Audit

  • Article

La plateforme de filtrage Windows (PAM) assure l’audit des événements liés au pare-feu et à IPsec. Ces événements sont stockés dans le journal de sécurité système.

Les événements audités sont les suivants.

Catégorie d’audit Sous-catégorie d’audit Événements audités
Modification de stratégie
{6997984D-797A-11D9-BED3-505054503030}
 Modification de la stratégie de plateforme de filtrage
{0CCE9233-69AE-11D9-BED3-505054503030}
 Note: Les nombres représentent les ID d’événement affichés par observateur d'événements (eventvwr.exe).
Ajout et suppression d’objets PAM :
- 5440 Légende permanente ajoutée
- 5441 Filtre persistant ou au démarrage ajouté
- 5442 Fournisseur persistant ajouté
- 5443 Contexte de fournisseur persistant ajouté
- 5444 Sous-couche persistante ajoutée
- 5446 Légende d’exécution ajoutée ou supprimée
- 5447 Filtre d’exécution ajouté ou supprimé
- 5448 Fournisseur d’exécution ajouté ou supprimé
- 5449 Contexte du fournisseur d’exécution ajouté ou supprimé
- 5450 Sous-couche d’exécution ajoutée ou supprimée
Accès aux objets
{6997984A-797A-11D9-BED3-505054503030}
 Rejet de paquet par la plateforme de filtrage
{0CCE9225-69AE-11D9-BED3-505054503030}
 Paquets déposés par le PAM :
  • 5152 Paquet supprimé
  • 5153 Paquet mis en veto
Accès aux objets
 Connexion de la plateforme de filtrage
{0CCE9226-69AE-11D9-BED3-505054503030}
 Connexions autorisées et bloquées :
- 5154 Écouter autorisé
- 5155 Écouter bloqué
- 5156 Connexion autorisée
- 5157 Connexion bloquée
- 5158 Liaison autorisée
- 5159 Liaison bloquée
Note: Les connexions autorisées n’auditent pas toujours l’ID du filtre associé. L’ID de filtre pour TCP est 0, sauf si un sous-ensemble de ces conditions de filtrage est utilisé : UserID, AppID, Protocole, Port distant.
Accès aux objets
 Autres événements d’accès à l’objet
{0CCE9227-69AE-11D9-BED3-505054503030}
 Note: Cette sous-catégorie permet de nombreux audits. Les audits spécifiques du PAM sont répertoriés ci-dessous.
Status de prévention du déni de service :
- 5148 Le mode de prévention des doS du PAM a démarré
- 5149 Le mode de prévention Des doS du PAM a été arrêté
Ouverture/fermeture de session
{69979849-797A-11D9-BED3-505054503030}
 Mode principal IPsec
{0CCE9218-69AE-11D9-BED3-505054503030}
 Négociation IKE et AuthIP Main Mode :
  • 4650, 4651 Association de sécurité établie
  • 4652, 4653 Échec de la négociation
  • 4655 L’association de sécurité a pris fin
Ouverture/fermeture de session
 Mode rapide IPsec
{0CCE9219-69AE-11D9-BED3-505054503030}
 Négociation en mode rapide IKE et AuthIP :
  • 5451 Association de sécurité établie
  • 5452 Association de sécurité terminée
  • 4654 Échec de la négociation
Ouverture/fermeture de session
 Mode étendu IPsec
{0CCE921A-69AE-11D9-BED3-505054503030}
 Négociation du mode étendu AuthIP :
  • 4978 Paquet de négociation non valide
  • 4979, 4980, 4981, 4982 Association de sécurité établie
  • 4983, 4984 La négociation a échoué
Système
{69979848-797A-11D9-BED3-505054503030}
 Pilote IPSec
{0CCE9213-69AE-11D9-BED3-505054503030}
 Paquets supprimés par le pilote IPsec :
  • 4963 Paquet de texte clair entrant supprimé

Par défaut, l’audit du PAM est désactivé.

L’audit peut être activé par catégorie via le composant logiciel enfichable MMC éditeur d’objets stratégie de groupe, le composant logiciel enfichable MMC stratégie de sécurité locale ou la commande auditpol.exe.

Par exemple, pour activer l’audit des événements de modification de stratégie, vous pouvez :

  • Utiliser l’éditeur d’objets stratégie de groupe

    1. Exécutez gpedit.msc.
    2. Développez Stratégie d’ordinateur local.
    3. Développez Configuration ordinateur.
    4. Développez Paramètres Windows.
    5. Développez Paramètres de la sécurité.
    6. Développez Stratégies locales.
    7. Cliquez sur Stratégie d’audit.
    8. Double-cliquez sur Modification de stratégie d’audit pour lancer la boîte de dialogue Propriétés.
    9. Cochez les cases Réussite et Échec case activée-cases.

  • Utiliser la stratégie de sécurité locale

    1. Exécutez secpol.msc.
    2. Développez Stratégies locales.
    3. Cliquez sur Stratégie d’audit.
    4. Double-cliquez sur Modification de stratégie d’audit pour lancer la boîte de dialogue Propriétés.
    5. Cochez les cases Réussite et Échec case activée-cases.

  • Utiliser la commande auditpol.exe

    • auditpol /set /category:"Policy Change » /success:enable /failure:enable

L’audit peut être activé par sous-catégorie uniquement par le biais de la commande auditpol.exe.

Les noms de catégorie et de sous-catégorie d’audit sont localisés. Pour éviter la localisation des scripts d’audit, les GUID correspondants peuvent être utilisés à la place des noms.

Par exemple, pour activer l’audit des événements de modification de stratégie de plateforme de filtrage, vous pouvez utiliser l’une des commandes suivantes :

  • auditpol /set /subcategory:"Filtrage de la modification de la stratégie de plateforme » /success:enable /failure:enable
  • auditpol /set /subcategory:"{0CCE9233-69AE-11D9-BED3-505054503030} » /success:enable /failure:enable

Auditpol

Journal des événements

Stratégie de groupe