Passer au contenu
Français
  • Il n'y a aucune suggestion car le champ de recherche est vide.

Comment traiter la mauvaise configuration A-AuditDC? 

1. Qu'est-ce qu'une politique d'audit d'un DC? 

Une politique d’audit d’un contrôleur de domaine est un ensemble de règles de sécurité définies dans un domaine Active Directory qui permettent de surveiller, enregistrer et analyser les activités effectuées sur les contrôleurs de domaine (DC).

Une mauvaise configuration de l’audit sur les DC empêche de :

  • Détecter les tentatives d’attaque (ex. brute-force, DCSync, pass-the-hash…)

  • Tracer les actions administratives

  • Conserver les preuves en cas d’incident

PingCastle va vérifier la politique d'audit du contrôleur de domaine (DC). Il va notamment vérifier si les treize règles de configuration avancées sont correctement activées. Pour faire disparaître la vulnérabilité, la politique d'audit doit être durcie.

2. Comment corriger cette mauvaise configuration ? 

Sur les serveurs fonctionnant sous Windows Server 2012 (équivalent Windows 8) ou une version ultérieure, la GPO d’audit avancée est déjà présente, mais toutes les règles ne sont pas activées par défaut.

Pour corriger la vulnérabilité, il est recommandé d’activer l’ensemble des treize règles d’audit au sein de cette GPO listés ci-dessous. 

Chaque règle doit être configurée pour auditer à la fois les succès et les échecs.

  1. Audit Modification de la stratégie d'authentification (Authentication Policy Change)

    Gestion du compte (Account Management)
  2. Audit Gestion des comptes d'ordinateur (Computer Account Management)
  3. Audit Gestion des comptes d'utilisateur (User Account Management)
  4. Audit Gestion des groupes de sécurité (Security Group Management)

    Connexion/Déconnexion (Logon/Logoff)
  5. Audit Connexion (Logon)
  6. Audit Déconnexion (Logoff)
  7. Audit Ouverture de session spéciale (Special Logon)

    Connexion de compte (Account Logon)
  8. Audit Service d'authentification Kerberos (Kerberos Authentication Service)
  9. Audit Opérations de ticket de service Kerberos (Kerberos Service Ticket Operations)

    Suivi détaillé (Detailed Tracking)
  10. Audit Création de processus (Process Creation)
  11. Audit Activité DPAPI (DPAPI Activity)

    Utilisation des privilèges (Privilege Use)
  12. Audit Utilisation de privilèges sensibles (Sensitive Privilege Use)
  13. Système (System)
  14. Audit Extension du système de sécurité (Security System Extension)

    3. Vérifier l'existence de cette configuration 

    Exécutez la commande suivante directement sur un contrôleur de domaine : auditpol /get /category:*

    Si vous rencontrez des difficultés, veuillez nous envoyer la capture d'écran de la commande exécutée à protect@stoik.io