Partager via

Audit

  • Article

La plateforme de filtrage Windows (PAM) fournit l’audit des événements liés au pare-feu et IPsec. Ces événements sont stockés dans le journal de sécurité système.

Les événements audités sont les suivants.

Catégorie d’audit Sous-catégorie d’audit Événements audités
Modification de stratégie
{6997984D-797A-11D9-BED3-505054503030}
 Modification de la stratégie de plateforme de filtrage
{0CCE9233-69AE-11D9-BED3-505054503030}
 Remarque : Les nombres représentent les ID d’événement tels qu’affichés par l’Observateur d’événements (eventvwr.exe).
Ajout et suppression d’objets PAM :
- 5440 Légende permanente ajoutée
- 5441 Filtre de démarrage ou persistant ajouté
- 5442 Fournisseur persistant ajouté
- 5443 Contexte de fournisseur persistant ajouté
- 5444 Sous-couche persistante ajoutée
- 5446 Légende au moment de l’exécution ajoutée ou supprimée
- 5447 Filtre d’exécution ajouté ou supprimé
- 5448 Fournisseur d’exécution ajouté ou supprimé
- 5449 Contexte du fournisseur d’exécution ajouté ou supprimé
- 5450 Sous-couche d’exécution ajoutée ou supprimée
Accès aux objets
{6997984A-797A-11D9-BED3-505054503030}
 Suppression des paquets de plateforme de filtrage
{0CCE9225-69AE-11D9-BED3-505054503030}
 Paquets supprimés par LE PAM :
  • 5152 Paquets supprimés
  • 5153 Paquets vétoyés
Accès aux objets
 Filtrage de la connexion de plateforme
{0CCE9226-69AE-11D9-BED3-505054503030}
 Connexions autorisées et bloquées :
- 5154 Écoute autorisée
- 5155 Écoute bloquée
- 5156 Connexion autorisée
- 5157 Connexion bloquée
- 5158 Liaison autorisée
- 5159 Liaison bloquée
Remarque : connexions autorisées n’auditent pas toujours l’ID du filtre associé. FilterID pour TCP est 0, sauf si un sous-ensemble de ces conditions de filtrage est utilisé : UserID, AppID, Protocol, Remote Port.
Accès aux objets
 Autres événements d’accès aux objets
{0CCE9227-69AE-11D9-BED3-505054503030}
 Remarque : cette sous-catégorie permet de nombreux audits. Les audits spécifiques du PAM sont répertoriés ci-dessous.
État de prévention du déni de service :
- 5148 Le mode de prévention doS du PAM a démarré
- 5149 Le mode de prévention doS DU PAM s’est arrêté
Ouverture de session/Déconnexion
{69979849-797A-11D9-BED3-505054503030}
 Mode principal IPsec
{0CCE9218-69AE-11D9-BED3-505054503030}
 Négociation en mode principal IKE et AuthIP :
  • 4650, 4651 Association de sécurité établie
  • 4652, 4653 Négociation a échoué
  • 4655 Association de sécurité terminée
Ouverture de session/Déconnexion
 Mode rapide IPsec
{0CCE9219-69AE-11D9-BED3-505054503030}
 Négociation en mode rapide IKE et AuthIP :
  • 5451 Association de sécurité établie
  • 5452 Association de sécurité terminée
  • Échec de la négociation 4654
Ouverture de session/Déconnexion
Mode étendu IPsec
{0CCE921A-69AE-11D9-BED3-505054503030}
 Négociation en mode étendu AuthIP :
  • 4978 Paquet de négociation non valide
  • 4979, 4980, 4981, 4982 Association de sécurité établie
  • 4983, 4984 Négociation a échoué
Système
{69979848-797A-11D9-BED3-505054503030}
 Pilote IPsec
{0CCE9213-69AE-11D9-BED3-505054503030}
 Paquets supprimés par le pilote IPsec :
  • 4963 Paquet de texte clair entrant supprimé

Par défaut, l’audit pour PAM est désactivé.

L’audit peut être activé par catégorie via le composant logiciel enfichable MMC éditeur d’objets de stratégie de groupe, le composant logiciel enfichable MMC de stratégie de sécurité locale ou la commande auditpol.exe.

Par exemple, pour activer l’audit des événements de modification de stratégie, vous pouvez :

  • Utiliser l’éditeur d’objets de stratégie de groupe

    1. Exécutez gpedit.msc.
    2. Développez la stratégie d’ordinateur local.
    3. Développez la configuration de l’ordinateur.
    4. Développez les paramètres Windows.
    5. Développez Paramètres de sécurité.
    6. Développez les stratégies locales.
    7. Cliquez sur Stratégie d’audit.
    8. Double-cliquez sur Modifier la stratégie d’audit pour lancer la boîte de dialogue Propriétés.
    9. Cochez les cases Réussite et Échec.

  • Utiliser la stratégie de sécurité locale

    1. Exécutez secpol.msc.
    2. Développez les stratégies locales.
    3. Cliquez sur Stratégie d’audit.
    4. Double-cliquez sur Modifier la stratégie d’audit pour lancer la boîte de dialogue Propriétés.
    5. Cochez les cases Réussite et Échec.

  • Utiliser la commande auditpol.exe

    • auditpol /set /category :"Policy Change » /success :enable /failure :enable

L’audit peut être activé sur une base par sous-catégorie uniquement via la commande auditpol.exe.

Les noms de catégorie et de sous-catégorie d’audit sont localisés. Pour éviter la localisation des scripts d’audit, les GUID correspondants peuvent être utilisés à la place des noms.

Par exemple, pour activer l’audit des événements de modification de stratégie de plateforme de filtrage, vous pouvez utiliser l’une des commandes suivantes :

  • auditpol /set /subcategory :"Filtering Platform Policy Change » /success :enable /failure :enable
  • auditpol /set /subcategory :"{0CCE9233-69AE-11D9-BED3-505054503030} » /success :enable /failure :enable /failure :enable

Auditpol

du journal des événements

de stratégie de groupe