend pas que ce type d’action, un contrôleur de domaine par exemple.

Découvrez comment gérer vos stratégies d’audit de sécurité au sein de votre organisation.