Configuration des stratégies d'audit - Configuration manuelle

Les stratégies d'audit doivent être configurées de manière à garantir que les événements sont consignés chaque fois qu'une activité se produit.

1. Configurer des stratégies d'audit avancées

Les stratégies d'audit avancées aident les administrateurs à exercer un contrôle granulaire sur les activités qui sont enregistrées dans les journaux, ce qui permet de réduire le bruit des événements. Il est recommandé de configurer des stratégies d'audit avancées sur les contrôleurs de domaine fonctionnant sur Windows Server 2008 et au-dessus.

  • Connectez-vous à n'importe quel ordinateur équipé de la console de gestion des stratégies de groupe (GPMC), avec les identifiants de l'administrateur de domaine → Ouvrez la GPMC → Clic droit sur « Stratégie des contrôleurs de domaine par défaut » → Modifier.
  • Dans l'éditeur de gestion des stratégies de groupe → Configuration de l'ordinateur → Politiques → Paramètres Windows → Paramètres de sécurité → Configuration avancée de la stratégie d'audit → Stratégie d'audit, double-cliquez sur le paramètre de stratégie pertinent.
  • Naviguez vers le panneau de droite → Clic droit sur la sous-catégorie concernée, puis cliquez sur Propriétés → Sélectionnez Succès, Échec, ou les deux ; comme indiqué dans le tableau ci-dessous.

Catégorie Sous-catégorie Audit Événements
Connexion au compte
  • Service d'authentification Audit Kerberos
Succès et échecs
Gestion du compte
  • Audit Gestion des comptes informatiques
  • Audit Gestion du groupe de distribution
  • Audit Gestion du groupe de sécurité
Réussite
  • Audit Gestion des comptes des utilisateurs
Succès et échecs
Suivi détaillé
  • Audit Création d'un processus
  • Audit Fin du processus
Réussite
Accès DS
  • Audit Changements dans les services d'annuaire
  • Audit Accès au service d'annuaire
Réussite
Connexion / Déconnexion
  • Audit Connexion
  • Audit Serveur de stratégies du réseau
Succès et échecs
  • Audit Autres événements de connexion/déconnexion
  • Audit Déconnexion
Réussite
Accès aux objets
  • Audit Autres événements relatifs à l'accès aux objets
Réussite
Changement de stratégie
  • Audit Modification de la stratégie d'authentification
  • Audit Modification de la stratégie d'autorisatione
Réussite
Système
  • Audit Changement d'état Sécurité
Réussite

active-directory-audit-configuring-advanced-audit-policies

Image montrant : Catégorie de connexion au compte → Audit Sous-catégorie Service d'authentification Kerberos → Configuration des succès et des échecs.
2. Mise en œuvre des stratégies d'audit avancées

Lorsque vous utilisez des stratégies d'audit avancées, veillez à ce qu'elles prennent le pas sur les anciennes politiques d'audit.

  • Connectez-vous à n'importe quel ordinateur équipé de la console de gestion des stratégies de groupe (GPMC), avec les identifiants de l'administrateur de domaine → Ouvrez la GPMC → Clic droit sur « Stratégie des contrôleurs de domaine par défaut » → Modifier.
  • Dans l'éditeur de gestion des stratégies de groupe → Configuration de l'ordinateur → Politiques → Paramètres Windows → Paramètres de sécurité → Stratégies locales → Options de sécurité.
  • Naviguez vers le panneau de droite →. Clic droit sur Audit : Forcer les paramètres de la sous-catégorie stratégie d'audit → Propriétés → Activer.
  • active-directory-audit-enforcing-advanced-audit-policies

3. Configuration des stratégies d'audit existantes

L'option de configuration des stratégies d'audit avancées n'est pas disponible dans Windows Server 2003 et au-dessus. Par conséquent, pour ces systèmes, vous devez configurer les stratégies d'audit existantes.

  • Connectez-vous à n'importe quel ordinateur équipé de la console de gestion des stratégies de groupe (GPMC), avec les identifiants de l'administrateur de domaine → Ouvrez la GPMC → Clic droit sur « Stratégie des contrôleurs de domaine par défaut » → Modifier.
  • Dans l'éditeur de gestion des politiques de groupe → Configuration de l'ordinateur → Stratégies → Paramètres de Windows → Paramètres de sécurité → Stratégies locales → Double-cliquez sur Stratégie d'audit.
  • Naviguez vers le volet de droite → Clic droit sur la stratégie concernée, puis cliquez sur Propriétés → Sélectionnez Succès, Échec ou les deux ; comme indiqué dans le tableau ci-dessous :

Catégorie Audit Événements
Connexion au compte Succès et échecs
Audit Connexion / déconnexion Succès et échecs
Gestion du compte Réussite
Accès au service de répertoire Réussite
Suivi de processus Réussite
Accès aux objets Réussite
Événements système Réussite

active-directory-audit-configuring-legacy-audit-policies

Image montrant : Catégorie d'événements de connexion au compte d'audit → Réussite et échec tous les deux configurés.

Remarque: Pour activer l'audit des événements NTLM, connectez-vous à la console web d'ADAudit Plus →. Cliquez sur l'onglet Support > sous Info Support, cliquez sur Plus > sous Configuration, cliquez sur Activer/Désactiver les paramètres de configuration > Activer l'audit NTLM.