Les audits permettent de traquer certaines actions faites sur le·s système·s afin de pouvoir plus facilement retrouver la trace de bugs ou d’attaques et de garder des traces de certaines actions.
Les audits sont visible dans le logiciel Event Viewer qui est honêtement très mal fait et difficile d’utilisation (comme les GPO en général en fait). Je vais revenir plus tard sur son utilisation.
Evitez de tout auditer
Trop auditer ne sert à rien, le but est justement de filtrer les informations qui sont enregistrée pour pouvoir plus facilement détecter des choses suspectes
De même l’action d’auditer a un coût sur les performances du système, donc trop d’audits pourrait ralentir siginficativement les machines.
Les audits se configure comme une GPO d’ordinateur et doit donc être associée à des OU d’ordinateurs également (tel que Workstations ou Servers).
Les paramètres des audits qu’il est recommandé d’utiliser sont dans Computer Configuration > Policies > Windows Settings > Security Settings > Advanced audit policy configuration > Audit Policies.
A partir de là les paramètres sont divisés en plusieurs catégories, nous allons voir certaines plus en détail.
Pour plus d’informations sur les autres catégories, je vous invites à vous rensigner sur internet ou à aller voir dans le PDF de la leçon 7 du cours.
Faire un backup de la configuration des audits actuelle
Il est important de penser à faire une sauvegarde des paramètres des audits actuels car en les modifiant nous allons supprimer la configuration utilisée par défaut.
Ensuite pour restaurer la configuration en cas de besoin :
auditpol /restore /file:C:\audit-backup.csv
Modifier la configuration d'audits de base
Avant de commencer à configurer pour pouvoir appliquer nos GPO, il faut dire à la configuration par défaut de prendre en compte nos GPO d’audits.
Pour cela il faut modifier la GPO de Default Domain Policy et activer le paramètre Computer Configuration > Policies > Windows Settings > Security Settings > Local Policies > Security Options > Audit: Force audit policy subcategory settings.
Auditer les connexions et déconnexions de comptes
Pour auditer les connexions et déconnexions de comptes d’une ou plusieurs machines, on peut activer la GPO Logon/Logoff\Audit logon ainsi que Logon/Logoff > Audit logoff. A noter que ces chemins partent du chemin précisé plus tot allant jusqu’a Audit Policies.
En l’activant les audits seront alors consignés sur la machine concernée. Et en cas d’accès à un partage de fichier réseau, la connexion sera alors consignée également sur la machine qui héberge le partage.
Auditer l’accès aux fichiers
Pour auditer certaines actions faites sur les fichiers, on peut aller activer la politique d’audit Object Access > Audit File System. Ensuite il faut configurer une SACL (Security Access Control List) afin de définir quelles operations de quels groupes sur quels fichiers il faut auditer.
Pour cela on peut faire clic droit sur un dossier ou fichier, faire clic droit puis faire Properties > Security > Advanced > Auditing ensuite créer une nouvelle entrer et y préciser le groupe qui est audité ou “Everyone” et spécifier a liste des actions qui doivent être monitorées (exemple : création, suppression de fichiers ou dossiers, modifications, changements de permissions, etc).
Les évènements seront alors consignés par la machine qui héberge le fichier/dossier dans l’event viewer.
Auditer les modifications à l’Active Directory
Pour auditer les modifications apportées à l’Active Directory, il faut aller activer la politique d’audit DS Access > Audit directory service access (pour traquer l’accès à l’AD) et/ou DS Access > Audit directory service changes pour auditer les changements qui y sont apportés. Ensuite il faut préciser quels types de changements doivent être auditer à l’aide de la SACL.
Pour cela on peut alors ouvrir l’outil de serveur “Active Directory Users and Computers”, faire un clic droit sur l’OU qui doit être auditée, puis aller dans Properties > Security > Advanced > Auditing > Add puis y préciser quel groupe d’utilisateurs ayant accès à la modification de l’AD doivent être auditer et préciser les actions qui doivent être auditées.
Si le menu de sécurité n’est pas affiché, cela signifie qu’il faut activer la vue avancée en allant dans View > Advanced Features.
Consulter les audits à l’aide de l’Event Viewer
Les audits cités ici sont des audits de sécurité, dans l’event viewer on peut donc les retrouver dans l’onglet Windows Logs > Security. Pour pouvoir y accéder plus facilement on peut également filtrer les catégories en cliquant sur Filter current log puis en spécifiant comme source “Microsoft Windows security auditing.”, à savoir que Windows étant très bien fait, il ne faut pas écrire cela dans la boite mais bien aller chercher cette valeur dans le menu déroulant.
Ensuite il faut préciser comme “Task Category”, la catégorie recherchée, tel que Logon, Logoff, File System, Directory Service Changes, etc. Ensuite on peut cliquer sur “OK” pour confirmer le filtre ou ajouter d’autres contraintes. Enfin la liste est alors filtrée et on peut avoir des informations supplémentaires pour chaque ligne en cliquant dessus et en lisant les informations dans la description.