Les mesures présentées dans ce paragraphe ont pour objectif d’augmenter la visibilité des actions effectuées sur les postes de travail et permettent d’accroitre l’efficacité d’une enquête forensique si un incident intervient (propagation malware, compromission du poste de travail, …). Notamment, les évènements Windows deviennent essentiels lorsque les attaquants utilisent des outils légitimes, natifs ou des mécanismes standards (suite au vol de credentials par exemple) pour atteindre leurs objectifs.
Si l’efficacité d’une analyse post-incident repose souvent sur les traces enregistrées, ces dernières peuvent facilement être supprimées par un attaquant ayant pris le contrôle du poste de travail, c’est pourquoi il est nécessaire d’en assurer l’intégrité à travers des sauvegardes ou leur externalisation par exemple. L’utilisation d’un collecteur de logs facilite également grandement l’analyse et la corrélation des activités d’un acteur malveillant ayant compromis plusieurs postes de travail durant son activité.
Cependant, la traçabilité des évènements Windows doit être traitée avec précaution et un équilibre doit être trouvé entre l’enregistrement des évènements à forte valeur ajoutée et la gestion du volume des traces qui peut rapidement devenir important.
Mesures de traçabilité
Gestion et accès aux traces![]()
Les droits d’accès et de gestion du journal d’audit et de sécurité doivent être restreints aux seuls comptes ayant le besoin (administrateurs).
| Notes informatives sur la mise en place :
Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\User Rights Assignment\Manage auditing and security log : Administrator |
Utilisation d’un collecteur de logs![]()
Les traces et journaux doivent être automatiquement exportés vers un collecteur de log central afin d’en faciliter leur analyse et exploitation. L’envoi des données doit s’appuyer sur le protocole TCP pour sa fiabilité et sur un protocole de chiffrement pour en assurer la confidentialité.
Remarque : Il est essentiel d’avoir les postes de travail synchronisés dans le temps avec le contrôleur de domaine afin de ne pas complexifier leur analyse.
Taille des fichiers journaux
La taille des fichiers journaux doit être fixée, paramétrée. Cette valeur (en ko) doit être comprise entre 1024 and 2147483647 (multiple de 64), par exemple 32768 ko.
| Notes informatives sur la mise en place
Computer Configuration\Administrative Templates\Windows Components\Event Log Service\System\Specify the maximum log file size (KB) |
Archiver les fichiers journaux ![]()
Lorsque le journal d’évènements est plein, les traces ne doivent pas être supprimées et doivent être archivées.
Notes : Plusieurs points d’attention :
- Surveiller l’espace disque
- L’option « éteindre le système lorsque le journal est plein » ne doit pas être activée au risque de rendre le système indisponible
| Notes informatives sur la mise en place
Computer Configuration\Administrative Templates\Windows Components\Event Log Service\Retain old events Computer Configuration\Administrative Templates\Windows Components\Event Log Service\ Backup log automatically when full |
Configuration de la journalisation des éléments![]()
Les éléments suivants doivent à minima être journalisés :
– la gestion des comptes des ordinateurs et des utilisateurs (success\failure)
– les changements d’état sécurité (success\failure)
– les erreurs liés au système de fichiers
– les erreurs liés au registre
– les évènements de connexion (success\failure)
– les évènements systèmes
– les modifications de stratégie dont stratégie de mise à jour, d’audit et d’authentification (success\failure)
– l’utilisation de privilèges sensibles (success\failure)
– démarrage sans audit de sécurité
– des sauvegardes et des restaurations
– extension du system de sécurité (Security System Extension) (success\failure)
– suppression des logs (1102/517)
– modification de la LSA (4610/4611/4614/4622)
– accès à un objet / base SAM (4661)
– login d’un compte à privilèges (4672 et 4964)
– tentative de changement de mot de passe (4723)
– installation d’un nouveau service (7045/4697)
– création ou modification d’une tache planifiée (4698, 4699, 4702)
– modification de la politique d’audit (4719/612)
– création d’un utilisateur local (4720)
– ajout d’un utilisateur dans un groupe local (4732)
– énumération d’un utilisateur d’un groupe local (4798)
Notes informatives sur la mise en placeComputer Configuration\Windows Settings\Security Settings\Advanced Audit Policy Configuration\Audit Policies\Account Management\Audit Policy: Account Management: Security Group Management
Computer Configuration\Windows Settings\Security Settings\Advanced Audit Policy Configuration\Audit Policies\System\Audit Policy: System: Security State Change
Computer Configuration\Windows Settings\Security Settings\Advanced Audit Policy Configuration\Audit Policies\Logon/Logoff\Audit Policy: Logon-Logoff: Logon
Computer Configuration\Windows Settings\Security Settings\Advanced Audit Policy Configuration\Audit Policies\System\Audit Policy: System: Security State Change
Computer Configuration\Windows Settings\Security Settings\Advanced Audit Policy Configuration\Audit Policies\Account Management\Audit Policy: Account Management: User Account Management
Computer Configuration\Windows Settings\Security Settings\Advanced Audit Policy Configuration\Audit Policies\Policy Change\Audit Policy: Policy Change: Audit Policy Change
Computer Configuration\Windows Settings\Security Settings\Advanced Audit Policy Configuration\Audit Policies\Privilege Use\Audit Policy: Privilege Use: Sensitive Privilege Use
Computer Configuration\Windows Settings\Security Settings\Advanced Audit Policy Configuration\Audit Policies\Logon/Logoff\Audit Policy: Logon-Logoff: Account Lockout
Computer Configuration\Windows Settings\Security Settings\Advanced Audit Policy Configuration\Audit Policies\Account Management\Audit Policy: Account Management: Other Account Management Events
Computer Configuration\Windows Settings\Security Settings\Advanced Audit Policy Configuration\Audit Policies\System\Audit Policy: System: Security System Extension |
Configuration avancée de la journalisation des éléments![]()
Pour les postes à forte contraintes de sécurité, activer la journalisation des évènements suivants :
- L’accès aux objets (success/failure)
- Le suivi des processus : création (success)
- Le suivi des processus : fin (success)
- Le suivi des processus : inclure la ligne de commande (enabled)
- L’accès aux partages de fichiers (success/failure)
- L’accès détaillé aux partages de fichiers (Not configured)
Remarque :
- Si ces évènements sont des éléments de valeurs, ils génèrent une grande quantité de traces
- Le suivi des processus peut également être assuré par l’outil sysmon
- L’accès détaillé aux partages de fichiers n’est pas recommandé : une grade quantité de traces est généré pour une faible valeur ajoutée
Tracer les commandes exécutées sur le poste de travail
Les commandes exécutées sur le poste de travail doivent être tracées. Notamment, surveiller l’utilisation des exécutables : cmd.exe, dfsvc.exe et dfshim.exe (applications ClickOnce), regsvr32.exe, rundll32.exe, bitsadmin.exe, installutil.exe, mshta.exe, cscript.exe, msbuild.exe.
| Notes informatives sur la mise en place
https://technet.microsoft.com/en-us/windows-server-docs/identity/ad-ds/manage/component-updates/command-line-process-auditing |
Activer les évènements système : Pare-feu, drivers, fichiers cryptographiques![]()
Les évènements systèmes concernant le pare-feu, les drivers et les fichiers cryptographiques doivent être tracés :
- Démarrage et arrêt du pare-feu (5024, 5025, 5030, 5037)
- Erreurs lors du chargement ou l’exécution de la politique de sécurité (5027, 5028)
- Erreurs de chargement de drivers par le pare-feu (5029, 5033, 5034, 5035)
- Opérations et migration clés cryptographiques (5058, 5059)
Notes informatives sur la mise en place Computer Configuration\Windows Settings\Security Settings\Advanced Audit Policy Configuration\Audit Policies\System\Audit Policy: System: Other System Events (Success and Failure) |
Désactiver le redémarrage lors d’un échec d’écriture de fichier journal
Désactiver le redémarrage du poste de travail lorsqu’un échec d’écriture d’évènement de sécurité est rencontré, et permettre le démarrage sans audit de sécurité.
