Pourquoi auditer les événements Windows ?
Les journaux d’événements Windows sont une mine d’or pour la sécurité et le dépannage. Par défaut, Windows enregistre déjà pas mal de choses, mais la stratégie d’audit par défaut est insuffisante pour détecter les activités suspectes.
Avant de configurer NXLog ou n’importe quel collecteur de logs, il faut d’abord s’assurer que Windows génère les bons événements. C’est le rôle de la stratégie d’audit.
Les journaux principaux
Windows expose plusieurs journaux (channels) :
- System : démarrage, arrêt, erreurs de services, pilotes
- Application : événements générés par les applications (SQL, IIS, etc.)
- Security : authentifications, accès aux objets, modifications de comptes
- Setup : installations de rôles et fonctionnalités
Le journal Security est de loin le plus utile pour la sécurité, mais aussi le plus verbeux si on ne filtre pas.
Configurer la stratégie d’audit (GPO)
La configuration se fait via une GPO, dans :
Configuration ordinateur > Stratégies > Paramètres Windows > Paramètres de sécurité > Configuration avancée de la stratégie d'audit
Voici les sous-catégories à activer en priorité :
Ouverture/fermeture de session
| Sous-catégorie | Succès | Échec | EventID générés |
|---|---|---|---|
| Auditer l’ouverture de session | Oui | Oui | 4624, 4625 |
| Auditer la fermeture de session | Oui | Non | 4634 |
| Auditer les événements d’ouverture de session spéciaux | Oui | Non | 4672 |
Gestion des comptes
| Sous-catégorie | Succès | Échec | EventID générés |
|---|---|---|---|
| Auditer la gestion des comptes d’utilisateur | Oui | Oui | 4720, 4722-4726, 4738 |
| Auditer la gestion des groupes de sécurité | Oui | Oui | 4728, 4729, 4732, 4733, 4756, 4757 |
Suivi détaillé
| Sous-catégorie | Succès | Échec | EventID générés |
|---|---|---|---|
| Auditer la création de processus | Oui | Non | 4688 |
Note : pour que l’EventID 4688 inclue la ligne de commande complète, il faut aussi activer “Inclure la ligne de commande dans les événements de création de processus” dans la même GPO.
Modification de stratégie
| Sous-catégorie | Succès | Échec | EventID générés |
|---|---|---|---|
| Auditer la modification de la stratégie d’audit | Oui | Oui | 4719 |
Accès aux objets (AD uniquement)
| Sous-catégorie | Succès | Échec | EventID générés |
|---|---|---|---|
| Auditer les services d’annuaire | Oui | Oui | 5136, 5137, 5138, 5139, 5141 |
Les EventID incontournables
Voici un récapitulatif des événements les plus utiles, tous serveurs confondus :
Authentification
- 4624 : ouverture de session réussie
- 4625 : échec d’ouverture de session
- 4634 : fermeture de session
- 4648 : ouverture de session avec des identifiants explicites (RunAs, etc.)
- 4672 : privilèges spéciaux assignés (administrateur)
Comptes et groupes (pertinent surtout sur les DC)
- 4720 : création de compte
- 4722 - 4726 : activation, désactivation, suppression, changement de mot de passe
- 4728, 4729 : ajout/suppression d’un membre dans un groupe global
- 4732, 4733 : ajout/suppression d’un membre dans un groupe local
- 4756, 4757 : ajout/suppression d’un membre dans un groupe universel
- 4738 : modification d’un compte
- 4740 : verrouillage de compte
- 4767 : déverrouillage de compte
Kerberos (DC uniquement)
- 4768 : demande de TGT
- 4769 : demande de ticket de service
- 4771 : pré-authentification échouée
- 4776 : validation d’identifiants NTLM
Tâches planifiées
- 4698 : création d’une tâche planifiée
- 4699 : suppression d’une tâche planifiée
- 4700 / 4701 : activation / désactivation d’une tâche planifiée
- 4702 : modification d’une tâche planifiée
Divers
- 4688 : création de processus (avec ligne de commande si activé)
- 4697 : installation d’un service
- 4719 : modification de la stratégie d’audit
- 1102 : effacement du journal Security
- 4616 : changement de l’heure système
Forcer la taille des journaux
Par défaut, les journaux Security sont limités à 20 Mo, ce qui est insuffisant sur un DC. Via GPO :
Configuration ordinateur > Stratégies > Modèles d'administration > Composants Windows > Service Journal des événements > Sécurité
- Taille maximale du journal : 1048576 Ko (1 Go) ou plus selon l’espace disque
- Méthode de rétention : Remplacer les événements si nécessaire
Et ensuite ?
La stratégie d’audit est en place, Windows génère les événements. Il faut maintenant les collecter et les envoyer vers un SIEM (Graylog, Wazuh, etc.).
C’est le rôle de NXLog, qu’on va configurer dans les articles suivants : d’abord sur un contrôleur de domaine, puis sur un serveur membre.