Comment voir si le service d'audit Windows a été arrêté?

1

Je cherche quelque chose dans les journaux de sécurité Windows qui me dira si l'audit a été désactivé - l'idée étant que si quelqu'un veut dissimuler son activité, il va désactiver le journal d'audit, faire ce qu'il veut, et puis rallumez-le.

Je sais qu'il existe un événement de sécurité Windows "1100: le service de journalisation des événements s'est arrêté", qui se produit normalement lors de l'arrêt, mais cela ne semble pas se connecter si quelqu'un l'éteint. Il n'y a pas non plus d'équivalent pour Windows Server 2003.

Existe-t-il un code d’événement dans les journaux de sécurité (ou les journaux système) qui m’indique si une personne a manuellement désactivé l’audit?

Toute aide serait appréciée.

K. Doe
la source

Réponses:

0

Quel est l'ID d'événement qui identifie quand l'audit a été désactivé?

Vous recherchez 4719: La stratégie d'audit du système a été modifiée:

Cet événement est toujours enregistré lorsqu'une stratégie d'audit est désactivée, quel que soit le paramètre de sous-catégorie "Modification de la stratégie d'audit". Ceci et plusieurs autres événements peuvent aider à identifier le moment où quelqu'un tente de désactiver l'audit pour couvrir ses traces .


4719: la stratégie d'audit du système a été modifiée

  • La stratégie d'audit au niveau système de cet ordinateur a été modifiée - via la stratégie de sécurité locale, la stratégie de groupe dans Active Directory ou la commande audipol.

  • Selon Microsoft, cet événement est toujours enregistré lorsqu'une stratégie d'audit est désactivée, quel que soit le paramètre de sous-catégorie "Audit Policy Change". Ceci et plusieurs autres événements peuvent aider à identifier le moment où quelqu'un tente de désactiver l'audit pour couvrir ses traces.

  • Si la stratégie de groupe a été utilisée pour configurer la stratégie d'audit, les champs Objet n'indiquent malheureusement pas qui a réellement modifié la stratégie. Dans ce cas, cet événement indique toujours sur l'ordinateur local que celui qui a modifié la stratégie, car il s'agit de l'entité de sécurité sous laquelle gpupdate s'exécute.

  • Si auditpol a été utilisé pour configurer la stratégie d'audit, l'utilisateur sera correctement reflété dans Objet:.

Sujet :

L'ID et la session d'ouverture de session de l'utilisateur qui a modifié la stratégie - toujours le système local - voir la remarque ci-dessus.

  • ID de sécurité: le SID du compte.
  • Nom du compte: Nom de connexion au compte.
  • Domaine du compte: Le domaine ou - dans le cas des comptes locaux - le nom de l'ordinateur.
  • ID de connexion est un numéro semi-unique (unique entre les redémarrages) qui identifie la session de connexion. L'identifiant de connexion vous permet d'établir une corrélation avec l'événement de connexion (4624) ainsi qu'avec d'autres événements enregistrés au cours de la même session.

Voir le lien source ci-dessous pour une liste complète des catégories et sous-catégories de l'événement.

Source 4719: la stratégie d'audit du système a été modifiée


Lectures complémentaires

DavidPostill
la source
Merci, cela ressemble à l'événement dont j'ai besoin. Le seul problème, c'est que cela ne semble pas apparaître dans mon journal des événements. Je suis en train de suivre les "modifications de la politique d'audit", je ne sais donc pas pourquoi cela n'apparaît pas dans les événements de sécurité. dois-je configurer autre chose pour commencer à voir cet événement?
K. Doe