Audit

la plateforme de filtrage de Windows (WFP) permet d’auditer les événements liés aux pare-feu et IPsec. Ces événements sont stockés dans le journal de sécurité système.

Les événements audités sont les suivants :

Catégorie d’audit Sous-catégorie d’audit Événements audités
Modification de stratégie
{6997984D-797A-11D9-BED3-505054503030}
Filtrage de la modification de stratégie de plateforme
{0CCE9233-69AE-11D9-BED3-505054503030}
[!Note]
Les nombres représentent les ID d’événements tels qu’ils sont affichés par observateur d’événements (eventvwr.exe).

Ajout et suppression d’objets WFP :
  • légende persistante 5440 ajoutée
  • 5441-temps de démarrage ou filtre persistant ajouté
  • 5442 fournisseur persistant ajouté
  • 5443 contexte du fournisseur persistant ajouté
  • 5444 sous-couche persistante ajoutée
  • 5446 ajout ou suppression d’un appel au moment de l’exécution
  • 5447 filtre au moment de l’exécution ajouté ou supprimé
  • 5448 fournisseur d’exécution ajouté ou supprimé
  • 5449 contexte du fournisseur au moment de l’exécution ajouté ou supprimé
  • sous-couche d’exécution 5450 ajoutée ou supprimée
Accès aux objets
{6997984A-797A-11D9-BED3-505054503030}
Filtrage de la suppression de paquets de plateforme
{0CCE9225-69AE-11D9-BED3-505054503030}
Paquets supprimés par WFP :
  • paquet 5152 abandonné
  • 5153 paquet refusé
Accès aux objets
Filtrage de la connexion de plateforme
{0CCE9226-69AE-11D9-BED3-505054503030}
Connexions autorisées et bloquées :
  • 5154 écoute autorisée
  • 5155 écoute bloquée
  • 5156 connexion autorisée
  • 5157 connexion bloquée
  • 5158 liaison autorisée
  • liaison 5159 bloquée
[!Note]
Les connexions autorisées n’auditent pas toujours l’ID du filtre associé. Le FilterID pour TCP sera égal à 0, sauf si un sous-ensemble de ces conditions de filtrage est utilisé : UserID, AppID, Protocol, port distant.

Accès aux objets
Autres événements d’accès aux objets
{0CCE9227-69AE-11D9-BED3-505054503030}
[!Note]
Cette sous-catégorie active un grand nombre d’audits. Les audits spécifiques à WFP sont répertoriés ci-dessous.

État de prévention du déni de service :
  • 5148 mode de prévention DoS WFP démarré
  • 5149 mode de prévention DoS WFP arrêté
Ouverture/fermeture de session
{69979849-797A-11D9-BED3-505054503030}
Mode principal IPsec
{0CCE9218-69AE-11D9-BED3-505054503030}
Négociation en mode principal IKE et AuthIP :
  • 4650, 4651 Association de sécurité établie
  • 4652, échec de la négociation 4653
  • 4655 Association de sécurité terminée
Ouverture/fermeture de session
Mode rapide IPsec
{0CCE9219-69AE-11D9-BED3-505054503030}
Négociation en mode rapide IKE et AuthIP :
  • 5451 Association de sécurité établie
  • 5452 Association de sécurité terminée
  • échec de la négociation 4654
Ouverture/fermeture de session
Mode étendu IPsec
{0CCE921A-69AE-11D9-BED3-505054503030}
Négociation en mode étendu AuthIP :
  • 4978 paquet de négociation non valide
  • 4979, 4980, 4981, 4982 Association de sécurité établie
  • 4983, échec de la négociation 4984
Système
{69979848-797A-11D9-BED3-505054503030}
Pilote IPsec
{0CCE9213-69AE-11D9-BED3-505054503030}
Paquets ignorés par le pilote IPsec :
  • 4963 paquet de texte en clair entrant supprimé

Par défaut, l’audit pour WFP est désactivé.

L’audit peut être activé par catégorie par le biais du composant logiciel enfichable MMC de l’éditeur d’objets stratégie de groupe, du composant logiciel enfichable MMC stratégie de sécurité locale ou de la commande auditpol.exe.

Par exemple, pour activer l’audit des événements de modification de stratégie, vous pouvez :

  • Utiliser l’éditeur d’objets stratégie de groupe

    1. Exécutez gpedit. msc.
    2. Développez stratégie de l’ordinateur local.
    3. Développez Configuration de l’ordinateur.
    4. développez Windows Paramètres.
    5. développez Paramètres de sécurité.
    6. Développez Stratégies locales.
    7. Cliquez sur stratégie d’audit.
    8. Double-cliquez sur auditer la modification de la stratégie pour lancer la boîte de dialogue Propriétés.
    9. Consultez les cases à cocher réussite et échec.
  • Utiliser la stratégie de sécurité locale

    1. Exécutez secpol. msc.
    2. Développez Stratégies locales.
    3. Cliquez sur stratégie d’audit.
    4. Double-cliquez sur auditer la modification de la stratégie pour lancer la boîte de dialogue Propriétés.
    5. Consultez les cases à cocher réussite et échec.
  • Utilisez la commande auditpol.exe

    • Auditpol/Set/Category : « modification de la stratégie »/Success : Enable/Failure : Enable

L’audit peut être activé sur une base par sous-catégorie uniquement par le biais de la commande auditpol.exe.

Les noms de catégorie et de sous-catégorie d’audit sont localisés. Pour éviter la localisation des scripts d’audit, les GUID correspondants peuvent être utilisés à la place des noms.

Par exemple, pour activer l’audit des événements de modification de stratégie de plateforme de filtrage, vous pouvez utiliser l’une des commandes suivantes :

  • Auditpol/Set/Subcategory : « filtrage de la stratégie de plateforme de filtrage »/Success : Enable/Failure : Enable
  • Auditpol/Set/Subcategory : « {0CCE9233-69AE-11D9-BED3-505054503030} »/Success : Enable/Failure : Enable

Auditpol

Journal des événements

Stratégie de groupe