Fournisseur de services de configuration de stratégie - Audit
AccountLogon_AuditCredentialValidation
Étendue | Éditions | Système d’exploitation applicable |
---|---|---|
✅ Appareil ❌Utilisateur |
✅Pro ✅ Enterprise ✅ Éducation ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, version 1803 avec KB4516045 [10.0.17134.1039] et versions ultérieures ✅ Windows 10, version 1809 avec KB4516077 [10.0.17763.774] et versions ultérieures ✅ Windows 10, version 1903 avec KB4512941 [10.0.18362.329] et versions ultérieures ✅ Windows 10, version 2004 [10.0.19041] et versions ultérieures |
./Device/Vendor/MSFT/Policy/Config/Audit/AccountLogon_AuditCredentialValidation
Ce paramètre de stratégie vous permet d’auditer les événements générés par des tests de validation sur les informations d’identification d’ouverture de session du compte d’utilisateur. Les événements de cette sous-catégorie se produisent uniquement sur l’ordinateur faisant autorité pour ces informations d’identification. Pour les comptes de domaine, le contrôleur de domaine fait autorité. Pour les comptes locaux, l’ordinateur local fait autorité.
Volume : élevé sur les contrôleurs de domaine.
Propriétés de l’infrastructure de description :
Nom de la propriété | Valeur de la propriété |
---|---|
Format | int |
Type d’accès | Ajouter, Supprimer, Obtenir, Remplacer |
Valeur par défaut | 0 |
Valeurs autorisées:
Valeur | Description |
---|---|
0 (par défaut) | Désactivé/Aucun. |
1 | Succès. |
2 | Échec. |
3 | Réussite+Échec. |
Mappage de stratégie de groupe :
Nom | Valeur |
---|---|
Nom | Auditer la validation des informations d’identification |
Chemin d'accès | Paramètres Windows Paramètres > de sécurité Paramètres > Avancé Stratégie d’audit Configuration > système Stratégies d’audit > Du compte |
AccountLogon_AuditKerberosAuthenticationService
Étendue | Éditions | Système d’exploitation applicable |
---|---|---|
✅ Appareil ❌Utilisateur |
✅Pro ✅ Enterprise ✅ Éducation ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, version 1803 avec KB4516045 [10.0.17134.1039] et versions ultérieures ✅ Windows 10, version 1809 avec KB4516077 [10.0.17763.774] et versions ultérieures ✅ Windows 10, version 1903 avec KB4512941 [10.0.18362.329] et versions ultérieures ✅ Windows 10, version 2004 [10.0.19041] et versions ultérieures |
./Device/Vendor/MSFT/Policy/Config/Audit/AccountLogon_AuditKerberosAuthenticationService
Ce paramètre de stratégie vous permet d’auditer les événements générés par les demandes de ticket d’octroi de ticket (TGT) d’authentification Kerberos.
Si vous configurez ce paramètre de stratégie, un événement d’audit est généré après une demande TGT d’authentification Kerberos. Les audits de réussite enregistrent les demandes réussies et les audits d’échec enregistrent les demandes ayant échoué.
Si vous ne configurez pas ce paramètre de stratégie, aucun événement d’audit n’est généré après une demande TGT d’authentification Kerberos.
Volume : élevé sur les serveurs du centre de distribution de clés Kerberos.
Propriétés de l’infrastructure de description :
Nom de la propriété | Valeur de la propriété |
---|---|
Format | int |
Type d’accès | Ajouter, Supprimer, Obtenir, Remplacer |
Valeur par défaut | 0 |
Valeurs autorisées:
Valeur | Description |
---|---|
0 (par défaut) | Désactivé/Aucun. |
1 | Succès. |
2 | Échec. |
3 | Réussite+Échec. |
Mappage de stratégie de groupe :
Nom | Valeur |
---|---|
Nom | Auditer le service d’authentification Kerberos |
Chemin d'accès | Paramètres Windows Paramètres > de sécurité Paramètres > Avancé Stratégie d’audit Configuration > système Stratégies d’audit > Du compte |
AccountLogon_AuditKerberosServiceTicketOperations
Étendue | Éditions | Système d’exploitation applicable |
---|---|---|
✅ Appareil ❌Utilisateur |
✅Pro ✅ Enterprise ✅ Éducation ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, version 1803 avec KB4516045 [10.0.17134.1039] et versions ultérieures ✅ Windows 10, version 1809 avec KB4516077 [10.0.17763.774] et versions ultérieures ✅ Windows 10, version 1903 avec KB4512941 [10.0.18362.329] et versions ultérieures ✅ Windows 10, version 2004 [10.0.19041] et versions ultérieures |
./Device/Vendor/MSFT/Policy/Config/Audit/AccountLogon_AuditKerberosServiceTicketOperations
Ce paramètre de stratégie vous permet d’auditer les événements générés par les demandes de ticket d’octroi de ticket d’authentification Kerberos (TGT) envoyées pour les comptes d’utilisateur.
Si vous configurez ce paramètre de stratégie, un événement d’audit est généré après la demande d’un TGT d’authentification Kerberos pour un compte d’utilisateur. Les audits de réussite enregistrent les demandes réussies et les audits d’échec enregistrent les demandes ayant échoué.
Si vous ne configurez pas ce paramètre de stratégie, aucun événement d’audit n’est généré après la demande d’un TGT d’authentification Kerberos pour un compte d’utilisateur.
Volume : Faible.
Propriétés de l’infrastructure de description :
Nom de la propriété | Valeur de la propriété |
---|---|
Format | int |
Type d’accès | Ajouter, Supprimer, Obtenir, Remplacer |
Valeur par défaut | 0 |
Valeurs autorisées:
Valeur | Description |
---|---|
0 (par défaut) | Désactivé/Aucun. |
1 | Succès. |
2 | Échec. |
3 | Réussite+Échec. |
Mappage de stratégie de groupe :
Nom | Valeur |
---|---|
Nom | Auditer les opérations de ticket de service Kerberos |
Chemin d'accès | Paramètres Windows Paramètres > de sécurité Paramètres > Avancé Stratégie d’audit Configuration > système Stratégies d’audit > Du compte |
AccountLogon_AuditOtherAccountLogonEvents
Étendue | Éditions | Système d’exploitation applicable |
---|---|---|
✅ Appareil ❌Utilisateur |
✅Pro ✅ Enterprise ✅ Éducation ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, version 1803 avec KB4516045 [10.0.17134.1039] et versions ultérieures ✅ Windows 10, version 1809 avec KB4516077 [10.0.17763.774] et versions ultérieures ✅ Windows 10, version 1903 avec KB4512941 [10.0.18362.329] et versions ultérieures ✅ Windows 10, version 2004 [10.0.19041] et versions ultérieures |
./Device/Vendor/MSFT/Policy/Config/Audit/AccountLogon_AuditOtherAccountLogonEvents
Ce paramètre de stratégie vous permet d’auditer les événements générés par les réponses aux demandes d’informations d’identification envoyées pour une ouverture de session de compte d’utilisateur qui ne sont pas des tickets Kerberos ou de validation des informations d’identification. Actuellement, il n’y a aucun événement dans cette sous-catégorie.
Propriétés de l’infrastructure de description :
Nom de la propriété | Valeur de la propriété |
---|---|
Format | int |
Type d’accès | Ajouter, Supprimer, Obtenir, Remplacer |
Valeur par défaut | 0 |
Valeurs autorisées:
Valeur | Description |
---|---|
0 (par défaut) | Désactivé/Aucun. |
1 | Succès. |
2 | Échec. |
3 | Réussite+Échec. |
Mappage de stratégie de groupe :
Nom | Valeur |
---|---|
Nom | Auditer d’autres événements d’ouverture de session |
Chemin d'accès | Paramètres Windows Paramètres > de sécurité Paramètres > Avancé Stratégie d’audit Configuration > système Stratégies d’audit > Du compte |
AccountLogonLogoff_AuditAccountLockout
Étendue | Éditions | Système d’exploitation applicable |
---|---|---|
✅ Appareil ❌Utilisateur |
✅Pro ✅ Enterprise ✅ Éducation ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, version 1803 avec KB4516045 [10.0.17134.1039] et versions ultérieures ✅ Windows 10, version 1809 avec KB4516077 [10.0.17763.774] et versions ultérieures ✅ Windows 10, version 1903 avec KB4512941 [10.0.18362.329] et versions ultérieures ✅ Windows 10, version 2004 [10.0.19041] et versions ultérieures |
./Device/Vendor/MSFT/Policy/Config/Audit/AccountLogonLogoff_AuditAccountLockout
Ce paramètre de stratégie vous permet d’auditer les événements générés par une tentative de connexion ayant échoué à un compte verrouillé. Si vous configurez ce paramètre de stratégie, un événement d’audit est généré lorsqu’un compte ne peut pas se connecter à un ordinateur, car le compte est verrouillé. Les audits de réussite enregistrent les tentatives réussies et les audits d’échec enregistrent les tentatives infructueuses. Les événements d’ouverture de session sont essentiels pour comprendre l’activité des utilisateurs et détecter les attaques potentielles.
Volume : Faible.
Propriétés de l’infrastructure de description :
Nom de la propriété | Valeur de la propriété |
---|---|
Format | int |
Type d’accès | Ajouter, Supprimer, Obtenir, Remplacer |
Valeur par défaut | 1 |
Valeurs autorisées:
Valeur | Description |
---|---|
0 | Désactivé/Aucun. |
1 (par défaut) | Succès. |
2 | Échec. |
3 | Réussite+Échec. |
Mappage de stratégie de groupe :
Nom | Valeur |
---|---|
Nom | Auditer le verrouillage du compte |
Chemin d'accès | Paramètres Windows Paramètres > de sécurité Paramètres > avancés Stratégie d’audit Configuration > système Stratégies d’audit > Ouverture de session/déconnexion |
AccountLogonLogoff_AuditGroupMembership
Étendue | Éditions | Système d’exploitation applicable |
---|---|---|
✅ Appareil ❌Utilisateur |
✅Pro ✅ Enterprise ✅ Éducation ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, version 1803 avec KB4516045 [10.0.17134.1039] et versions ultérieures ✅ Windows 10, version 1809 avec KB4516077 [10.0.17763.774] et versions ultérieures ✅ Windows 10, version 1903 avec KB4512941 [10.0.18362.329] et versions ultérieures ✅ Windows 10, version 2004 [10.0.19041] et versions ultérieures |
./Device/Vendor/MSFT/Policy/Config/Audit/AccountLogonLogoff_AuditGroupMembership
Cette stratégie vous permet d’auditer les informations d’appartenance au groupe dans le jeton d’ouverture de session de l’utilisateur. Les événements de cette sous-catégorie sont générés sur l’ordinateur sur lequel une session d’ouverture de session est créée. Pour une ouverture de session interactive, l’événement d’audit de sécurité est généré sur l’ordinateur auquel l’utilisateur s’est connecté. Pour une ouverture de session réseau, comme l’accès à un dossier partagé sur le réseau, l’événement d’audit de sécurité est généré sur l’ordinateur hébergeant la ressource. Lorsque ce paramètre est configuré, un ou plusieurs événements d’audit de sécurité sont générés pour chaque ouverture de session réussie. Vous devez également activer le paramètre Auditer l’ouverture de session sous Configuration avancée de la stratégie d’audit\Stratégies d’audit système\Ouverture de session/Fermeture de session. Plusieurs événements sont générés si les informations d’appartenance au groupe ne peuvent pas tenir dans un seul événement d’audit de sécurité.
Volume : faible sur un ordinateur client. Moyenne sur un contrôleur de domaine ou un serveur réseau.
Propriétés de l’infrastructure de description :
Nom de la propriété | Valeur de la propriété |
---|---|
Format | int |
Type d’accès | Ajouter, Supprimer, Obtenir, Remplacer |
Valeur par défaut | 0 |
Valeurs autorisées:
Valeur | Description |
---|---|
0 (par défaut) | Désactivé/Aucun. |
1 | Succès. |
2 | Échec. |
3 | Réussite+Échec. |
Mappage de stratégie de groupe :
Nom | Valeur |
---|---|
Nom | Auditer l’appartenance à un groupe |
Chemin d'accès | Paramètres Windows Paramètres > de sécurité Paramètres > avancés Stratégie d’audit Configuration > système Stratégies d’audit > Ouverture de session/déconnexion |
AccountLogonLogoff_AuditIPsecExtendedMode
Étendue | Éditions | Système d’exploitation applicable |
---|---|---|
✅ Appareil ❌Utilisateur |
✅Pro ✅ Enterprise ✅ Éducation ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, version 1803 avec KB4516045 [10.0.17134.1039] et versions ultérieures ✅ Windows 10, version 1809 avec KB4516077 [10.0.17763.774] et versions ultérieures ✅ Windows 10, version 1903 avec KB4512941 [10.0.18362.329] et versions ultérieures ✅ Windows 10, version 2004 [10.0.19041] et versions ultérieures |
./Device/Vendor/MSFT/Policy/Config/Audit/AccountLogonLogoff_AuditIPsecExtendedMode
Ce paramètre de stratégie vous permet d’auditer les événements générés par le protocole IKE (Internet Key Exchange Protocol) et le protocole AuthIP (Authenticated Internet Protocol) pendant les négociations en mode étendu.
Si vous configurez ce paramètre de stratégie, un événement d’audit est généré pendant une négociation en mode étendu IPsec. Les audits de réussite enregistrent les tentatives réussies et les audits d’échec enregistrent les tentatives infructueuses.
Si vous ne configurez pas ce paramètre de stratégie, aucun événement d’audit n’est généré pendant une négociation en mode étendu IPsec.
Volume : élevé.
Propriétés de l’infrastructure de description :
Nom de la propriété | Valeur de la propriété |
---|---|
Format | int |
Type d’accès | Ajouter, Supprimer, Obtenir, Remplacer |
Valeur par défaut | 0 |
Valeurs autorisées:
Valeur | Description |
---|---|
0 (par défaut) | Désactivé/Aucun. |
1 | Succès. |
2 | Échec. |
3 | Réussite+Échec. |
Mappage de stratégie de groupe :
Nom | Valeur |
---|---|
Nom | Auditer le mode étendu IPsec |
Chemin d'accès | Paramètres Windows Paramètres > de sécurité Paramètres > avancés Stratégie d’audit Configuration > système Stratégies d’audit > Ouverture de session/déconnexion |
AccountLogonLogoff_AuditIPsecMainMode
Étendue | Éditions | Système d’exploitation applicable |
---|---|---|
✅ Appareil ❌Utilisateur |
✅Pro ✅ Enterprise ✅ Éducation ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, version 1803 avec KB4516045 [10.0.17134.1039] et versions ultérieures ✅ Windows 10, version 1809 avec KB4516077 [10.0.17763.774] et versions ultérieures ✅ Windows 10, version 1903 avec KB4512941 [10.0.18362.329] et versions ultérieures ✅ Windows 10, version 2004 [10.0.19041] et versions ultérieures |
./Device/Vendor/MSFT/Policy/Config/Audit/AccountLogonLogoff_AuditIPsecMainMode
Ce paramètre de stratégie vous permet d’auditer les événements générés par le protocole IKE (Internet Key Exchange Protocol) et le protocole AuthIP (Authenticated Internet Protocol) pendant les négociations en mode principal.
Si vous configurez ce paramètre de stratégie, un événement d’audit est généré pendant une négociation en mode principal IPsec. Les audits de réussite enregistrent les tentatives réussies et les audits d’échec enregistrent les tentatives infructueuses.
Si vous ne configurez pas ce paramètre de stratégie, aucun événement d’audit n’est généré pendant une négociation en mode principal IPsec.
Volume : élevé.
Propriétés de l’infrastructure de description :
Nom de la propriété | Valeur de la propriété |
---|---|
Format | int |
Type d’accès | Ajouter, Supprimer, Obtenir, Remplacer |
Valeur par défaut | 0 |
Valeurs autorisées:
Valeur | Description |
---|---|
0 (par défaut) | Désactivé/Aucun. |
1 | Succès. |
2 | Échec. |
3 | Réussite+Échec. |
Mappage de stratégie de groupe :
Nom | Valeur |
---|---|
Nom | Auditer le mode principal IPsec |
Chemin d'accès | Paramètres Windows Paramètres > de sécurité Paramètres > avancés Stratégie d’audit Configuration > système Stratégies d’audit > Ouverture de session/déconnexion |
AccountLogonLogoff_AuditIPsecQuickMode
Étendue | Éditions | Système d’exploitation applicable |
---|---|---|
✅ Appareil ❌Utilisateur |
✅Pro ✅ Enterprise ✅ Éducation ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, version 1803 avec KB4516045 [10.0.17134.1039] et versions ultérieures ✅ Windows 10, version 1809 avec KB4516077 [10.0.17763.774] et versions ultérieures ✅ Windows 10, version 1903 avec KB4512941 [10.0.18362.329] et versions ultérieures ✅ Windows 10, version 2004 [10.0.19041] et versions ultérieures |
./Device/Vendor/MSFT/Policy/Config/Audit/AccountLogonLogoff_AuditIPsecQuickMode
Ce paramètre de stratégie vous permet d’auditer les événements générés par le protocole IKE (Internet Key Exchange Protocol) et le protocole AuthIP (Authenticated Internet Protocol) pendant les négociations en mode rapide. Si vous configurez ce paramètre de stratégie, un événement d’audit est généré pendant une négociation en mode rapide IPsec. Les audits de réussite enregistrent les tentatives réussies et les audits d’échec enregistrent les tentatives infructueuses. Si vous ne configurez pas ce paramètre de stratégie, aucun événement d’audit n’est généré pendant une négociation en mode rapide IPsec.
Volume : élevé.
Propriétés de l’infrastructure de description :
Nom de la propriété | Valeur de la propriété |
---|---|
Format | int |
Type d’accès | Ajouter, Supprimer, Obtenir, Remplacer |
Valeur par défaut | 0 |
Valeurs autorisées:
Valeur | Description |
---|---|
0 (par défaut) | Désactivé/Aucun. |
1 | Succès. |
2 | Échec. |
3 | Réussite+Échec. |
Mappage de stratégie de groupe :
Nom | Valeur |
---|---|
Nom | Auditer le mode rapide IPsec |
Chemin d'accès | Paramètres Windows Paramètres > de sécurité Paramètres > avancés Stratégie d’audit Configuration > système Stratégies d’audit > Ouverture de session/déconnexion |
AccountLogonLogoff_AuditLogoff
Étendue | Éditions | Système d’exploitation applicable |
---|---|---|
✅ Appareil ❌Utilisateur |
✅Pro ✅ Enterprise ✅ Éducation ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, version 1803 avec KB4516045 [10.0.17134.1039] et versions ultérieures ✅ Windows 10, version 1809 avec KB4516077 [10.0.17763.774] et versions ultérieures ✅ Windows 10, version 1903 avec KB4512941 [10.0.18362.329] et versions ultérieures ✅ Windows 10, version 2004 [10.0.19041] et versions ultérieures |
./Device/Vendor/MSFT/Policy/Config/Audit/AccountLogonLogoff_AuditLogoff
Ce paramètre de stratégie vous permet d’auditer les événements générés par la fermeture d’une session d’ouverture de session. Ces événements se produisent sur l’ordinateur auquel l’accès a été effectué. Pour une déconnexion interactive, l’événement d’audit de sécurité est généré sur l’ordinateur auquel le compte d’utilisateur s’est connecté.
Si vous configurez ce paramètre de stratégie, un événement d’audit est généré lorsqu’une session d’ouverture de session est fermée. Les audits de réussite enregistrent les tentatives de fermeture de sessions réussies et les audits d’échec enregistrent les tentatives de fermeture de sessions infructueuses.
Si vous ne configurez pas ce paramètre de stratégie, aucun événement d’audit n’est généré lorsqu’une session d’ouverture de session est fermée.
Volume : Faible.
Propriétés de l’infrastructure de description :
Nom de la propriété | Valeur de la propriété |
---|---|
Format | int |
Type d’accès | Ajouter, Supprimer, Obtenir, Remplacer |
Valeur par défaut | 1 |
Valeurs autorisées:
Valeur | Description |
---|---|
0 | Désactivé/Aucun. |
1 (par défaut) | Succès. |
2 | Échec. |
3 | Réussite+Échec. |
Mappage de stratégie de groupe :
Nom | Valeur |
---|---|
Nom | Auditer la fermeture de session |
Chemin d'accès | Paramètres Windows Paramètres > de sécurité Paramètres > avancés Stratégie d’audit Configuration > système Stratégies d’audit > Ouverture de session/déconnexion |
AccountLogonLogoff_AuditLogon
Étendue | Éditions | Système d’exploitation applicable |
---|---|---|
✅ Appareil ❌Utilisateur |
✅Pro ✅ Enterprise ✅ Éducation ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, version 1803 avec KB4516045 [10.0.17134.1039] et versions ultérieures ✅ Windows 10, version 1809 avec KB4516077 [10.0.17763.774] et versions ultérieures ✅ Windows 10, version 1903 avec KB4512941 [10.0.18362.329] et versions ultérieures ✅ Windows 10, version 2004 [10.0.19041] et versions ultérieures |
./Device/Vendor/MSFT/Policy/Config/Audit/AccountLogonLogoff_AuditLogon
Ce paramètre de stratégie vous permet d’auditer les événements générés par les tentatives d’ouverture de session de compte d’utilisateur sur l’ordinateur. Les événements de cette sous-catégorie sont liés à la création de sessions d’ouverture de session et se produisent sur l’ordinateur auquel l’accès a été effectué. Pour une ouverture de session interactive, l’événement d’audit de sécurité est généré sur l’ordinateur auquel le compte d’utilisateur s’est connecté. Pour une ouverture de session réseau, comme l’accès à un dossier partagé sur le réseau, l’événement d’audit de sécurité est généré sur l’ordinateur hébergeant la ressource. Les événements suivants sont inclus : Tentatives d’ouverture de session réussies. Échec des tentatives d’ouverture de session. Tentatives d’ouverture de session à l’aide d’informations d’identification explicites. Cet événement est généré lorsqu’un processus tente de se connecter à un compte en spécifiant explicitement les informations d’identification de ce compte. Cela se produit le plus souvent dans les configurations d’ouverture de session par lots, telles que les tâches planifiées ou lors de l’utilisation de la commande RUNAS. Les identificateurs de sécurité (SID) ont été filtrés et ne sont pas autorisés à se connecter.
Volume : faible sur un ordinateur client. Moyenne sur un contrôleur de domaine ou un serveur réseau.
Propriétés de l’infrastructure de description :
Nom de la propriété | Valeur de la propriété |
---|---|
Format | int |
Type d’accès | Ajouter, Supprimer, Obtenir, Remplacer |
Valeur par défaut | 1 |
Valeurs autorisées:
Valeur | Description |
---|---|
0 | Désactivé/Aucun. |
1 (par défaut) | Succès. |
2 | Échec. |
3 | Réussite+Échec. |
Mappage de stratégie de groupe :
Nom | Valeur |
---|---|
Nom | Auditer l’ouverture de session |
Chemin d'accès | Paramètres Windows Paramètres > de sécurité Paramètres > avancés Stratégie d’audit Configuration > système Stratégies d’audit > Ouverture de session/déconnexion |
AccountLogonLogoff_AuditNetworkPolicyServer
Étendue | Éditions | Système d’exploitation applicable |
---|---|---|
✅ Appareil ❌Utilisateur |
✅Pro ✅ Enterprise ✅ Éducation ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, version 1803 avec KB4516045 [10.0.17134.1039] et versions ultérieures ✅ Windows 10, version 1809 avec KB4516077 [10.0.17763.774] et versions ultérieures ✅ Windows 10, version 1903 avec KB4512941 [10.0.18362.329] et versions ultérieures ✅ Windows 10, version 2004 [10.0.19041] et versions ultérieures |
./Device/Vendor/MSFT/Policy/Config/Audit/AccountLogonLogoff_AuditNetworkPolicyServer
Ce paramètre de stratégie vous permet d’auditer les événements générés par les demandes d’accès utilisateur RADIUS (IAS) et NAP (Network Access Protection). Ces requêtes peuvent être Accorder, Refuser, Ignorer, Mettre en quarantaine, Verrouiller et Déverrouiller.
Si vous configurez ce paramètre de stratégie, un événement d’audit est généré pour chaque demande d’accès utilisateur IAS et NAP. Les audits de réussite enregistrent les demandes d’accès utilisateur réussies et les audits d’échec enregistrent les tentatives infructueuses.
Si vous ne configurez pas ces paramètres de stratégie, les demandes d’accès utilisateur IAS et NAP ne sont pas auditées.
Volume : moyen ou élevé sur serveur NPS et IAS. Aucun volume sur les autres ordinateurs.
Propriétés de l’infrastructure de description :
Nom de la propriété | Valeur de la propriété |
---|---|
Format | int |
Type d’accès | Ajouter, Supprimer, Obtenir, Remplacer |
Valeur par défaut | 3 |
Valeurs autorisées:
Valeur | Description |
---|---|
0 | Désactivé/Aucun. |
1 | Succès. |
2 | Échec. |
3 (par défaut) | Réussite+Échec. |
Mappage de stratégie de groupe :
Nom | Valeur |
---|---|
Nom | Auditer le serveur NPS (Network Policy Server) |
Chemin d'accès | Paramètres Windows Paramètres > de sécurité Paramètres > avancés Stratégie d’audit Configuration > système Stratégies d’audit > Ouverture de session/déconnexion |
AccountLogonLogoff_AuditOtherLogonLogoffEvents
Étendue | Éditions | Système d’exploitation applicable |
---|---|---|
✅ Appareil ❌Utilisateur |
✅Pro ✅ Enterprise ✅ Éducation ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, version 1803 avec KB4516045 [10.0.17134.1039] et versions ultérieures ✅ Windows 10, version 1809 avec KB4516077 [10.0.17763.774] et versions ultérieures ✅ Windows 10, version 1903 avec KB4512941 [10.0.18362.329] et versions ultérieures ✅ Windows 10, version 2004 [10.0.19041] et versions ultérieures |
./Device/Vendor/MSFT/Policy/Config/Audit/AccountLogonLogoff_AuditOtherLogonLogoffEvents
Ce paramètre de stratégie vous permet d’auditer d’autres événements liés à l’ouverture de session/déconnexion qui ne sont pas couverts dans le paramètre de stratégie « Ouverture de session/Fermeture de session », comme le suivant : Déconnexions de session des services Terminal Server. Nouvelles sessions des services Terminal Server. Verrouillage et déverrouillage d’une station de travail. Appel d’un économiseur d’écran. Licenciement d’un économiseur d’écran. Détection d’une attaque par relecture Kerberos, dans laquelle une requête Kerberos a été reçue deux fois avec des informations identiques. Cette condition peut être due à une configuration incorrecte du réseau. Accès à un réseau sans fil accordé à un compte d’utilisateur ou d’ordinateur. Accès à un réseau câblé 802.1x accordé à un compte d’utilisateur ou d’ordinateur.
Volume : Faible.
Propriétés de l’infrastructure de description :
Nom de la propriété | Valeur de la propriété |
---|---|
Format | int |
Type d’accès | Ajouter, Supprimer, Obtenir, Remplacer |
Valeur par défaut | 0 |
Valeurs autorisées:
Valeur | Description |
---|---|
0 (par défaut) | Désactivé/Aucun. |
1 | Succès. |
2 | Échec. |
3 | Réussite+Échec. |
Mappage de stratégie de groupe :
Nom | Valeur |
---|---|
Nom | Auditer les autres événements de fermeture de session |
Chemin d'accès | Paramètres Windows Paramètres > de sécurité Paramètres > avancés Stratégie d’audit Configuration > système Stratégies d’audit > Ouverture de session/déconnexion |
AccountLogonLogoff_AuditSpecialLogon
Étendue | Éditions | Système d’exploitation applicable |
---|---|---|
✅ Appareil ❌Utilisateur |
✅Pro ✅ Enterprise ✅ Éducation ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, version 1803 avec KB4516045 [10.0.17134.1039] et versions ultérieures ✅ Windows 10, version 1809 avec KB4516077 [10.0.17763.774] et versions ultérieures ✅ Windows 10, version 1903 avec KB4512941 [10.0.18362.329] et versions ultérieures ✅ Windows 10, version 2004 [10.0.19041] et versions ultérieures |
./Device/Vendor/MSFT/Policy/Config/Audit/AccountLogonLogoff_AuditSpecialLogon
Ce paramètre de stratégie vous permet d’auditer les événements générés par des ouvertures de session spéciales, par exemple : L’utilisation d’une ouverture de session spéciale, qui est une ouverture de session qui dispose de privilèges équivalents à l’administrateur et qui peut être utilisée pour élever un processus à un niveau supérieur. Ouverture de session par un membre d’un groupe spécial. Les groupes spéciaux vous permettent d’auditer les événements générés lorsqu’un membre d’un certain groupe s’est connecté à votre réseau. Vous pouvez configurer une liste d’identificateurs de sécurité de groupe (SID) dans le Registre. Si l’un de ces SID est ajouté à un jeton pendant l’ouverture de session et que la sous-catégorie est activée, un événement est journalisé. Pour plus d’informations sur cette fonctionnalité, consultez l’article 947223 dans la Base de connaissances Microsoft.
Volume : Faible.
Propriétés de l’infrastructure de description :
Nom de la propriété | Valeur de la propriété |
---|---|
Format | int |
Type d’accès | Ajouter, Supprimer, Obtenir, Remplacer |
Valeur par défaut | 1 |
Valeurs autorisées:
Valeur | Description |
---|---|
0 | Désactivé/Aucun. |
1 (par défaut) | Succès. |
2 | Échec. |
3 | Réussite+Échec. |
Mappage de stratégie de groupe :
Nom | Valeur |
---|---|
Nom | Auditer l’ouverture de session spéciale |
Chemin d'accès | Paramètres Windows Paramètres > de sécurité Paramètres > avancés Stratégie d’audit Configuration > système Stratégies d’audit > Ouverture de session/déconnexion |
AccountLogonLogoff_AuditUserDeviceClaims
Étendue | Éditions | Système d’exploitation applicable |
---|---|---|
✅ Appareil ❌Utilisateur |
✅Pro ✅ Enterprise ✅ Éducation ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, version 1803 avec KB4516045 [10.0.17134.1039] et versions ultérieures ✅ Windows 10, version 1809 avec KB4516077 [10.0.17763.774] et versions ultérieures ✅ Windows 10, version 1903 avec KB4512941 [10.0.18362.329] et versions ultérieures ✅ Windows 10, version 2004 [10.0.19041] et versions ultérieures |
./Device/Vendor/MSFT/Policy/Config/Audit/AccountLogonLogoff_AuditUserDeviceClaims
Cette stratégie vous permet d’auditer les informations sur les revendications des utilisateurs et des appareils dans le jeton d’ouverture de session de l’utilisateur. Les événements de cette sous-catégorie sont générés sur l’ordinateur sur lequel une session d’ouverture de session est créée. Pour une ouverture de session interactive, l’événement d’audit de sécurité est généré sur l’ordinateur auquel l’utilisateur s’est connecté. Pour une ouverture de session réseau, comme l’accès à un dossier partagé sur le réseau, l’événement d’audit de sécurité est généré sur l’ordinateur hébergeant la ressource. Les revendications utilisateur sont ajoutées à un jeton d’ouverture de session lorsque les revendications sont incluses avec les attributs de compte d’un utilisateur dans Active Directory. Les revendications d’appareil sont ajoutées au jeton d’ouverture de session lorsque les revendications sont incluses avec les attributs du compte d’ordinateur d’un appareil dans Active Directory. En outre, l’identité composée doit être activée pour le domaine et sur l’ordinateur sur lequel l’utilisateur s’est connecté. Lorsque ce paramètre est configuré, un ou plusieurs événements d’audit de sécurité sont générés pour chaque ouverture de session réussie. Vous devez également activer le paramètre Auditer l’ouverture de session sous Configuration avancée de la stratégie d’audit\Stratégies d’audit système\Ouverture de session/Fermeture de session. Plusieurs événements sont générés si les informations sur les revendications de l’utilisateur et de l’appareil ne peuvent pas tenir dans un seul événement d’audit de sécurité.
Volume : faible sur un ordinateur client. Moyenne sur un contrôleur de domaine ou un serveur réseau.
Propriétés de l’infrastructure de description :
Nom de la propriété | Valeur de la propriété |
---|---|
Format | int |
Type d’accès | Ajouter, Supprimer, Obtenir, Remplacer |
Valeur par défaut | 0 |
Valeurs autorisées:
Valeur | Description |
---|---|
0 (par défaut) | Désactivé/Aucun. |
1 | Succès. |
2 | Échec. |
3 | Réussite+Échec. |
Mappage de stratégie de groupe :
Nom | Valeur |
---|---|
Nom | Auditer les revendications d’appareil utilisateur |
Chemin d'accès | Paramètres Windows Paramètres > de sécurité Paramètres > avancés Stratégie d’audit Configuration > système Stratégies d’audit > Ouverture de session/déconnexion |
AccountManagement_AuditApplicationGroupManagement
Étendue | Éditions | Système d’exploitation applicable |
---|---|---|
✅ Appareil ❌Utilisateur |
✅Pro ✅ Enterprise ✅ Éducation ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, version 1803 avec KB4516045 [10.0.17134.1039] et versions ultérieures ✅ Windows 10, version 1809 avec KB4516077 [10.0.17763.774] et versions ultérieures ✅ Windows 10, version 1903 avec KB4512941 [10.0.18362.329] et versions ultérieures ✅ Windows 10, version 2004 [10.0.19041] et versions ultérieures |
./Device/Vendor/MSFT/Policy/Config/Audit/AccountManagement_AuditApplicationGroupManagement
Ce paramètre de stratégie vous permet d’auditer les événements générés par les modifications apportées aux groupes d’applications, par exemple : Le groupe d’applications est créé, modifié ou supprimé. Le membre est ajouté ou supprimé d’un groupe d’applications.
Si vous configurez ce paramètre de stratégie, un événement d’audit est généré lorsqu’une tentative de modification d’un groupe d’applications est effectuée. Les audits de réussite enregistrent les tentatives réussies et les audits d’échec enregistrent les tentatives infructueuses.
Si vous ne configurez pas ce paramètre de stratégie, aucun événement d’audit n’est généré lorsqu’un groupe d’applications change.
Volume : Faible.
Propriétés de l’infrastructure de description :
Nom de la propriété | Valeur de la propriété |
---|---|
Format | int |
Type d’accès | Ajouter, Supprimer, Obtenir, Remplacer |
Valeur par défaut | 0 |
Valeurs autorisées:
Valeur | Description |
---|---|
0 (par défaut) | Désactivé/Aucun. |
1 | Succès. |
2 | Échec. |
3 | Réussite+Échec. |
Mappage de stratégie de groupe :
Nom | Valeur |
---|---|
Nom | Auditer la gestion des groupes d’applications |
Chemin d'accès | Paramètres Windows Paramètres > de sécurité Paramètres > avancés Stratégie d’audit Configuration > système Stratégies d’audit > Gestion des comptes |
AccountManagement_AuditComputerAccountManagement
Étendue | Éditions | Système d’exploitation applicable |
---|---|---|
✅ Appareil ❌Utilisateur |
✅Pro ✅ Enterprise ✅ Éducation ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, version 1803 avec KB4516045 [10.0.17134.1039] et versions ultérieures ✅ Windows 10, version 1809 avec KB4516077 [10.0.17763.774] et versions ultérieures ✅ Windows 10, version 1903 avec KB4512941 [10.0.18362.329] et versions ultérieures ✅ Windows 10, version 2004 [10.0.19041] et versions ultérieures |
./Device/Vendor/MSFT/Policy/Config/Audit/AccountManagement_AuditComputerAccountManagement
Ce paramètre de stratégie vous permet d’auditer les événements générés par les modifications apportées aux comptes d’ordinateur, par exemple lorsqu’un compte d’ordinateur est créé, modifié ou supprimé.
Si vous configurez ce paramètre de stratégie, un événement d’audit est généré lorsqu’une tentative de modification d’un compte d’ordinateur est effectuée. Les audits de réussite enregistrent les tentatives réussies et les audits d’échec enregistrent les tentatives infructueuses.
Si vous ne configurez pas ce paramètre de stratégie, aucun événement d’audit n’est généré lorsqu’un compte d’ordinateur change.
Volume : Faible.
Propriétés de l’infrastructure de description :
Nom de la propriété | Valeur de la propriété |
---|---|
Format | int |
Type d’accès | Ajouter, Supprimer, Obtenir, Remplacer |
Valeur par défaut | 0 |
Valeurs autorisées:
Valeur | Description |
---|---|
0 (par défaut) | Désactivé/Aucun. |
1 | Succès. |
2 | Échec. |
3 | Réussite+Échec. |
Mappage de stratégie de groupe :
Nom | Valeur |
---|---|
Nom | Auditer la gestion des comptes d’ordinateur |
Chemin d'accès | Paramètres Windows Paramètres > de sécurité Paramètres > avancés Stratégie d’audit Configuration > système Stratégies d’audit > Gestion des comptes |
AccountManagement_AuditDistributionGroupManagement
Étendue | Éditions | Système d’exploitation applicable |
---|---|---|
✅ Appareil ❌Utilisateur |
✅Pro ✅ Enterprise ✅ Éducation ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, version 1803 avec KB4516045 [10.0.17134.1039] et versions ultérieures ✅ Windows 10, version 1809 avec KB4516077 [10.0.17763.774] et versions ultérieures ✅ Windows 10, version 1903 avec KB4512941 [10.0.18362.329] et versions ultérieures ✅ Windows 10, version 2004 [10.0.19041] et versions ultérieures |
./Device/Vendor/MSFT/Policy/Config/Audit/AccountManagement_AuditDistributionGroupManagement
Ce paramètre de stratégie vous permet d’auditer les événements générés par les modifications apportées aux groupes de distribution, par exemple : Le groupe de distribution est créé, modifié ou supprimé. Le membre est ajouté ou supprimé d’un groupe de distribution. Le type de groupe de distribution est modifié.
Si vous configurez ce paramètre de stratégie, un événement d’audit est généré lorsqu’une tentative de modification d’un groupe de distribution est effectuée. Les audits de réussite enregistrent les tentatives réussies et les audits d’échec enregistrent les tentatives infructueuses.
Si vous ne configurez pas ce paramètre de stratégie, aucun événement d’audit n’est généré lorsqu’un groupe de distribution change.
Remarque
Les événements de cette sous-catégorie sont enregistrés uniquement sur les contrôleurs de domaine.
Volume : Faible.
Propriétés de l’infrastructure de description :
Nom de la propriété | Valeur de la propriété |
---|---|
Format | int |
Type d’accès | Ajouter, Supprimer, Obtenir, Remplacer |
Valeur par défaut | 0 |
Valeurs autorisées:
Valeur | Description |
---|---|
0 (par défaut) | Désactivé/Aucun. |
1 | Succès. |
2 | Échec. |
3 | Réussite+Échec. |
Mappage de stratégie de groupe :
Nom | Valeur |
---|---|
Nom | Auditer la gestion des groupes de distribution |
Chemin d'accès | Paramètres Windows Paramètres > de sécurité Paramètres > avancés Stratégie d’audit Configuration > système Stratégies d’audit > Gestion des comptes |
AccountManagement_AuditOtherAccountManagementEvents
Étendue | Éditions | Système d’exploitation applicable |
---|---|---|
✅ Appareil ❌Utilisateur |
✅Pro ✅ Enterprise ✅ Éducation ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, version 1803 avec KB4516045 [10.0.17134.1039] et versions ultérieures ✅ Windows 10, version 1809 avec KB4516077 [10.0.17763.774] et versions ultérieures ✅ Windows 10, version 1903 avec KB4512941 [10.0.18362.329] et versions ultérieures ✅ Windows 10, version 2004 [10.0.19041] et versions ultérieures |
./Device/Vendor/MSFT/Policy/Config/Audit/AccountManagement_AuditOtherAccountManagementEvents
Ce paramètre de stratégie vous permet d’auditer les événements générés par d’autres modifications de compte d’utilisateur qui ne sont pas couvertes dans cette catégorie, par exemple : Le hachage de mot de passe d’un compte d’utilisateur a été consulté. Cela se produit généralement lors d’une migration de mot de passe de l’outil de gestion Active Directory. L’API de vérification de la stratégie de mot de passe a été appelée. Les appels à cette fonction peuvent faire partie d’une attaque lorsqu’une application malveillante teste la stratégie pour réduire le nombre de tentatives lors d’une attaque par dictionnaire de mots de passe. Modifications apportées à la stratégie de groupe de domaine par défaut sous les chemins de stratégie de groupe suivants : Configuration ordinateur\Paramètres Windows\Paramètres de sécurité\Stratégies de compte\Stratégie de mot de passe Configuration ordinateur\Paramètres Windows\Paramètres de sécurité\Stratégies de compte\Stratégie de verrouillage de compte.
Volume : Faible.
Propriétés de l’infrastructure de description :
Nom de la propriété | Valeur de la propriété |
---|---|
Format | int |
Type d’accès | Ajouter, Supprimer, Obtenir, Remplacer |
Valeur par défaut | 0 |
Valeurs autorisées:
Valeur | Description |
---|---|
0 (par défaut) | Désactivé/Aucun. |
1 | Succès. |
2 | Échec. |
3 | Réussite+Échec. |
Mappage de stratégie de groupe :
Nom | Valeur |
---|---|
Nom | Auditer d’autres événements de gestion des comptes |
Chemin d'accès | Paramètres Windows Paramètres > de sécurité Paramètres > avancés Stratégie d’audit Configuration > système Stratégies d’audit > Gestion des comptes |
AccountManagement_AuditSecurityGroupManagement
Étendue | Éditions | Système d’exploitation applicable |
---|---|---|
✅ Appareil ❌Utilisateur |
✅Pro ✅ Enterprise ✅ Éducation ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, version 1803 avec KB4516045 [10.0.17134.1039] et versions ultérieures ✅ Windows 10, version 1809 avec KB4516077 [10.0.17763.774] et versions ultérieures ✅ Windows 10, version 1903 avec KB4512941 [10.0.18362.329] et versions ultérieures ✅ Windows 10, version 2004 [10.0.19041] et versions ultérieures |
./Device/Vendor/MSFT/Policy/Config/Audit/AccountManagement_AuditSecurityGroupManagement
Ce paramètre de stratégie vous permet d’auditer les événements générés par les modifications apportées aux groupes de sécurité, par exemple : Le groupe de sécurité est créé, modifié ou supprimé. Le membre est ajouté ou supprimé d’un groupe de sécurité. Le type de groupe est modifié.
Si vous configurez ce paramètre de stratégie, un événement d’audit est généré lorsqu’une tentative de modification d’un groupe de sécurité est effectuée. Les audits de réussite enregistrent les tentatives réussies et les audits d’échec enregistrent les tentatives infructueuses.
Si vous ne configurez pas ce paramètre de stratégie, aucun événement d’audit n’est généré lorsqu’un groupe de sécurité change.
Volume : Faible.
Propriétés de l’infrastructure de description :
Nom de la propriété | Valeur de la propriété |
---|---|
Format | int |
Type d’accès | Ajouter, Supprimer, Obtenir, Remplacer |
Valeur par défaut | 1 |
Valeurs autorisées:
Valeur | Description |
---|---|
0 | Désactivé/Aucun. |
1 (par défaut) | Succès. |
2 | Échec. |
3 | Réussite+Échec. |
Mappage de stratégie de groupe :
Nom | Valeur |
---|---|
Nom | Auditer la gestion des groupes de sécurité |
Chemin d'accès | Paramètres Windows Paramètres > de sécurité Paramètres > avancés Stratégie d’audit Configuration > système Stratégies d’audit > Gestion des comptes |
AccountManagement_AuditUserAccountManagement
Étendue | Éditions | Système d’exploitation applicable |
---|---|---|
✅ Appareil ❌Utilisateur |
✅Pro ✅ Enterprise ✅ Éducation ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, version 1803 avec KB4516045 [10.0.17134.1039] et versions ultérieures ✅ Windows 10, version 1809 avec KB4516077 [10.0.17763.774] et versions ultérieures ✅ Windows 10, version 1903 avec KB4512941 [10.0.18362.329] et versions ultérieures ✅ Windows 10, version 2004 [10.0.19041] et versions ultérieures |
./Device/Vendor/MSFT/Policy/Config/Audit/AccountManagement_AuditUserAccountManagement
Ce paramètre de stratégie vous permet d’auditer les modifications apportées aux comptes d’utilisateur. Les événements sont les suivants : un compte d’utilisateur est créé, modifié, supprimé ; renommé, désactivé, activé, verrouillé ou déverrouillé. Le mot de passe d’un compte d’utilisateur est défini ou modifié. Un identificateur de sécurité (SID) est ajouté à l’historique SID d’un compte d’utilisateur. Le mot de passe du mode de restauration des services d’annuaire est configuré. Les autorisations sur les comptes d’utilisateur administratifs sont modifiées. Les informations d’identification du Gestionnaire d’informations d’identification sont sauvegardées ou restaurées.
Si vous configurez ce paramètre de stratégie, un événement d’audit est généré lorsqu’une tentative de modification d’un compte d’utilisateur est effectuée. Les audits de réussite enregistrent les tentatives réussies et les audits d’échec enregistrent les tentatives infructueuses.
Si vous ne configurez pas ce paramètre de stratégie, aucun événement d’audit n’est généré lorsqu’un compte d’utilisateur change.
Volume : Faible.
Propriétés de l’infrastructure de description :
Nom de la propriété | Valeur de la propriété |
---|---|
Format | int |
Type d’accès | Ajouter, Supprimer, Obtenir, Remplacer |
Valeur par défaut | 1 |
Valeurs autorisées:
Valeur | Description |
---|---|
0 | Désactivé/Aucun. |
1 (par défaut) | Succès. |
2 | Échec. |
3 | Réussite+Échec. |
Mappage de stratégie de groupe :
Nom | Valeur |
---|---|
Nom | Auditer la gestion des comptes d’utilisateur |
Chemin d'accès | Paramètres Windows Paramètres > de sécurité Paramètres > avancés Stratégie d’audit Configuration > système Stratégies d’audit > Gestion des comptes |
DetailedTracking_AuditDPAPIActivity
Étendue | Éditions | Système d’exploitation applicable |
---|---|---|
✅ Appareil ❌Utilisateur |
✅Pro ✅ Enterprise ✅ Éducation ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, version 1803 avec KB4516045 [10.0.17134.1039] et versions ultérieures ✅ Windows 10, version 1809 avec KB4516077 [10.0.17763.774] et versions ultérieures ✅ Windows 10, version 1903 avec KB4512941 [10.0.18362.329] et versions ultérieures ✅ Windows 10, version 2004 [10.0.19041] et versions ultérieures |
./Device/Vendor/MSFT/Policy/Config/Audit/DetailedTracking_AuditDPAPIActivity
Ce paramètre de stratégie vous permet d’auditer les événements générés lorsque des demandes de chiffrement ou de déchiffrement sont adressées à l’interface d’application de protection des données (DPAPI). DPAPI est utilisé pour protéger les informations secrètes telles que le mot de passe stocké et les informations de clé. Pour plus d’informations sur DPAPI, consultez Utilisation de la protection des données.
Si vous configurez ce paramètre de stratégie, un événement d’audit est généré lorsqu’une demande de chiffrement ou de déchiffrement est envoyée à DPAPI. Les audits de réussite enregistrent les demandes réussies et les audits d’échec enregistrent les demandes ayant échoué.
Si vous ne configurez pas ce paramètre de stratégie, aucun événement d’audit n’est généré lorsqu’une demande de chiffrement ou de déchiffrement est envoyée à DPAPI.
Volume : Faible.
Propriétés de l’infrastructure de description :
Nom de la propriété | Valeur de la propriété |
---|---|
Format | int |
Type d’accès | Ajouter, Supprimer, Obtenir, Remplacer |
Valeur par défaut | 0 |
Valeurs autorisées:
Valeur | Description |
---|---|
0 (par défaut) | Désactivé/Aucun. |
1 | Succès. |
2 | Échec. |
3 | Réussite+Échec. |
Mappage de stratégie de groupe :
Nom | Valeur |
---|---|
Nom | Auditer l’activité DPAPI |
Chemin d'accès | Paramètres Windows Paramètres > de sécurité Paramètres > Avancé Stratégie d’audit Configuration > système Stratégies d’audit > Suivi détaillé |
DetailedTracking_AuditPNPActivity
Étendue | Éditions | Système d’exploitation applicable |
---|---|---|
✅ Appareil ❌Utilisateur |
✅Pro ✅ Enterprise ✅ Éducation ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, version 1803 avec KB4516045 [10.0.17134.1039] et versions ultérieures ✅ Windows 10, version 1809 avec KB4516077 [10.0.17763.774] et versions ultérieures ✅ Windows 10, version 1903 avec KB4512941 [10.0.18362.329] et versions ultérieures ✅ Windows 10, version 2004 [10.0.19041] et versions ultérieures |
./Device/Vendor/MSFT/Policy/Config/Audit/DetailedTracking_AuditPNPActivity
Ce paramètre de stratégie vous permet d’auditer quand plug-and-play détecte un appareil externe.
Si vous configurez ce paramètre de stratégie, un événement d’audit est généré chaque fois que plug-and-play détecte un appareil externe. Seuls les audits réussis sont enregistrés pour cette catégorie.
Si vous ne configurez pas ce paramètre de stratégie, aucun événement d’audit n’est généré lorsqu’un appareil externe est détecté par Plug-and-Play.
Volume : Faible.
Propriétés de l’infrastructure de description :
Nom de la propriété | Valeur de la propriété |
---|---|
Format | int |
Type d’accès | Ajouter, Supprimer, Obtenir, Remplacer |
Valeur par défaut | 0 |
Valeurs autorisées:
Valeur | Description |
---|---|
0 (par défaut) | Désactivé/Aucun. |
1 | Succès. |
2 | Échec. |
3 | Réussite+Échec. |
Mappage de stratégie de groupe :
Nom | Valeur |
---|---|
Nom | Auditer l’activité Plug-and-Play |
Chemin d'accès | Paramètres Windows Paramètres > de sécurité Paramètres > Avancé Stratégie d’audit Configuration > système Stratégies d’audit > Suivi détaillé |
DetailedTracking_AuditProcessCreation
Étendue | Éditions | Système d’exploitation applicable |
---|---|---|
✅ Appareil ❌Utilisateur |
✅Pro ✅ Enterprise ✅ Éducation ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, version 1803 avec KB4516045 [10.0.17134.1039] et versions ultérieures ✅ Windows 10, version 1809 avec KB4516077 [10.0.17763.774] et versions ultérieures ✅ Windows 10, version 1903 avec KB4512941 [10.0.18362.329] et versions ultérieures ✅ Windows 10, version 2004 [10.0.19041] et versions ultérieures |
./Device/Vendor/MSFT/Policy/Config/Audit/DetailedTracking_AuditProcessCreation
Ce paramètre de stratégie vous permet d’auditer les événements générés lors de la création ou du démarrage d’un processus. Le nom de l’application ou de l’utilisateur qui a créé le processus est également audité.
Si vous configurez ce paramètre de stratégie, un événement d’audit est généré lors de la création d’un processus. Les audits de réussite enregistrent les tentatives réussies et les audits d’échec enregistrent les tentatives infructueuses.
Si vous ne configurez pas ce paramètre de stratégie, aucun événement d’audit n’est généré lors de la création d’un processus.
Volume : dépend de la façon dont l’ordinateur est utilisé.
Propriétés de l’infrastructure de description :
Nom de la propriété | Valeur de la propriété |
---|---|
Format | int |
Type d’accès | Ajouter, Supprimer, Obtenir, Remplacer |
Valeur par défaut | 0 |
Valeurs autorisées:
Valeur | Description |
---|---|
0 (par défaut) | Désactivé/Aucun. |
1 | Succès. |
2 | Échec. |
3 | Réussite+Échec. |
Mappage de stratégie de groupe :
Nom | Valeur |
---|---|
Nom | Auditer la création du processus |
Chemin d'accès | Paramètres Windows Paramètres > de sécurité Paramètres > Avancé Stratégie d’audit Configuration > système Stratégies d’audit > Suivi détaillé |
DetailedTracking_AuditProcessTermination
Étendue | Éditions | Système d’exploitation applicable |
---|---|---|
✅ Appareil ❌Utilisateur |
✅Pro ✅ Enterprise ✅ Éducation ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, version 1803 avec KB4516045 [10.0.17134.1039] et versions ultérieures ✅ Windows 10, version 1809 avec KB4516077 [10.0.17763.774] et versions ultérieures ✅ Windows 10, version 1903 avec KB4512941 [10.0.18362.329] et versions ultérieures ✅ Windows 10, version 2004 [10.0.19041] et versions ultérieures |
./Device/Vendor/MSFT/Policy/Config/Audit/DetailedTracking_AuditProcessTermination
Ce paramètre de stratégie vous permet d’auditer les événements générés à la fin d’un processus.
Si vous configurez ce paramètre de stratégie, un événement d’audit est généré à la fin d’un processus. Les audits de réussite enregistrent les tentatives réussies et les audits d’échec enregistrent les tentatives infructueuses.
Si vous ne configurez pas ce paramètre de stratégie, aucun événement d’audit n’est généré à la fin d’un processus.
Volume : dépend de la façon dont l’ordinateur est utilisé.
Propriétés de l’infrastructure de description :
Nom de la propriété | Valeur de la propriété |
---|---|
Format | int |
Type d’accès | Ajouter, Supprimer, Obtenir, Remplacer |
Valeur par défaut | 0 |
Valeurs autorisées:
Valeur | Description |
---|---|
0 (par défaut) | Désactivé/Aucun. |
1 | Succès. |
2 | Échec. |
3 | Réussite+Échec. |
Mappage de stratégie de groupe :
Nom | Valeur |
---|---|
Nom | Auditer la fin du processus |
Chemin d'accès | Paramètres Windows Paramètres > de sécurité Paramètres > Avancé Stratégie d’audit Configuration > système Stratégies d’audit > Suivi détaillé |
DetailedTracking_AuditRPCEvents
Étendue | Éditions | Système d’exploitation applicable |
---|---|---|
✅ Appareil ❌Utilisateur |
✅Pro ✅ Enterprise ✅ Éducation ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, version 1803 avec KB4516045 [10.0.17134.1039] et versions ultérieures ✅ Windows 10, version 1809 avec KB4516077 [10.0.17763.774] et versions ultérieures ✅ Windows 10, version 1903 avec KB4512941 [10.0.18362.329] et versions ultérieures ✅ Windows 10, version 2004 [10.0.19041] et versions ultérieures |
./Device/Vendor/MSFT/Policy/Config/Audit/DetailedTracking_AuditRPCEvents
Ce paramètre de stratégie vous permet d’auditer les connexions d’appel de procédure distante (RPC) entrantes.
Si vous configurez ce paramètre de stratégie, un événement d’audit est généré lors d’une tentative de connexion RPC distante. Les audits de réussite enregistrent les tentatives réussies et les audits d’échec enregistrent les tentatives infructueuses.
Si vous ne configurez pas ce paramètre de stratégie, aucun événement d’audit n’est généré lors d’une tentative de connexion RPC distante.
Volume : élevé sur les serveurs RPC.
Propriétés de l’infrastructure de description :
Nom de la propriété | Valeur de la propriété |
---|---|
Format | int |
Type d’accès | Ajouter, Supprimer, Obtenir, Remplacer |
Valeur par défaut | 0 |
Valeurs autorisées:
Valeur | Description |
---|---|
0 (par défaut) | Désactivé/Aucun. |
1 | Succès. |
2 | Échec. |
3 | Réussite+Échec. |
Mappage de stratégie de groupe :
Nom | Valeur |
---|---|
Nom | Auditer les événements RPC |
Chemin d'accès | Paramètres Windows Paramètres > de sécurité Paramètres > Avancé Stratégie d’audit Configuration > système Stratégies d’audit > Suivi détaillé |
DetailedTracking_AuditTokenRightAdjusted
Étendue | Éditions | Système d’exploitation applicable |
---|---|---|
✅ Appareil ❌Utilisateur |
✅Pro ✅ Enterprise ✅ Éducation ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, version 1803 avec KB4516045 [10.0.17134.1039] et versions ultérieures ✅ Windows 10, version 1809 avec KB4516077 [10.0.17763.774] et versions ultérieures ✅ Windows 10, version 1903 avec KB4512941 [10.0.18362.329] et versions ultérieures ✅ Windows 10, version 2004 [10.0.19041] et versions ultérieures |
./Device/Vendor/MSFT/Policy/Config/Audit/DetailedTracking_AuditTokenRightAdjusted
Ce paramètre de stratégie vous permet d’auditer les événements générés en ajustant les privilèges d’un jeton.
Volume : élevé.
Propriétés de l’infrastructure de description :
Nom de la propriété | Valeur de la propriété |
---|---|
Format | int |
Type d’accès | Ajouter, Supprimer, Obtenir, Remplacer |
Valeur par défaut | 0 |
Valeurs autorisées:
Valeur | Description |
---|---|
0 (par défaut) | Désactivé/Aucun. |
1 | Succès. |
2 | Échec. |
3 | Réussite+Échec. |
Mappage de stratégie de groupe :
Nom | Valeur |
---|---|
Nom | Jeton d’Audit Ajusté à Droite |
Chemin d'accès | Paramètres Windows Paramètres > de sécurité Paramètres > Avancé Stratégie d’audit Configuration > système Stratégies d’audit > Suivi détaillé |
DSAccess_AuditDetailedDirectoryServiceReplication
Étendue | Éditions | Système d’exploitation applicable |
---|---|---|
✅ Appareil ❌Utilisateur |
✅Pro ✅ Enterprise ✅ Éducation ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, version 1803 avec KB4516045 [10.0.17134.1039] et versions ultérieures ✅ Windows 10, version 1809 avec KB4516077 [10.0.17763.774] et versions ultérieures ✅ Windows 10, version 1903 avec KB4512941 [10.0.18362.329] et versions ultérieures ✅ Windows 10, version 2004 [10.0.19041] et versions ultérieures |
./Device/Vendor/MSFT/Policy/Config/Audit/DSAccess_AuditDetailedDirectoryServiceReplication
Ce paramètre de stratégie vous permet d’auditer les événements générés par la réplication détaillée des services de domaine Active Directory (AD DS) entre les contrôleurs de domaine.
Volume : élevé.
Propriétés de l’infrastructure de description :
Nom de la propriété | Valeur de la propriété |
---|---|
Format | int |
Type d’accès | Ajouter, Supprimer, Obtenir, Remplacer |
Valeur par défaut | 0 |
Valeurs autorisées:
Valeur | Description |
---|---|
0 (par défaut) | Désactivé/Aucun. |
1 | Succès. |
2 | Échec. |
3 | Réussite+Échec. |
Mappage de stratégie de groupe :
Nom | Valeur |
---|---|
Nom | Auditer la réplication du service d’annuaire détaillé |
Chemin d'accès | Paramètres Windows Paramètres > de sécurité Paramètres > avancés Stratégie d’audit Configuration > système Stratégies > d’audit Accès DS |
DSAccess_AuditDirectoryServiceAccess
Étendue | Éditions | Système d’exploitation applicable |
---|---|---|
✅ Appareil ❌Utilisateur |
✅Pro ✅ Enterprise ✅ Éducation ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, version 1803 avec KB4516045 [10.0.17134.1039] et versions ultérieures ✅ Windows 10, version 1809 avec KB4516077 [10.0.17763.774] et versions ultérieures ✅ Windows 10, version 1903 avec KB4512941 [10.0.18362.329] et versions ultérieures ✅ Windows 10, version 2004 [10.0.19041] et versions ultérieures |
./Device/Vendor/MSFT/Policy/Config/Audit/DSAccess_AuditDirectoryServiceAccess
Ce paramètre de stratégie vous permet d’auditer les événements générés lorsqu’un objet Active Directory Domain Services (AD DS) est accessible. Seuls les objets AD DS avec une liste de contrôle d’accès système (SACL) correspondante sont enregistrés. Les événements de cette sous-catégorie sont similaires aux événements d’accès au service d’annuaire disponibles dans les versions précédentes de Windows.
Volume : élevé sur les contrôleurs de domaine. Aucun sur les ordinateurs clients.
Propriétés de l’infrastructure de description :
Nom de la propriété | Valeur de la propriété |
---|---|
Format | int |
Type d’accès | Ajouter, Supprimer, Obtenir, Remplacer |
Valeur par défaut | 0 |
Valeurs autorisées:
Valeur | Description |
---|---|
0 (par défaut) | Désactivé/Aucun. |
1 | Succès. |
2 | Échec. |
3 | Réussite+Échec. |
Mappage de stratégie de groupe :
Nom | Valeur |
---|---|
Nom | Auditer l’accès au service d’annuaire |
Chemin d'accès | Paramètres Windows Paramètres > de sécurité Paramètres > avancés Stratégie d’audit Configuration > système Stratégies > d’audit Accès DS |
DSAccess_AuditDirectoryServiceChanges
Étendue | Éditions | Système d’exploitation applicable |
---|---|---|
✅ Appareil ❌Utilisateur |
✅Pro ✅ Enterprise ✅ Éducation ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, version 1803 avec KB4516045 [10.0.17134.1039] et versions ultérieures ✅ Windows 10, version 1809 avec KB4516077 [10.0.17763.774] et versions ultérieures ✅ Windows 10, version 1903 avec KB4512941 [10.0.18362.329] et versions ultérieures ✅ Windows 10, version 2004 [10.0.19041] et versions ultérieures |
./Device/Vendor/MSFT/Policy/Config/Audit/DSAccess_AuditDirectoryServiceChanges
Ce paramètre de stratégie vous permet d’auditer les événements générés par les modifications apportées aux objets dans Active Directory Domain Services (AD DS). Les événements sont enregistrés lorsqu’un objet est créé, supprimé, modifié, déplacé ou non supprimé. Si possible, les événements enregistrés dans cette sous-catégorie indiquent les anciennes et nouvelles valeurs des propriétés de l’objet. Les événements de cette sous-catégorie sont enregistrés uniquement sur les contrôleurs de domaine, et seuls les objets dans AD DS avec une liste de contrôle d’accès système (SACL) correspondante sont enregistrés.
Remarque
Les actions sur certains objets et propriétés n’entraînent pas la génération d’événements d’audit en raison des paramètres de la classe d’objet dans le schéma.
Si vous configurez ce paramètre de stratégie, un événement d’audit est généré lorsqu’une tentative de modification d’un objet dans AD DS est effectuée. Les audits de réussite enregistrent les tentatives réussies, mais les tentatives infructueuses ne sont PAS enregistrées.
Si vous ne configurez pas ce paramètre de stratégie, aucun événement d’audit n’est généré lorsqu’une tentative de modification d’un objet dans l’objet AD DS est effectuée.
Volume : élevé sur les contrôleurs de domaine uniquement.
Propriétés de l’infrastructure de description :
Nom de la propriété | Valeur de la propriété |
---|---|
Format | int |
Type d’accès | Ajouter, Supprimer, Obtenir, Remplacer |
Valeur par défaut | 0 |
Valeurs autorisées:
Valeur | Description |
---|---|
0 (par défaut) | Désactivé/Aucun. |
1 | Succès. |
2 | Échec. |
3 | Réussite+Échec. |
Mappage de stratégie de groupe :
Nom | Valeur |
---|---|
Nom | Auditer les modifications du service d’annuaire |
Chemin d'accès | Paramètres Windows Paramètres > de sécurité Paramètres > avancés Stratégie d’audit Configuration > système Stratégies > d’audit Accès DS |
DSAccess_AuditDirectoryServiceReplication
Étendue | Éditions | Système d’exploitation applicable |
---|---|---|
✅ Appareil ❌Utilisateur |
✅Pro ✅ Enterprise ✅ Éducation ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, version 1803 avec KB4516045 [10.0.17134.1039] et versions ultérieures ✅ Windows 10, version 1809 avec KB4516077 [10.0.17763.774] et versions ultérieures ✅ Windows 10, version 1903 avec KB4512941 [10.0.18362.329] et versions ultérieures ✅ Windows 10, version 2004 [10.0.19041] et versions ultérieures |
./Device/Vendor/MSFT/Policy/Config/Audit/DSAccess_AuditDirectoryServiceReplication
Ce paramètre de stratégie vous permet d’auditer la réplication entre deux contrôleurs de domaine Active Directory Domain Services (AD DS).
Si vous configurez ce paramètre de stratégie, un événement d’audit est généré pendant la réplication AD DS. Les audits de réussite enregistrent la réplication réussie et les audits d’échec enregistrent l’échec de la réplication.
Si vous ne configurez pas ce paramètre de stratégie, aucun événement d’audit n’est généré pendant la réplication AD DS.
Volume : moyen sur les contrôleurs de domaine. Aucun sur les ordinateurs clients.
Propriétés de l’infrastructure de description :
Nom de la propriété | Valeur de la propriété |
---|---|
Format | int |
Type d’accès | Ajouter, Supprimer, Obtenir, Remplacer |
Valeur par défaut | 0 |
Valeurs autorisées:
Valeur | Description |
---|---|
0 (par défaut) | Désactivé/Aucun. |
1 | Succès. |
2 | Échec. |
3 | Réussite+Échec. |
Mappage de stratégie de groupe :
Nom | Valeur |
---|---|
Nom | Auditer la réplication du service d’annuaire |
Chemin d'accès | Paramètres Windows Paramètres > de sécurité Paramètres > avancés Stratégie d’audit Configuration > système Stratégies > d’audit Accès DS |
ObjectAccess_AuditApplicationGenerated
Étendue | Éditions | Système d’exploitation applicable |
---|---|---|
✅ Appareil ❌Utilisateur |
✅Pro ✅ Enterprise ✅ Éducation ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, version 1803 avec KB4516045 [10.0.17134.1039] et versions ultérieures ✅ Windows 10, version 1809 avec KB4516077 [10.0.17763.774] et versions ultérieures ✅ Windows 10, version 1903 avec KB4512941 [10.0.18362.329] et versions ultérieures ✅ Windows 10, version 2004 [10.0.19041] et versions ultérieures |
./Device/Vendor/MSFT/Policy/Config/Audit/ObjectAccess_AuditApplicationGenerated
Ce paramètre de stratégie vous permet d’auditer les applications qui génèrent des événements à l’aide des INTERFACES de programmation d’applications (API) d’audit Windows. Les applications conçues pour utiliser l’API d’audit Windows utilisent cette sous-catégorie pour journaliser les événements d’audit liés à leur fonction. Les événements de cette sous-catégorie incluent : Création d’un contexte client d’application. Suppression d’un contexte client d’application. Initialisation d’un contexte client d’application. Autres opérations d’application utilisant les API d’audit Windows.
Volume : dépend des applications qui les génèrent.
Propriétés de l’infrastructure de description :
Nom de la propriété | Valeur de la propriété |
---|---|
Format | int |
Type d’accès | Ajouter, Supprimer, Obtenir, Remplacer |
Valeur par défaut | 0 |
Valeurs autorisées:
Valeur | Description |
---|---|
0 (par défaut) | Désactivé/Aucun. |
1 | Succès. |
2 | Échec. |
3 | Réussite+Échec. |
Mappage de stratégie de groupe :
Nom | Valeur |
---|---|
Nom | Auditer l’application générée |
Chemin d'accès | Paramètres Windows Paramètres > de sécurité Paramètres > avancés Stratégie d’audit Configuration > système Stratégies d’audit > Accès aux objets |
ObjectAccess_AuditCentralAccessPolicyStaging
Étendue | Éditions | Système d’exploitation applicable |
---|---|---|
✅ Appareil ❌Utilisateur |
✅Pro ✅ Enterprise ✅ Éducation ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, version 1803 avec KB4516045 [10.0.17134.1039] et versions ultérieures ✅ Windows 10, version 1809 avec KB4516077 [10.0.17763.774] et versions ultérieures ✅ Windows 10, version 1903 avec KB4512941 [10.0.18362.329] et versions ultérieures ✅ Windows 10, version 2004 [10.0.19041] et versions ultérieures |
./Device/Vendor/MSFT/Policy/Config/Audit/ObjectAccess_AuditCentralAccessPolicyStaging
Ce paramètre de stratégie vous permet d’auditer les demandes d’accès lorsque l’autorisation accordée ou refusée par une stratégie proposée diffère de la stratégie d’accès centrale actuelle sur un objet. Si vous configurez ce paramètre de stratégie, un événement d’audit est généré chaque fois qu’un utilisateur accède à un objet et l’autorisation accordée par la stratégie d’accès centrale actuelle sur l’objet diffère de celle accordée par la stratégie proposée. L’événement d’audit résultant sera généré comme suit : 1) Les audits de réussite, une fois configurés, enregistrent les tentatives d’accès lorsque la stratégie d’accès centrale actuelle accorde l’accès, mais que la stratégie proposée refuse l’accès. 2) Échec des audits lors de la configuration des tentatives d’accès aux enregistrements lorsque : a) La stratégie d’accès centrale actuelle n’accorde pas l’accès, mais la stratégie proposée accorde l’accès. b) Un principal demande les droits d’accès maximum qu’il est autorisé et les droits d’accès accordés par la stratégie d’accès centrale actuelle sont différents des droits d’accès accordés par la stratégie proposée. Volume : potentiellement élevé sur un serveur de fichiers lorsque la stratégie proposée diffère considérablement de la stratégie d’accès centrale actuelle.
Volume : potentiellement élevé sur un serveur de fichiers lorsque la stratégie proposée diffère considérablement de la stratégie d’accès centrale actuelle.
Propriétés de l’infrastructure de description :
Nom de la propriété | Valeur de la propriété |
---|---|
Format | int |
Type d’accès | Ajouter, Supprimer, Obtenir, Remplacer |
Valeur par défaut | 0 |
Valeurs autorisées:
Valeur | Description |
---|---|
0 (par défaut) | Désactivé/Aucun. |
1 | Succès. |
2 | Échec. |
3 | Réussite+Échec. |
Mappage de stratégie de groupe :
Nom | Valeur |
---|---|
Nom | Auditer la stratégie d’accès centralisée intermédiaire |
Chemin d'accès | Paramètres Windows Paramètres > de sécurité Paramètres > avancés Stratégie d’audit Configuration > système Stratégies d’audit > Accès aux objets |
ObjectAccess_AuditCertificationServices
Étendue | Éditions | Système d’exploitation applicable |
---|---|---|
✅ Appareil ❌Utilisateur |
✅Pro ✅ Enterprise ✅ Éducation ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, version 1803 avec KB4516045 [10.0.17134.1039] et versions ultérieures ✅ Windows 10, version 1809 avec KB4516077 [10.0.17763.774] et versions ultérieures ✅ Windows 10, version 1903 avec KB4512941 [10.0.18362.329] et versions ultérieures ✅ Windows 10, version 2004 [10.0.19041] et versions ultérieures |
./Device/Vendor/MSFT/Policy/Config/Audit/ObjectAccess_AuditCertificationServices
Ce paramètre de stratégie vous permet d’auditer les opérations des services de certificats Active Directory (AD CS). Les opérations AD CS sont les suivantes : démarrage/arrêt/sauvegarde/restauration ad CS. Modifications apportées à la liste de révocation de certificats (CRL). Nouvelles demandes de certificat. Émission d’un certificat. Révocation d’un certificat. Modifications apportées aux paramètres du Gestionnaire de certificats pour AD CS. Modifications apportées à la configuration d’AD CS. Modifications apportées à un modèle Certificate Services. Importation d’un certificat. La publication d’un certificat d’autorité de certification s’effectue sur Active Directory Domain Services. Modifications apportées aux autorisations de sécurité pour AD CS. Archivage d’une clé. Importation d’une clé. Récupération d’une clé. Démarrage du service répondeur OCSP (Online Certificate Status Protocol). Arrêt du service répondeur OCSP (Online Certificate Status Protocol).
Volume : moyen ou faible sur les ordinateurs exécutant les services de certificats Active Directory.
Propriétés de l’infrastructure de description :
Nom de la propriété | Valeur de la propriété |
---|---|
Format | int |
Type d’accès | Ajouter, Supprimer, Obtenir, Remplacer |
Valeur par défaut | 0 |
Valeurs autorisées:
Valeur | Description |
---|---|
0 (par défaut) | Désactivé/Aucun. |
1 | Succès. |
2 | Échec. |
3 | Réussite+Échec. |
Mappage de stratégie de groupe :
Nom | Valeur |
---|---|
Nom | Auditer les services de certification |
Chemin d'accès | Paramètres Windows Paramètres > de sécurité Paramètres > avancés Stratégie d’audit Configuration > système Stratégies d’audit > Accès aux objets |
ObjectAccess_AuditDetailedFileShare
Étendue | Éditions | Système d’exploitation applicable |
---|---|---|
✅ Appareil ❌Utilisateur |
✅Pro ✅ Enterprise ✅ Éducation ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, version 1803 avec KB4516045 [10.0.17134.1039] et versions ultérieures ✅ Windows 10, version 1809 avec KB4516077 [10.0.17763.774] et versions ultérieures ✅ Windows 10, version 1903 avec KB4512941 [10.0.18362.329] et versions ultérieures ✅ Windows 10, version 2004 [10.0.19041] et versions ultérieures |
./Device/Vendor/MSFT/Policy/Config/Audit/ObjectAccess_AuditDetailedFileShare
Ce paramètre de stratégie vous permet d’auditer les tentatives d’accès aux fichiers et dossiers d’un dossier partagé. Le paramètre Partage de fichiers détaillé enregistre un événement chaque fois qu’un fichier ou un dossier est accédé, tandis que le paramètre Partage de fichiers n’enregistre qu’un seul événement pour toute connexion établie entre un client et un partage de fichiers. Les événements d’audit de partage de fichiers détaillés incluent des informations détaillées sur les autorisations ou d’autres critères utilisés pour accorder ou refuser l’accès.
- Si vous configurez ce paramètre de stratégie, un événement d’audit est généré lorsqu’une tentative d’accès à un fichier ou à un dossier sur un partage est effectuée. L’administrateur peut spécifier s’il faut auditer uniquement les réussites, les échecs ou les réussites et les échecs.
Remarque
Il n’existe aucune liste de contrôle d’accès système (SACL) pour les dossiers partagés.
- Si ce paramètre de stratégie est activé, l’accès à tous les fichiers et dossiers partagés sur le système est audité.
Volume : élevé sur un serveur de fichiers ou un contrôleur de domaine en raison de l’accès réseau SYSVOL requis par la stratégie de groupe.
Propriétés de l’infrastructure de description :
Nom de la propriété | Valeur de la propriété |
---|---|
Format | int |
Type d’accès | Ajouter, Supprimer, Obtenir, Remplacer |
Valeur par défaut | 0 |
Valeurs autorisées:
Valeur | Description |
---|---|
0 (par défaut) | Désactivé/Aucun. |
1 | Succès. |
2 | Échec. |
3 | Réussite+Échec. |
Mappage de stratégie de groupe :
Nom | Valeur |
---|---|
Nom | Auditer le partage de fichiers détaillé |
Chemin d'accès | Paramètres Windows Paramètres > de sécurité Paramètres > avancés Stratégie d’audit Configuration > système Stratégies d’audit > Accès aux objets |
ObjectAccess_AuditFileShare
Étendue | Éditions | Système d’exploitation applicable |
---|---|---|
✅ Appareil ❌Utilisateur |
✅Pro ✅ Enterprise ✅ Éducation ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, version 1803 avec KB4516045 [10.0.17134.1039] et versions ultérieures ✅ Windows 10, version 1809 avec KB4516077 [10.0.17763.774] et versions ultérieures ✅ Windows 10, version 1903 avec KB4512941 [10.0.18362.329] et versions ultérieures ✅ Windows 10, version 2004 [10.0.19041] et versions ultérieures |
./Device/Vendor/MSFT/Policy/Config/Audit/ObjectAccess_AuditFileShare
Ce paramètre de stratégie vous permet d’auditer les tentatives d’accès à un dossier partagé.
Si vous configurez ce paramètre de stratégie, un événement d’audit est généré lorsqu’une tentative d’accès à un dossier partagé est effectuée.
Si ce paramètre de stratégie est défini, l’administrateur peut spécifier s’il faut auditer uniquement les réussites, uniquement les échecs ou les réussites et les échecs.
Remarque
Il n’existe aucune liste de contrôle d’accès système (SACL) pour les dossiers partagés.
- Si ce paramètre de stratégie est activé, l’accès à tous les dossiers partagés sur le système est audité.
Volume : élevé sur un serveur de fichiers ou un contrôleur de domaine en raison de l’accès réseau SYSVOL requis par la stratégie de groupe.
Propriétés de l’infrastructure de description :
Nom de la propriété | Valeur de la propriété |
---|---|
Format | int |
Type d’accès | Ajouter, Supprimer, Obtenir, Remplacer |
Valeur par défaut | 0 |
Valeurs autorisées:
Valeur | Description |
---|---|
0 (par défaut) | Désactivé/Aucun. |
1 | Succès. |
2 | Échec. |
3 | Réussite+Échec. |
Mappage de stratégie de groupe :
Nom | Valeur |
---|---|
Nom | Auditer le partage de fichiers |
Chemin d'accès | Paramètres Windows Paramètres > de sécurité Paramètres > avancés Stratégie d’audit Configuration > système Stratégies d’audit > Accès aux objets |
ObjectAccess_AuditFileSystem
Étendue | Éditions | Système d’exploitation applicable |
---|---|---|
✅ Appareil ❌Utilisateur |
✅Pro ✅ Enterprise ✅ Éducation ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, version 1803 avec KB4516045 [10.0.17134.1039] et versions ultérieures ✅ Windows 10, version 1809 avec KB4516077 [10.0.17763.774] et versions ultérieures ✅ Windows 10, version 1903 avec KB4512941 [10.0.18362.329] et versions ultérieures ✅ Windows 10, version 2004 [10.0.19041] et versions ultérieures |
./Device/Vendor/MSFT/Policy/Config/Audit/ObjectAccess_AuditFileSystem
Ce paramètre de stratégie vous permet d’auditer les tentatives d’accès des utilisateurs aux objets du système de fichiers. Un événement d’audit de sécurité est généré uniquement pour les objets dont les listes de contrôle d’accès système (SACL) sont spécifiées, et uniquement si le type d’accès demandé, tel que Write, Read ou Modify, et le compte qui fait que la requête correspond aux paramètres de la SACL. Pour plus d’informations sur l’activation de l’audit d’accès aux objets, consultez<https://go.microsoft.com/fwlink/?LinkId=122083> .
Si vous configurez ce paramètre de stratégie, un événement d’audit est généré chaque fois qu’un compte accède à un objet de système de fichiers avec une SACL correspondante. Les audits de réussite enregistrent les tentatives réussies et les audits d’échec enregistrent les tentatives infructueuses.
Si vous ne configurez pas ce paramètre de stratégie, aucun événement d’audit n’est généré lorsqu’un compte accède à un objet de système de fichiers avec une liste SACL correspondante.
Remarque
Vous pouvez définir une liste SACL sur un objet de système de fichiers à l’aide de l’onglet Sécurité de la boîte de dialogue Propriétés de cet objet.
Volume : dépend de la façon dont les bibliothèques SACL du système de fichiers sont configurées.
Propriétés de l’infrastructure de description :
Nom de la propriété | Valeur de la propriété |
---|---|
Format | int |
Type d’accès | Ajouter, Supprimer, Obtenir, Remplacer |
Valeur par défaut | 0 |
Valeurs autorisées:
Valeur | Description |
---|---|
0 (par défaut) | Désactivé/Aucun. |
1 | Succès. |
2 | Échec. |
3 | Réussite+Échec. |
Mappage de stratégie de groupe :
Nom | Valeur |
---|---|
Nom | Auditer le système de fichiers |
Chemin d'accès | Paramètres Windows Paramètres > de sécurité Paramètres > avancés Stratégie d’audit Configuration > système Stratégies d’audit > Accès aux objets |
ObjectAccess_AuditFilteringPlatformConnection
Étendue | Éditions | Système d’exploitation applicable |
---|---|---|
✅ Appareil ❌Utilisateur |
✅Pro ✅ Enterprise ✅ Éducation ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, version 1803 avec KB4516045 [10.0.17134.1039] et versions ultérieures ✅ Windows 10, version 1809 avec KB4516077 [10.0.17763.774] et versions ultérieures ✅ Windows 10, version 1903 avec KB4512941 [10.0.18362.329] et versions ultérieures ✅ Windows 10, version 2004 [10.0.19041] et versions ultérieures |
./Device/Vendor/MSFT/Policy/Config/Audit/ObjectAccess_AuditFilteringPlatformConnection
Ce paramètre de stratégie vous permet d’auditer les connexions autorisées ou bloquées par la plateforme de filtrage Windows (PAM). Les événements suivants sont inclus : Le service pare-feu Windows empêche une application d’accepter les connexions entrantes sur le réseau. Le PAM autorise une connexion. Le PAM bloque une connexion. Le PAM autorise une liaison avec un port local. Le PAM bloque une liaison avec un port local. Le PAM autorise une connexion. Le PAM bloque une connexion. Le PAM permet à une application ou à un service d’écouter sur un port les connexions entrantes. Le PAM bloque une application ou un service pour écouter sur un port les connexions entrantes.
Si vous configurez ce paramètre de stratégie, un événement d’audit est généré lorsque les connexions sont autorisées ou bloquées par le PAM. Les audits de réussite enregistrent les événements générés lorsque les connexions sont autorisées et les audits d’échec enregistrent les événements générés lorsque les connexions sont bloquées.
Si vous ne configurez pas ce paramètre de stratégie, aucun événement d’audit n’est généré lorsque la connexion est autorisée ou bloquée par le PAM.
Volume : élevé.
Propriétés de l’infrastructure de description :
Nom de la propriété | Valeur de la propriété |
---|---|
Format | int |
Type d’accès | Ajouter, Supprimer, Obtenir, Remplacer |
Valeur par défaut | 0 |
Valeurs autorisées:
Valeur | Description |
---|---|
0 (par défaut) | Désactivé/Aucun. |
1 | Succès. |
2 | Échec. |
3 | Réussite+Échec. |
Mappage de stratégie de groupe :
Nom | Valeur |
---|---|
Nom | Auditer la connexion de la plateforme de filtrage |
Chemin d'accès | Paramètres Windows Paramètres > de sécurité Paramètres > avancés Stratégie d’audit Configuration > système Stratégies d’audit > Accès aux objets |
ObjectAccess_AuditFilteringPlatformPacketDrop
Étendue | Éditions | Système d’exploitation applicable |
---|---|---|
✅ Appareil ❌Utilisateur |
✅Pro ✅ Enterprise ✅ Éducation ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, version 1803 avec KB4516045 [10.0.17134.1039] et versions ultérieures ✅ Windows 10, version 1809 avec KB4516077 [10.0.17763.774] et versions ultérieures ✅ Windows 10, version 1903 avec KB4512941 [10.0.18362.329] et versions ultérieures ✅ Windows 10, version 2004 [10.0.19041] et versions ultérieures |
./Device/Vendor/MSFT/Policy/Config/Audit/ObjectAccess_AuditFilteringPlatformPacketDrop
Ce paramètre de stratégie vous permet d’auditer les paquets supprimés par la plateforme de filtrage Windows (PAM).
Volume : élevé.
Propriétés de l’infrastructure de description :
Nom de la propriété | Valeur de la propriété |
---|---|
Format | int |
Type d’accès | Ajouter, Supprimer, Obtenir, Remplacer |
Valeur par défaut | 0 |
Valeurs autorisées:
Valeur | Description |
---|---|
0 (par défaut) | Désactivé/Aucun. |
1 | Succès. |
2 | Échec. |
3 | Réussite+Échec. |
Mappage de stratégie de groupe :
Nom | Valeur |
---|---|
Nom | Auditer le rejet de paquet par la plateforme de filtrage |
Chemin d'accès | Paramètres Windows Paramètres > de sécurité Paramètres > avancés Stratégie d’audit Configuration > système Stratégies d’audit > Accès aux objets |
ObjectAccess_AuditHandleManipulation
Étendue | Éditions | Système d’exploitation applicable |
---|---|---|
✅ Appareil ❌Utilisateur |
✅Pro ✅ Enterprise ✅ Éducation ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, version 1803 avec KB4516045 [10.0.17134.1039] et versions ultérieures ✅ Windows 10, version 1809 avec KB4516077 [10.0.17763.774] et versions ultérieures ✅ Windows 10, version 1903 avec KB4512941 [10.0.18362.329] et versions ultérieures ✅ Windows 10, version 2004 [10.0.19041] et versions ultérieures |
./Device/Vendor/MSFT/Policy/Config/Audit/ObjectAccess_AuditHandleManipulation
Ce paramètre de stratégie vous permet d’auditer les événements générés lorsqu’un handle d’un objet est ouvert ou fermé. Seuls les objets avec une liste de contrôle d’accès système (SACL) correspondante génèrent des événements d’audit de sécurité.
Si vous configurez ce paramètre de stratégie, un événement d’audit est généré lorsqu’un handle est manipulé. Les audits de réussite enregistrent les tentatives réussies et les audits d’échec enregistrent les tentatives infructueuses.
Si vous ne configurez pas ce paramètre de stratégie, aucun événement d’audit n’est généré lorsqu’un handle est manipulé.
Remarque
Les événements de cette sous-catégorie génèrent des événements uniquement pour les types d’objets où la sous-catégorie Accès aux objets correspondante est activée. Par exemple, si l’accès aux objets système de fichiers est activé, les événements d’audit de sécurité de la manipulation sont générés. Si l’accès aux objets du Registre n’est pas activé, les événements d’audit de sécurité de gestion ne sont pas générés.
Volume : dépend de la façon dont les bibliothèques SACL sont configurées.
Propriétés de l’infrastructure de description :
Nom de la propriété | Valeur de la propriété |
---|---|
Format | int |
Type d’accès | Ajouter, Supprimer, Obtenir, Remplacer |
Valeur par défaut | 0 |
Valeurs autorisées:
Valeur | Description |
---|---|
0 (par défaut) | Désactivé/Aucun. |
1 | Succès. |
2 | Échec. |
3 | Réussite+Échec. |
Mappage de stratégie de groupe :
Nom | Valeur |
---|---|
Nom | Auditer la manipulation de handle |
Chemin d'accès | Paramètres Windows Paramètres > de sécurité Paramètres > avancés Stratégie d’audit Configuration > système Stratégies d’audit > Accès aux objets |
ObjectAccess_AuditKernelObject
Étendue | Éditions | Système d’exploitation applicable |
---|---|---|
✅ Appareil ❌Utilisateur |
✅Pro ✅ Enterprise ✅ Éducation ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, version 1803 avec KB4516045 [10.0.17134.1039] et versions ultérieures ✅ Windows 10, version 1809 avec KB4516077 [10.0.17763.774] et versions ultérieures ✅ Windows 10, version 1903 avec KB4512941 [10.0.18362.329] et versions ultérieures ✅ Windows 10, version 2004 [10.0.19041] et versions ultérieures |
./Device/Vendor/MSFT/Policy/Config/Audit/ObjectAccess_AuditKernelObject
Ce paramètre de stratégie vous permet d’auditer les tentatives d’accès au noyau, notamment les mutex et les sémaphores. Seuls les objets de noyau avec une liste de contrôle d’accès système (SACL) correspondante génèrent des événements d’audit de sécurité.
Remarque
Le paramètre de stratégie Audit : Auditer l’accès aux objets système globaux contrôle la SACL par défaut des objets du noyau.
Volume : élevé si l’audit de l’accès aux objets système globaux est activé.
Propriétés de l’infrastructure de description :
Nom de la propriété | Valeur de la propriété |
---|---|
Format | int |
Type d’accès | Ajouter, Supprimer, Obtenir, Remplacer |
Valeur par défaut | 0 |
Valeurs autorisées:
Valeur | Description |
---|---|
0 (par défaut) | Désactivé/Aucun. |
1 | Succès. |
2 | Échec. |
3 | Réussite+Échec. |
Mappage de stratégie de groupe :
Nom | Valeur |
---|---|
Nom | Auditer l’objet de noyau |
Chemin d'accès | Paramètres Windows Paramètres > de sécurité Paramètres > avancés Stratégie d’audit Configuration > système Stratégies d’audit > Accès aux objets |
ObjectAccess_AuditOtherObjectAccessEvents
Étendue | Éditions | Système d’exploitation applicable |
---|---|---|
✅ Appareil ❌Utilisateur |
✅Pro ✅ Enterprise ✅ Éducation ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, version 1803 avec KB4516045 [10.0.17134.1039] et versions ultérieures ✅ Windows 10, version 1809 avec KB4516077 [10.0.17763.774] et versions ultérieures ✅ Windows 10, version 1903 avec KB4512941 [10.0.18362.329] et versions ultérieures ✅ Windows 10, version 2004 [10.0.19041] et versions ultérieures |
./Device/Vendor/MSFT/Policy/Config/Audit/ObjectAccess_AuditOtherObjectAccessEvents
Ce paramètre de stratégie vous permet d’auditer les événements générés par la gestion des travaux du planificateur de tâches ou des objets COM+. Pour les travaux du planificateur, les éléments suivants sont audités : Travail créé. Tâche supprimée. Travail activé. Travail désactivé. Travail mis à jour. Pour les objets COM+, les éléments suivants sont audités : Objet catalog ajouté. Objet catalog mis à jour. Objet catalog supprimé.
Volume : Faible.
Propriétés de l’infrastructure de description :
Nom de la propriété | Valeur de la propriété |
---|---|
Format | int |
Type d’accès | Ajouter, Supprimer, Obtenir, Remplacer |
Valeur par défaut | 0 |
Valeurs autorisées:
Valeur | Description |
---|---|
0 (par défaut) | Désactivé/Aucun. |
1 | Succès. |
2 | Échec. |
3 | Réussite+Échec. |
Mappage de stratégie de groupe :
Nom | Valeur |
---|---|
Nom | Auditer d’autres événements d’accès à l’objet |
Chemin d'accès | Paramètres Windows Paramètres > de sécurité Paramètres > avancés Stratégie d’audit Configuration > système Stratégies d’audit > Accès aux objets |
ObjectAccess_AuditRegistry
Étendue | Éditions | Système d’exploitation applicable |
---|---|---|
✅ Appareil ❌Utilisateur |
✅Pro ✅ Enterprise ✅ Éducation ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, version 1803 avec KB4516045 [10.0.17134.1039] et versions ultérieures ✅ Windows 10, version 1809 avec KB4516077 [10.0.17763.774] et versions ultérieures ✅ Windows 10, version 1903 avec KB4512941 [10.0.18362.329] et versions ultérieures ✅ Windows 10, version 2004 [10.0.19041] et versions ultérieures |
./Device/Vendor/MSFT/Policy/Config/Audit/ObjectAccess_AuditRegistry
Ce paramètre de stratégie vous permet d’auditer les tentatives d’accès aux objets du Registre. Un événement d’audit de sécurité est généré uniquement pour les objets dont les listes de contrôle d’accès système (SACL) sont spécifiées, et uniquement si le type d’accès demandé, tel que Lecture, Écriture ou Modification, et le compte qui fait correspondre la requête aux paramètres de la LISTE SACL.
Si vous configurez ce paramètre de stratégie, un événement d’audit est généré chaque fois qu’un compte accède à un objet de Registre avec une liste SACL correspondante. Les audits de réussite enregistrent les tentatives réussies et les audits d’échec enregistrent les tentatives infructueuses.
Si vous ne configurez pas ce paramètre de stratégie, aucun événement d’audit n’est généré lorsqu’un compte accède à un objet de Registre avec une SACL correspondante.
Remarque
Vous pouvez définir une liste SACL sur un objet de Registre à l’aide de la boîte de dialogue Autorisations.
Volume : dépend de la façon dont les bibliothèques SACL de registre sont configurées.
Propriétés de l’infrastructure de description :
Nom de la propriété | Valeur de la propriété |
---|---|
Format | int |
Type d’accès | Ajouter, Supprimer, Obtenir, Remplacer |
Valeur par défaut | 0 |
Valeurs autorisées:
Valeur | Description |
---|---|
0 (par défaut) | Désactivé/Aucun. |
1 | Succès. |
2 | Échec. |
3 | Réussite+Échec. |
Mappage de stratégie de groupe :
Nom | Valeur |
---|---|
Nom | Auditer le Registre |
Chemin d'accès | Paramètres Windows Paramètres > de sécurité Paramètres > avancés Stratégie d’audit Configuration > système Stratégies d’audit > Accès aux objets |
ObjectAccess_AuditRemovableStorage
Étendue | Éditions | Système d’exploitation applicable |
---|---|---|
✅ Appareil ❌Utilisateur |
✅Pro ✅ Enterprise ✅ Éducation ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, version 1803 avec KB4516045 [10.0.17134.1039] et versions ultérieures ✅ Windows 10, version 1809 avec KB4516077 [10.0.17763.774] et versions ultérieures ✅ Windows 10, version 1903 avec KB4512941 [10.0.18362.329] et versions ultérieures ✅ Windows 10, version 2004 [10.0.19041] et versions ultérieures |
./Device/Vendor/MSFT/Policy/Config/Audit/ObjectAccess_AuditRemovableStorage
Ce paramètre de stratégie vous permet d’auditer les tentatives d’accès des utilisateurs aux objets du système de fichiers sur un périphérique de stockage amovible. Un événement d’audit de sécurité est généré uniquement pour tous les objets pour tous les types d’accès demandés.
Si vous configurez ce paramètre de stratégie, un événement d’audit est généré chaque fois qu’un compte accède à un objet de système de fichiers sur un stockage amovible. Les audits de réussite enregistrent les tentatives réussies et les audits d’échec enregistrent les tentatives infructueuses.
Si vous ne configurez pas ce paramètre de stratégie, aucun événement d’audit n’est généré lorsqu’un compte accède à un objet de système de fichiers sur un stockage amovible.
Propriétés de l’infrastructure de description :
Nom de la propriété | Valeur de la propriété |
---|---|
Format | int |
Type d’accès | Ajouter, Supprimer, Obtenir, Remplacer |
Valeur par défaut | 0 |
Valeurs autorisées:
Valeur | Description |
---|---|
0 (par défaut) | Désactivé/Aucun. |
1 | Succès. |
2 | Échec. |
3 | Réussite+Échec. |
Mappage de stratégie de groupe :
Nom | Valeur |
---|---|
Nom | Auditer le stockage amovible |
Chemin d'accès | Paramètres Windows Paramètres > de sécurité Paramètres > avancés Stratégie d’audit Configuration > système Stratégies d’audit > Accès aux objets |
ObjectAccess_AuditSAM
Étendue | Éditions | Système d’exploitation applicable |
---|---|---|
✅ Appareil ❌Utilisateur |
✅Pro ✅ Enterprise ✅ Éducation ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, version 1803 avec KB4516045 [10.0.17134.1039] et versions ultérieures ✅ Windows 10, version 1809 avec KB4516077 [10.0.17763.774] et versions ultérieures ✅ Windows 10, version 1903 avec KB4512941 [10.0.18362.329] et versions ultérieures ✅ Windows 10, version 2004 [10.0.19041] et versions ultérieures |
./Device/Vendor/MSFT/Policy/Config/Audit/ObjectAccess_AuditSAM
Ce paramètre de stratégie vous permet d’auditer les événements générés par les tentatives d’accès aux objets du Gestionnaire de comptes de sécurité (SAM). Les objets SAM incluent les éléments suivants : SAM_ALIAS - Un groupe local. SAM_GROUP : groupe qui n’est pas un groupe local. SAM_USER : compte d’utilisateur. SAM_DOMAIN : domaine. SAM_SERVER : compte d’ordinateur.
Si vous configurez ce paramètre de stratégie, un événement d’audit est généré lorsqu’une tentative d’accès à un objet noyau est effectuée. Les audits de réussite enregistrent les tentatives réussies et les audits d’échec enregistrent les tentatives infructueuses.
Si vous ne configurez pas ce paramètre de stratégie, aucun événement d’audit n’est généré lorsqu’une tentative d’accès à un objet noyau est effectuée.
Remarque
Seule la liste de contrôle d’accès système (SACL) pour SAM_SERVER peut être modifiée. Volume : élevé sur les contrôleurs de domaine.
Volume : élevé sur les contrôleurs de domaine. Pour plus d’informations sur la réduction du nombre d’événements générés par l’audit de l’accès aux objets système globaux, consultez Auditer l’accès des objets système globaux.
Propriétés de l’infrastructure de description :
Nom de la propriété | Valeur de la propriété |
---|---|
Format | int |
Type d’accès | Ajouter, Supprimer, Obtenir, Remplacer |
Valeur par défaut | 0 |
Valeurs autorisées:
Valeur | Description |
---|---|
0 (par défaut) | Désactivé/Aucun. |
1 | Succès. |
2 | Échec. |
3 | Réussite+Échec. |
Mappage de stratégie de groupe :
Nom | Valeur |
---|---|
Nom | Auditer SAM |
Chemin d'accès | Paramètres Windows Paramètres > de sécurité Paramètres > avancés Stratégie d’audit Configuration > système Stratégies d’audit > Accès aux objets |
PolicyChange_AuditAuthenticationPolicyChange
Étendue | Éditions | Système d’exploitation applicable |
---|---|---|
✅ Appareil ❌Utilisateur |
✅Pro ✅ Enterprise ✅ Éducation ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, version 1803 avec KB4516045 [10.0.17134.1039] et versions ultérieures ✅ Windows 10, version 1809 avec KB4516077 [10.0.17763.774] et versions ultérieures ✅ Windows 10, version 1903 avec KB4512941 [10.0.18362.329] et versions ultérieures ✅ Windows 10, version 2004 [10.0.19041] et versions ultérieures |
./Device/Vendor/MSFT/Policy/Config/Audit/PolicyChange_AuditAuthenticationPolicyChange
Ce paramètre de stratégie vous permet d’auditer les événements générés par les modifications apportées à la stratégie d’authentification, telles que : Création d’approbations de forêt et de domaine. Modification des approbations de forêt et de domaine. Suppression des approbations de forêt et de domaine. Modifications apportées à la stratégie Kerberos sous Configuration ordinateur\Paramètres Windows\Paramètres de sécurité\Stratégies de compte\Stratégie Kerberos. Octroi de l’un des droits d’utilisateur suivants à un utilisateur ou à un groupe : Accéder à cet ordinateur à partir du réseau. Autoriser l’ouverture de session localement. Autoriser l’ouverture de session via les services Terminal Server. Ouverture de session en tant que travail Batch. Ouvrez une session sur un service. Namespace collision. Par exemple, lorsqu’une nouvelle approbation porte le même nom qu’un nom d’espace de noms existant.
Si vous configurez ce paramètre de stratégie, un événement d’audit est généré lorsqu’une tentative de modification de la stratégie d’authentification est effectuée. Les audits de réussite enregistrent les tentatives réussies et les audits d’échec enregistrent les tentatives infructueuses.
Si vous ne configurez pas ce paramètre de stratégie, aucun événement d’audit n’est généré lorsque la stratégie d’authentification est modifiée.
Remarque
L’événement d’audit de sécurité est journalisé lorsque la stratégie de groupe est appliquée. Elle ne se produit pas au moment où les paramètres sont modifiés.
Volume : Faible.
Propriétés de l’infrastructure de description :
Nom de la propriété | Valeur de la propriété |
---|---|
Format | int |
Type d’accès | Ajouter, Supprimer, Obtenir, Remplacer |
Valeur par défaut | 1 |
Valeurs autorisées:
Valeur | Description |
---|---|
0 | Désactivé/Aucun. |
1 (par défaut) | Succès. |
2 | Échec. |
3 | Réussite+Échec. |
Mappage de stratégie de groupe :
Nom | Valeur |
---|---|
Nom | Auditer la modification de la stratégie d’authentification |
Chemin d'accès | Paramètres Windows Paramètres > de sécurité Paramètres > Avancé Stratégie d’audit Configuration > système Stratégies d’audit > Modification de la stratégie |
PolicyChange_AuditAuthorizationPolicyChange
Étendue | Éditions | Système d’exploitation applicable |
---|---|---|
✅ Appareil ❌Utilisateur |
✅Pro ✅ Enterprise ✅ Éducation ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, version 1803 avec KB4516045 [10.0.17134.1039] et versions ultérieures ✅ Windows 10, version 1809 avec KB4516077 [10.0.17763.774] et versions ultérieures ✅ Windows 10, version 1903 avec KB4512941 [10.0.18362.329] et versions ultérieures ✅ Windows 10, version 2004 [10.0.19041] et versions ultérieures |
./Device/Vendor/MSFT/Policy/Config/Audit/PolicyChange_AuditAuthorizationPolicyChange
Ce paramètre de stratégie vous permet d’auditer les événements générés par les modifications apportées à la stratégie d’autorisation, comme les suivantes : Attribution de droits utilisateur (privilèges), tels que SeCreateTokenPrivilege, qui ne sont pas audités via la sous-catégorie « Modification de la stratégie d’authentification ». Suppression des droits utilisateur (privilèges), tels que SeCreateTokenPrivilege, qui ne sont pas audités via la sous-catégorie « Modification de la stratégie d’authentification ». Modifications apportées à la stratégie EFS (Encrypted File System). Modifications apportées aux attributs resource d’un objet . Modifications apportées à la stratégie d’accès centralisée (CAP) appliquée à un objet.
Si vous configurez ce paramètre de stratégie, un événement d’audit est généré lorsqu’une tentative de modification de la stratégie d’autorisation est effectuée. Les audits de réussite enregistrent les tentatives réussies et les audits d’échec enregistrent les tentatives infructueuses.
Si vous ne configurez pas ce paramètre de stratégie, aucun événement d’audit n’est généré lorsque la stratégie d’autorisation change.
Volume : Faible.
Propriétés de l’infrastructure de description :
Nom de la propriété | Valeur de la propriété |
---|---|
Format | int |
Type d’accès | Ajouter, Supprimer, Obtenir, Remplacer |
Valeur par défaut | 0 |
Valeurs autorisées:
Valeur | Description |
---|---|
0 (par défaut) | Désactivé/Aucun. |
1 | Succès. |
2 | Échec. |
3 | Réussite+Échec. |
Mappage de stratégie de groupe :
Nom | Valeur |
---|---|
Nom | Auditer la modification de la stratégie d’autorisation |
Chemin d'accès | Paramètres Windows Paramètres > de sécurité Paramètres > Avancé Stratégie d’audit Configuration > système Stratégies d’audit > Modification de la stratégie |
PolicyChange_AuditFilteringPlatformPolicyChange
Étendue | Éditions | Système d’exploitation applicable |
---|---|---|
✅ Appareil ❌Utilisateur |
✅Pro ✅ Enterprise ✅ Éducation ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, version 1803 avec KB4516045 [10.0.17134.1039] et versions ultérieures ✅ Windows 10, version 1809 avec KB4516077 [10.0.17763.774] et versions ultérieures ✅ Windows 10, version 1903 avec KB4512941 [10.0.18362.329] et versions ultérieures ✅ Windows 10, version 2004 [10.0.19041] et versions ultérieures |
./Device/Vendor/MSFT/Policy/Config/Audit/PolicyChange_AuditFilteringPlatformPolicyChange
Ce paramètre de stratégie vous permet d’auditer les événements générés par les modifications apportées à la plateforme de filtrage Windows (PAM) telles que les suivantes : état des services IPsec. Modifications apportées aux paramètres de stratégie IPsec. Modifications apportées aux paramètres de stratégie du Pare-feu Windows. Changements apportés aux fournisseurs et au moteur du PAM.
Si vous configurez ce paramètre de stratégie, un événement d’audit est généré lorsqu’une modification du PAM est tentée. Les audits de réussite enregistrent les tentatives réussies et les audits d’échec enregistrent les tentatives infructueuses.
Si vous ne configurez pas ce paramètre de stratégie, aucun événement d’audit n’est généré lorsqu’une modification est apportée au PAM.
Volume : Faible.
Propriétés de l’infrastructure de description :
Nom de la propriété | Valeur de la propriété |
---|---|
Format | int |
Type d’accès | Ajouter, Supprimer, Obtenir, Remplacer |
Valeur par défaut | 0 |
Valeurs autorisées:
Valeur | Description |
---|---|
0 (par défaut) | Désactivé/Aucun. |
1 | Succès. |
2 | Échec. |
3 | Réussite+Échec. |
Mappage de stratégie de groupe :
Nom | Valeur |
---|---|
Nom | Auditer la modification de la stratégie de plateforme de filtrage |
Chemin d'accès | Paramètres Windows Paramètres > de sécurité Paramètres > Avancé Stratégie d’audit Configuration > système Stratégies d’audit > Modification de la stratégie |
PolicyChange_AuditMPSSVCRuleLevelPolicyChange
Étendue | Éditions | Système d’exploitation applicable |
---|---|---|
✅ Appareil ❌Utilisateur |
✅Pro ✅ Enterprise ✅ Éducation ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, version 1803 avec KB4516045 [10.0.17134.1039] et versions ultérieures ✅ Windows 10, version 1809 avec KB4516077 [10.0.17763.774] et versions ultérieures ✅ Windows 10, version 1903 avec KB4512941 [10.0.18362.329] et versions ultérieures ✅ Windows 10, version 2004 [10.0.19041] et versions ultérieures |
./Device/Vendor/MSFT/Policy/Config/Audit/PolicyChange_AuditMPSSVCRuleLevelPolicyChange
Ce paramètre de stratégie vous permet d’auditer les événements générés par les modifications apportées aux règles de stratégie utilisées par le service de protection Microsoft (MPSSVC). Ce service est utilisé par le Pare-feu Windows. Les événements incluent les éléments suivants : Création de rapports sur les stratégies actives au démarrage du service Pare-feu Windows. Modifications apportées aux règles du Pare-feu Windows. Modifications apportées à la liste des exceptions du Pare-feu Windows. Modifications apportées aux paramètres du Pare-feu Windows. Règles ignorées ou non appliquées par le service pare-feu Windows. Modifications apportées aux paramètres de stratégie de groupe du Pare-feu Windows.
Si vous configurez ce paramètre de stratégie, un événement d’audit est généré par les tentatives de modification des règles de stratégie utilisées par le MPSSVC. Les audits de réussite enregistrent les tentatives réussies et les audits d’échec enregistrent les tentatives infructueuses.
Si vous ne configurez pas ce paramètre de stratégie, aucun événement d’audit n’est généré par les modifications apportées aux règles de stratégie utilisées par MPSSVC.
Volume : Faible.
Propriétés de l’infrastructure de description :
Nom de la propriété | Valeur de la propriété |
---|---|
Format | int |
Type d’accès | Ajouter, Supprimer, Obtenir, Remplacer |
Valeur par défaut | 0 |
Valeurs autorisées:
Valeur | Description |
---|---|
0 (par défaut) | Désactivé/Aucun. |
1 | Succès. |
2 | Échec. |
3 | Réussite+Échec. |
Mappage de stratégie de groupe :
Nom | Valeur |
---|---|
Nom | Auditer la modification de la stratégie de niveau de règle MPSSVC |
Chemin d'accès | Paramètres Windows Paramètres > de sécurité Paramètres > Avancé Stratégie d’audit Configuration > système Stratégies d’audit > Modification de la stratégie |
PolicyChange_AuditOtherPolicyChangeEvents
Étendue | Éditions | Système d’exploitation applicable |
---|---|---|
✅ Appareil ❌Utilisateur |
✅Pro ✅ Enterprise ✅ Éducation ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, version 1803 avec KB4516045 [10.0.17134.1039] et versions ultérieures ✅ Windows 10, version 1809 avec KB4516077 [10.0.17763.774] et versions ultérieures ✅ Windows 10, version 1903 avec KB4512941 [10.0.18362.329] et versions ultérieures ✅ Windows 10, version 2004 [10.0.19041] et versions ultérieures |
./Device/Vendor/MSFT/Policy/Config/Audit/PolicyChange_AuditOtherPolicyChangeEvents
Ce paramètre de stratégie vous permet d’auditer les événements générés par d’autres modifications de stratégie de sécurité qui ne sont pas auditées dans la catégorie de modification de stratégie, par exemple : Modifications de configuration du module de plateforme sécurisée (TPM). Auto-tests de chiffrement en mode noyau. Opérations du fournisseur de chiffrement. Opérations ou modifications du contexte de chiffrement. Modifications des stratégies d’accès centralisées (CAP) appliquées. Modifications des données de configuration de démarrage (BCD).
Volume : Faible.
Propriétés de l’infrastructure de description :
Nom de la propriété | Valeur de la propriété |
---|---|
Format | int |
Type d’accès | Ajouter, Supprimer, Obtenir, Remplacer |
Valeur par défaut | 0 |
Valeurs autorisées:
Valeur | Description |
---|---|
0 (par défaut) | Désactivé/Aucun. |
1 | Succès. |
2 | Échec. |
3 | Réussite+Échec. |
Mappage de stratégie de groupe :
Nom | Valeur |
---|---|
Nom | Auditer d’autres événements de modification de stratégie |
Chemin d'accès | Paramètres Windows Paramètres > de sécurité Paramètres > Avancé Stratégie d’audit Configuration > système Stratégies d’audit > Modification de la stratégie |
PolicyChange_AuditPolicyChange
Étendue | Éditions | Système d’exploitation applicable |
---|---|---|
✅ Appareil ❌Utilisateur |
✅Pro ✅ Enterprise ✅ Éducation ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, version 1803 avec KB4516045 [10.0.17134.1039] et versions ultérieures ✅ Windows 10, version 1809 avec KB4516077 [10.0.17763.774] et versions ultérieures ✅ Windows 10, version 1903 avec KB4512941 [10.0.18362.329] et versions ultérieures ✅ Windows 10, version 2004 [10.0.19041] et versions ultérieures |
./Device/Vendor/MSFT/Policy/Config/Audit/PolicyChange_AuditPolicyChange
Ce paramètre de stratégie vous permet d’auditer les modifications apportées aux paramètres de stratégie d’audit de sécurité tels que les suivants : Autorisations des paramètres et paramètres d’audit sur l’objet Stratégie d’audit. Modifications apportées à la stratégie d’audit du système. Inscription des sources d’événements de sécurité. Désinscript des sources d’événements de sécurité. Modifications apportées aux paramètres d’audit par utilisateur. Modifications apportées à la valeur de CrashOnAuditFail. Modifications apportées à la liste de contrôle d’accès système sur un système de fichiers ou un objet de registre. Modifications apportées à la liste Groupes spéciaux.
Remarque
L’audit des modifications de liste de contrôle d’accès système (SACL) est effectué lorsqu’une liste SACL pour un objet change et que la catégorie de modification de stratégie est activée. La liste de contrôle d’accès discrétionnaire (DACL) et les modifications de propriété sont auditées lorsque l’audit de l’accès aux objets est activé et que la SACL de l’objet est configurée pour l’audit de la modification dacl/propriétaire.
Volume : Faible.
Propriétés de l’infrastructure de description :
Nom de la propriété | Valeur de la propriété |
---|---|
Format | int |
Type d’accès | Ajouter, Supprimer, Obtenir, Remplacer |
Valeur par défaut | 1 |
Valeurs autorisées:
Valeur | Description |
---|---|
0 | Désactivé/Aucun. |
1 (par défaut) | Succès. |
2 | Échec. |
3 | Réussite+Échec. |
Mappage de stratégie de groupe :
Nom | Valeur |
---|---|
Nom | Auditer la modification de la stratégie |
Chemin d'accès | Paramètres Windows Paramètres > de sécurité Paramètres > Avancé Stratégie d’audit Configuration > système Stratégies d’audit > Modification de la stratégie |
PrivilegeUse_AuditNonSensitivePrivilegeUse
Étendue | Éditions | Système d’exploitation applicable |
---|---|---|
✅ Appareil ❌Utilisateur |
✅Pro ✅ Enterprise ✅ Éducation ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, version 1803 avec KB4516045 [10.0.17134.1039] et versions ultérieures ✅ Windows 10, version 1809 avec KB4516077 [10.0.17763.774] et versions ultérieures ✅ Windows 10, version 1903 avec KB4512941 [10.0.18362.329] et versions ultérieures ✅ Windows 10, version 2004 [10.0.19041] et versions ultérieures |
./Device/Vendor/MSFT/Policy/Config/Audit/PrivilegeUse_AuditNonSensitivePrivilegeUse
Ce paramètre de stratégie vous permet d’auditer les événements générés par l’utilisation de privilèges non sensibles (droits utilisateur). Les privilèges suivants ne sont pas sensibles : Accéder au Gestionnaire d’informations d’identification en tant qu’appelant approuvé. Accédez à cet ordinateur à partir du réseau. Ajouter des stations de travail au domaine. Ajustez les quotas de mémoire d’un processus. Autorisez l’ouverture de session localement. Autorisez l’ouverture de session via les services Terminal Server. Contourner la vérification de parcours. Modifiez l’heure système. Créez un fichier de page. Créer des objets globaux. Créez des objets partagés permanents. Créer des liens symboliques. Refuser l’accès à cet ordinateur à partir du réseau. Refuser l’ouverture de session en tant que tâche de traitement par lots. Refuser l’ouverture de session en tant que service. Refuser l’ouverture de session localement. Refuser l’ouverture de session via les services Terminal Server. Forcer l’arrêt à partir d’un système distant. Augmenter un jeu de travail de processus. Augmentez la priorité de planification. Verrouiller les pages en mémoire. Ouvrez une session en tant que tâche de traitement par lots. Ouvrez une session en tant que service. Modifier une étiquette d’objet. Effectuer des tâches de maintenance en volume. Profiler un processus unique. Profiler les performances du système. Retirez l’ordinateur de la station d’accueil. Arrêtez le système. Synchroniser les données du service d’annuaire.
Si vous configurez ce paramètre de stratégie, un événement d’audit est généré lorsqu’un privilège non sensible est appelé. Les audits de réussite enregistrent les appels réussis et les audits d’échec enregistrent les appels ayant échoué.
Si vous ne configurez pas ce paramètre de stratégie, aucun événement d’audit n’est généré lorsqu’un privilège non sensible est appelé.
Volume : Très élevé.
Propriétés de l’infrastructure de description :
Nom de la propriété | Valeur de la propriété |
---|---|
Format | int |
Type d’accès | Ajouter, Supprimer, Obtenir, Remplacer |
Valeur par défaut | 0 |
Valeurs autorisées:
Valeur | Description |
---|---|
0 (par défaut) | Désactivé/Aucun. |
1 | Succès. |
2 | Échec. |
3 | Réussite+Échec. |
Mappage de stratégie de groupe :
Nom | Valeur |
---|---|
Nom | Auditer l’utilisation de privilèges non sensibles |
Chemin d'accès | Paramètres Windows Paramètres > de sécurité Paramètres > Avancé Stratégie d’audit Configuration > système Stratégies d’audit > Utilisation des privilèges |
PrivilegeUse_AuditOtherPrivilegeUseEvents
Étendue | Éditions | Système d’exploitation applicable |
---|---|---|
✅ Appareil ❌Utilisateur |
✅Pro ✅ Enterprise ✅ Éducation ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, version 1803 avec KB4516045 [10.0.17134.1039] et versions ultérieures ✅ Windows 10, version 1809 avec KB4516077 [10.0.17763.774] et versions ultérieures ✅ Windows 10, version 1903 avec KB4512941 [10.0.18362.329] et versions ultérieures ✅ Windows 10, version 2004 [10.0.19041] et versions ultérieures |
./Device/Vendor/MSFT/Policy/Config/Audit/PrivilegeUse_AuditOtherPrivilegeUseEvents
Non utilisé.
Propriétés de l’infrastructure de description :
Nom de la propriété | Valeur de la propriété |
---|---|
Format | int |
Type d’accès | Ajouter, Supprimer, Obtenir, Remplacer |
Valeur par défaut | 0 |
Valeurs autorisées:
Valeur | Description |
---|---|
0 (par défaut) | Désactivé/Aucun. |
1 | Succès. |
2 | Échec. |
3 | Réussite+Échec. |
Mappage de stratégie de groupe :
Nom | Valeur |
---|---|
Nom | Auditer d’autres événements d’utilisation de privilèges |
Chemin d'accès | Paramètres Windows Paramètres > de sécurité Paramètres > Avancé Stratégie d’audit Configuration > système Stratégies d’audit > Utilisation des privilèges |
PrivilegeUse_AuditSensitivePrivilegeUse
Étendue | Éditions | Système d’exploitation applicable |
---|---|---|
✅ Appareil ❌Utilisateur |
✅Pro ✅ Enterprise ✅ Éducation ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, version 1803 avec KB4516045 [10.0.17134.1039] et versions ultérieures ✅ Windows 10, version 1809 avec KB4516077 [10.0.17763.774] et versions ultérieures ✅ Windows 10, version 1903 avec KB4512941 [10.0.18362.329] et versions ultérieures ✅ Windows 10, version 2004 [10.0.19041] et versions ultérieures |
./Device/Vendor/MSFT/Policy/Config/Audit/PrivilegeUse_AuditSensitivePrivilegeUse
Ce paramètre de stratégie vous permet d’auditer les événements générés lorsque des privilèges sensibles (droits utilisateur) sont utilisés comme suit : Un service privilégié est appelé. L’un des privilèges suivants est appelé : Agir en tant que partie du système d’exploitation. Sauvegardez des fichiers et des répertoires. Créez un objet jeton. Déboguer des programmes. Permettre aux comptes d’ordinateur et d’utilisateur d’être approuvés pour la délégation. Générer des audits de sécurité. Emprunter l’identité d’un client après l’authentification. Chargez et déchargez les pilotes de périphérique. Gérer l’audit et le journal de sécurité. Modifier les valeurs de l’environnement du microprogramme. Remplacez un jeton au niveau du processus. Restaurez des fichiers et des répertoires. Prendre possession de fichiers ou d’autres objets.
Si vous configurez ce paramètre de stratégie, un événement d’audit est généré lorsque des demandes de privilèges sensibles sont effectuées. Les audits de réussite enregistrent les demandes réussies et les audits d’échec enregistrent les demandes ayant échoué.
Si vous ne configurez pas ce paramètre de stratégie, aucun événement d’audit n’est généré lorsque des demandes de privilèges sensibles sont effectuées.
Volume : élevé.
Propriétés de l’infrastructure de description :
Nom de la propriété | Valeur de la propriété |
---|---|
Format | int |
Type d’accès | Ajouter, Supprimer, Obtenir, Remplacer |
Valeur par défaut | 0 |
Valeurs autorisées:
Valeur | Description |
---|---|
0 (par défaut) | Désactivé/Aucun. |
1 | Succès. |
2 | Échec. |
3 | Réussite+Échec. |
Mappage de stratégie de groupe :
Nom | Valeur |
---|---|
Nom | Auditer l’utilisation de privilèges sensibles |
Chemin d'accès | Paramètres Windows Paramètres > de sécurité Paramètres > Avancé Stratégie d’audit Configuration > système Stratégies d’audit > Utilisation des privilèges |
System_AuditIPsecDriver
Étendue | Éditions | Système d’exploitation applicable |
---|---|---|
✅ Appareil ❌Utilisateur |
✅Pro ✅ Enterprise ✅ Éducation ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, version 1803 avec KB4516045 [10.0.17134.1039] et versions ultérieures ✅ Windows 10, version 1809 avec KB4516077 [10.0.17763.774] et versions ultérieures ✅ Windows 10, version 1903 avec KB4512941 [10.0.18362.329] et versions ultérieures ✅ Windows 10, version 2004 [10.0.19041] et versions ultérieures |
./Device/Vendor/MSFT/Policy/Config/Audit/System_AuditIPsecDriver
Ce paramètre de stratégie vous permet d’auditer les événements générés par le pilote de filtre IPsec, comme le suivant : Démarrage et arrêt des services IPsec. Paquets réseau supprimés en raison de l’échec de la vérification de l’intégrité. Paquets réseau supprimés en raison d’un échec de la vérification de relecture. Paquets réseau supprimés en raison du texte en clair. Paquets réseau reçus avec un index spi (Security Parameter Index) incorrect. Cela peut indiquer que la carte réseau ne fonctionne pas correctement ou que le pilote doit être mis à jour. Impossibilité de traiter les filtres IPsec.
Si vous configurez ce paramètre de stratégie, un événement d’audit est généré sur une opération de pilote de filtre IPsec. Les audits de réussite enregistrent les tentatives réussies et les audits d’échec enregistrent les tentatives infructueuses.
Si vous ne configurez pas ce paramètre de stratégie, aucun événement d’audit n’est généré sur une opération de pilote de filtre IPSec.
Volume : Faible.
Propriétés de l’infrastructure de description :
Nom de la propriété | Valeur de la propriété |
---|---|
Format | int |
Type d’accès | Ajouter, Supprimer, Obtenir, Remplacer |
Valeur par défaut | 0 |
Valeurs autorisées:
Valeur | Description |
---|---|
0 (par défaut) | Désactivé/Aucun. |
1 | Succès. |
2 | Échec. |
3 | Réussite+Échec. |
Mappage de stratégie de groupe :
Nom | Valeur |
---|---|
Nom | Auditer le pilote IPSEC |
Chemin d'accès | Paramètres Windows Paramètres > de sécurité Paramètres > Avancé Stratégie d’audit Configuration > système Stratégies d’audit > Système |
System_AuditOtherSystemEvents
Étendue | Éditions | Système d’exploitation applicable |
---|---|---|
✅ Appareil ❌Utilisateur |
✅Pro ✅ Enterprise ✅ Éducation ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, version 1803 avec KB4516045 [10.0.17134.1039] et versions ultérieures ✅ Windows 10, version 1809 avec KB4516077 [10.0.17763.774] et versions ultérieures ✅ Windows 10, version 1903 avec KB4512941 [10.0.18362.329] et versions ultérieures ✅ Windows 10, version 2004 [10.0.19041] et versions ultérieures |
./Device/Vendor/MSFT/Policy/Config/Audit/System_AuditOtherSystemEvents
Ce paramètre de stratégie vous permet d’auditer l’un des événements suivants : démarrage et arrêt du service et du pilote du Pare-feu Windows. Traitement de la stratégie de sécurité par le service pare-feu Windows. Fichier de clé de chiffrement et opérations de migration.
Volume : Faible.
Propriétés de l’infrastructure de description :
Nom de la propriété | Valeur de la propriété |
---|---|
Format | int |
Type d’accès | Ajouter, Supprimer, Obtenir, Remplacer |
Valeur par défaut | 3 |
Valeurs autorisées:
Valeur | Description |
---|---|
0 | Désactivé/Aucun. |
1 | Succès. |
2 | Échec. |
3 (par défaut) | Réussite+Échec. |
Mappage de stratégie de groupe :
Nom | Valeur |
---|---|
Nom | Auditer d’autres événements système |
Chemin d'accès | Paramètres Windows Paramètres > de sécurité Paramètres > Avancé Stratégie d’audit Configuration > système Stratégies d’audit > Système |
System_AuditSecurityStateChange
Étendue | Éditions | Système d’exploitation applicable |
---|---|---|
✅ Appareil ❌Utilisateur |
✅Pro ✅ Enterprise ✅ Éducation ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, version 1803 avec KB4516045 [10.0.17134.1039] et versions ultérieures ✅ Windows 10, version 1809 avec KB4516077 [10.0.17763.774] et versions ultérieures ✅ Windows 10, version 1903 avec KB4512941 [10.0.18362.329] et versions ultérieures ✅ Windows 10, version 2004 [10.0.19041] et versions ultérieures |
./Device/Vendor/MSFT/Policy/Config/Audit/System_AuditSecurityStateChange
Ce paramètre de stratégie vous permet d’auditer les événements générés par les modifications apportées à l’état de sécurité de l’ordinateur, comme les événements suivants : Démarrage et arrêt de l’ordinateur. Modification de l’heure système. Récupération du système à partir de CrashOnAuditFail, qui est journalisé après le redémarrage d’un système lorsque le journal des événements de sécurité est plein et que l’entrée de Registre CrashOnAuditFail est configurée.
Volume : Faible.
Propriétés de l’infrastructure de description :
Nom de la propriété | Valeur de la propriété |
---|---|
Format | int |
Type d’accès | Ajouter, Supprimer, Obtenir, Remplacer |
Valeur par défaut | 1 |
Valeurs autorisées:
Valeur | Description |
---|---|
0 | Désactivé/Aucun. |
1 (par défaut) | Succès. |
2 | Échec. |
3 | Réussite+Échec. |
Mappage de stratégie de groupe :
Nom | Valeur |
---|---|
Nom | Auditer la modification de l’état de la sécurité |
Chemin d'accès | Paramètres Windows Paramètres > de sécurité Paramètres > Avancé Stratégie d’audit Configuration > système Stratégies d’audit > Système |
System_AuditSecuritySystemExtension
Étendue | Éditions | Système d’exploitation applicable |
---|---|---|
✅ Appareil ❌Utilisateur |
✅Pro ✅ Enterprise ✅ Éducation ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, version 1803 avec KB4516045 [10.0.17134.1039] et versions ultérieures ✅ Windows 10, version 1809 avec KB4516077 [10.0.17763.774] et versions ultérieures ✅ Windows 10, version 1903 avec KB4512941 [10.0.18362.329] et versions ultérieures ✅ Windows 10, version 2004 [10.0.19041] et versions ultérieures |
./Device/Vendor/MSFT/Policy/Config/Audit/System_AuditSecuritySystemExtension
Ce paramètre de stratégie vous permet d’auditer les événements liés aux extensions de système de sécurité ou aux services tels que les suivants : Une extension de système de sécurité, telle qu’une authentification, une notification ou un package de sécurité, est chargée et inscrite auprès de l’autorité de sécurité locale (LSA). Il est utilisé pour authentifier les tentatives d’ouverture de session, envoyer des demandes d’ouverture de session et toute modification de compte ou de mot de passe. Kerberos et NTLM sont des exemples d’extensions de système de sécurité. Un service est installé et inscrit auprès du Gestionnaire de contrôle de service. Le journal d’audit contient des informations sur le nom du service, le fichier binaire, le type, le type de début et le compte de service.
Si vous configurez ce paramètre de stratégie, un événement d’audit est généré lorsqu’une tentative de chargement d’une extension de système de sécurité est effectuée. Les audits de réussite enregistrent les tentatives réussies et les audits d’échec enregistrent les tentatives infructueuses.
Si vous ne configurez pas ce paramètre de stratégie, aucun événement d’audit n’est généré lorsqu’une tentative de chargement d’une extension de système de sécurité est effectuée.
Volume : Faible. Les événements d’extension de système de sécurité sont générés plus souvent sur un contrôleur de domaine que sur les ordinateurs clients ou les serveurs membres.
Propriétés de l’infrastructure de description :
Nom de la propriété | Valeur de la propriété |
---|---|
Format | int |
Type d’accès | Ajouter, Supprimer, Obtenir, Remplacer |
Valeur par défaut | 0 |
Valeurs autorisées:
Valeur | Description |
---|---|
0 (par défaut) | Désactivé/Aucun. |
1 | Succès. |
2 | Échec. |
3 | Réussite+Échec. |
Mappage de stratégie de groupe :
Nom | Valeur |
---|---|
Nom | Auditer l’extension du système de sécurité |
Chemin d'accès | Paramètres Windows Paramètres > de sécurité Paramètres > Avancé Stratégie d’audit Configuration > système Stratégies d’audit > Système |
System_AuditSystemIntegrity
Étendue | Éditions | Système d’exploitation applicable |
---|---|---|
✅ Appareil ❌Utilisateur |
✅Pro ✅ Enterprise ✅ Éducation ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, version 1803 avec KB4516045 [10.0.17134.1039] et versions ultérieures ✅ Windows 10, version 1809 avec KB4516077 [10.0.17763.774] et versions ultérieures ✅ Windows 10, version 1903 avec KB4512941 [10.0.18362.329] et versions ultérieures ✅ Windows 10, version 2004 [10.0.19041] et versions ultérieures |
./Device/Vendor/MSFT/Policy/Config/Audit/System_AuditSystemIntegrity
Ce paramètre de stratégie vous permet d’auditer les événements qui violent l’intégrité du sous-système de sécurité, comme les événements suivants : Événements qui n’ont pas pu être écrits dans le journal des événements en raison d’un problème avec le système d’audit. Processus qui utilise un port d’appel de procédure locale (LPC) qui n’est pas valide dans une tentative d’emprunt d’identité d’un client en répondant, en lisant ou en écrivant dans ou à partir d’un espace d’adressage client. Détection d’un appel de procédure distante (RPC) qui compromet l’intégrité du système. Détection d’une valeur de hachage d’un fichier exécutable qui n’est pas valide comme déterminé par l’intégrité du code. Opérations de chiffrement qui compromettent l’intégrité du système.
Volume : Faible.
Propriétés de l’infrastructure de description :
Nom de la propriété | Valeur de la propriété |
---|---|
Format | int |
Type d’accès | Ajouter, Supprimer, Obtenir, Remplacer |
Valeur par défaut | 3 |
Valeurs autorisées:
Valeur | Description |
---|---|
0 | Désactivé/Aucun. |
1 | Succès. |
2 | Échec. |
3 (par défaut) | Réussite+Échec. |
Mappage de stratégie de groupe :
Nom | Valeur |
---|---|
Nom | Auditer l’intégrité du système |
Chemin d'accès | Paramètres Windows Paramètres > de sécurité Paramètres > Avancé Stratégie d’audit Configuration > système Stratégies d’audit > Système |