Audit
la plateforme de filtrage de Windows (WFP) permet d’auditer les événements liés aux pare-feu et IPsec. Ces événements sont stockés dans le journal de sécurité système.
Les événements audités sont les suivants :
| Catégorie d’audit | Sous-catégorie d’audit | Événements audités |
|---|---|---|
| Modification de stratégie {6997984D-797A-11D9-BED3-505054503030} |
Filtrage de la modification de stratégie de plateforme {0CCE9233-69AE-11D9-BED3-505054503030} |
[!Note] Ajout et suppression d’objets WFP :
|
| Accès aux objets {6997984A-797A-11D9-BED3-505054503030} |
Filtrage de la suppression de paquets de plateforme {0CCE9225-69AE-11D9-BED3-505054503030} |
Paquets supprimés par WFP :
|
| Accès aux objets |
Filtrage de la connexion de plateforme {0CCE9226-69AE-11D9-BED3-505054503030} |
Connexions autorisées et bloquées :
[!Note] |
| Accès aux objets |
Autres événements d’accès aux objets {0CCE9227-69AE-11D9-BED3-505054503030} |
[!Note] État de prévention du déni de service :
|
| Ouverture/fermeture de session {69979849-797A-11D9-BED3-505054503030} |
Mode principal IPsec {0CCE9218-69AE-11D9-BED3-505054503030} |
Négociation en mode principal IKE et AuthIP :
|
| Ouverture/fermeture de session |
Mode rapide IPsec {0CCE9219-69AE-11D9-BED3-505054503030} |
Négociation en mode rapide IKE et AuthIP :
|
| Ouverture/fermeture de session |
Mode étendu IPsec {0CCE921A-69AE-11D9-BED3-505054503030} |
Négociation en mode étendu AuthIP :
|
| Système {69979848-797A-11D9-BED3-505054503030} |
Pilote IPsec {0CCE9213-69AE-11D9-BED3-505054503030} |
Paquets ignorés par le pilote IPsec :
|
Par défaut, l’audit pour WFP est désactivé.
L’audit peut être activé par catégorie par le biais du composant logiciel enfichable MMC de l’éditeur d’objets stratégie de groupe, du composant logiciel enfichable MMC stratégie de sécurité locale ou de la commande auditpol.exe.
Par exemple, pour activer l’audit des événements de modification de stratégie, vous pouvez :
Utiliser l’éditeur d’objets stratégie de groupe
- Exécutez gpedit. msc.
- Développez stratégie de l’ordinateur local.
- Développez Configuration de l’ordinateur.
- développez Windows Paramètres.
- développez Paramètres de sécurité.
- Développez Stratégies locales.
- Cliquez sur stratégie d’audit.
- Double-cliquez sur auditer la modification de la stratégie pour lancer la boîte de dialogue Propriétés.
- Consultez les cases à cocher réussite et échec.
Utiliser la stratégie de sécurité locale
- Exécutez secpol. msc.
- Développez Stratégies locales.
- Cliquez sur stratégie d’audit.
- Double-cliquez sur auditer la modification de la stratégie pour lancer la boîte de dialogue Propriétés.
- Consultez les cases à cocher réussite et échec.
Utilisez la commande auditpol.exe
- Auditpol/Set/Category : « modification de la stratégie »/Success : Enable/Failure : Enable
L’audit peut être activé sur une base par sous-catégorie uniquement par le biais de la commande auditpol.exe.
Les noms de catégorie et de sous-catégorie d’audit sont localisés. Pour éviter la localisation des scripts d’audit, les GUID correspondants peuvent être utilisés à la place des noms.
Par exemple, pour activer l’audit des événements de modification de stratégie de plateforme de filtrage, vous pouvez utiliser l’une des commandes suivantes :
- Auditpol/Set/Subcategory : « filtrage de la stratégie de plateforme de filtrage »/Success : Enable/Failure : Enable
- Auditpol/Set/Subcategory : « {0CCE9233-69AE-11D9-BED3-505054503030} »/Success : Enable/Failure : Enable