Spécifier des paramètres d’audit pour des catégories d’événements spécifiques permet de créer une stratégie d’audit qui répond aux impératifs de sécurité de votre organisation. Sur les serveurs membres et les stations de travail joints à un domaine, les paramètres d’audit correspondant aux catégories d’événements ne sont pas définis, par défaut. Sur les contrôleurs de domaine, l’audit est activé par défaut. Pour plus d’informations sur les catégories d’événements et en obtenir la liste, voir Stratégies d’audit.
Pour mener à bien cette procédure, il est nécessaire d’appartenir au minimum au groupe Administrateurs locaux.
Pour définir ou modifier les paramètres de la stratégie d’audit pour une catégorie d’événement pour votre ordinateur local |
Ouvrez le composant logiciel enfichable Stratégie de sécurité locale et sélectionnez Stratégies locales.
Dans l’arborescence de la console, cliquez sur Stratégie d’audit.
Où ?
-
Paramètres de sécurité/Stratégies locales/Stratégie d’audit
-
Paramètres de sécurité/Stratégies locales/Stratégie d’audit
Dans le volet des résultats, double-cliquez sur la catégorie d’événement pour laquelle vous souhaitez modifier les paramètres de stratégie d’audit.
Effectuez au moins l’une des actions suivantes, puis cliquez sur OK.
-
Pour auditer les tentatives réussies, activez la case à cocher Réussite.
-
Pour auditer les tentatives infructueuses, activez la case à cocher Échec.
-
Pour auditer les tentatives réussies, activez la case à cocher Réussite.
Considérations supplémentaires
-
Pour ouvrir le composant logiciel enfichable Stratégie de sécurité locale, cliquez sur Démarrer, pointez sur Outils d’administration, puis cliquez sur Stratégie de sécurité locale.
Pour mener à bien cette procédure, il est nécessaire d’appartenir au minimum au groupe Admins du domaine.
Pour définir ou modifier les paramètres de stratégie d’audit d’une catégorie d’événement pour un domaine ou une unité d’organisation, lorsque vous êtes sur un serveur membre ou sur une station de travail joint à un domaine |
Si la console de gestion des stratégies de groupe (GPMC, Group Policy Management Console) n’est pas installée, ouvrez le Gestionnaire de serveur puis, sous Résumé des fonctionnalités, cliquez sur Ajouter des fonctionnalités. Activez la case à cocher Gestion des stratégies de groupe, cliquez sur Suivant, puis sur Installer.
Une fois que la page Résultats de l’installation indique que l’installation de la console de gestion des stratégies de groupe (GPMC) a réussi, cliquez sur Fermer.
Cliquez sur Démarrer, pointez sur Outils d’administration, puis cliquez sur Gestion des stratégies de groupe.
Dans l’arborescence de la console, double-cliquez sur Objets de stratégie de groupe dans la forêt et le domaine contenant l’objet de stratégie de groupe Stratégie de domaine par défaut que vous souhaitez modifier.
Cliquez avec le bouton droit sur l’objet Stratégie de domaine par défaut, puis cliquez sur Modifier.
Dans la console de gestion des stratégies de groupe (GPMC), développez Configuration ordinateur, Paramètres Windows et Paramètres de sécurité, puis cliquez sur Stratégie d’audit.
Dans le volet des résultats, double-cliquez sur la catégorie d’événement pour laquelle vous souhaitez modifier les paramètres de stratégie d’audit.
Si vous définissez les paramètres de stratégie d’audit pour cette catégorie d’événement pour la première fois, activez la case à cocher Définir ces paramètres de stratégie.
Effectuez au moins l’une des actions suivantes, puis cliquez sur OK.
-
Pour auditer les tentatives réussies, activez la case à cocher Réussite.
-
Pour auditer les tentatives infructueuses, activez la case à cocher Échec.
-
Pour auditer les tentatives réussies, activez la case à cocher Réussite.
Considérations supplémentaires
-
Pour ouvrir Microsoft Management Console par le biais de l’interface Windows, cliquez sur Démarrer, cliquez dans la zone de texte Rechercher, tapez mmc, puis appuyez sur Entrée.
-
Pour auditer l’accès aux objets, activez l’audit de la catégorie d’événement d’accès aux objets en complétant les étapes ci-dessus. Ensuite, activez l’audit pour l’objet spécifique.
-
Une fois votre stratégie d’audit configurée, les événements seront enregistrés dans le journal de sécurité. Ouvrez le journal de sécurité pour afficher ces événements.
-
Le paramètre par défaut pour la stratégie d’audit pour les contrôleurs de domaine est Pas d’audit. Cela signifie que même si l’audit est activé dans le domaine, les contrôleurs de domaine n’héritent pas de la stratégie d’audit localement. Si vous souhaitez appliquer la stratégie d’audit du domaine aux contrôleurs de domaine, vous devez modifier ce paramètre de stratégie.
Références supplémentaires