Comment faire pour utiliser la stratégie de groupe pour configurer des paramètres d'audit de sécurité détaillés pour des ordinateurs clients Windows Vista dans un domaine Windows Server 2003 ou Windows 2000

Cet article décrit comment utiliser la stratégie de groupe pour configurer des paramètres d'audit de sécurité détaillés pour des ordinateurs clients Windows Vista dans un domaine Windows Server 2003 ou Windows 2000. Sous Windows Vista, vous bénéficiez d'un meilleur contrôle de chaque sous-catégorie de stratégie d'audit que dans les versions antérieures des systèmes d'exploitation Windows. Les sous-catégories de stratégie d'audit disponibles sous Windows Vista ne sont pas exposées de manière individuelle dans l'interface des outils de stratégie de groupe. Les administrateurs peuvent utiliser la procédure décrite dans cet article pour déployer une stratégie d'audit personnalisée qui applique des paramètres d'audit de sécurité détaillés aux ordinateurs clients Windows Vista dans un domaine Windows Server 2003 ou Windows 2000.

Éléments à prendre en considération

Les éléments suivants sont à prendre en compte avant d'effectuer la procédure présentée dans cet article :

• La procédure utilise un exemple de code. L'exemple de code utilise le partage Netlogon. Par ailleurs, l'exemple de code utilise le dossier %SystemRoot%\Temp comme cache.
• La procédure utilise l'exemple de domaine Contoso.com.
• La procédure suppose que les conditions suivantes sont remplies :
  • Vous maîtrisez les technologies et outils suivants :
    • scripts de démarrage de stratégie de groupe ;
    • console de gestion des stratégies de groupe ;
    • outil de ligne de commande Auditpol.exe.
  • Vous possédez des notions de base sur le traitement des fichiers de commandes.
  • Vous pouvez configurer une stratégie d'audit pour des ordinateurs clients Windows Vista dans un domaine Windows Server 2003 ou Windows 2000. La stratégie d'audit est affectée à la stratégie de domaine par défaut.
• Vous maîtrisez les scripts que la procédure utilise pour substituer des paramètres hérités de stratégie d'audit au niveau d'un domaine par des paramètres de stratégie d'audit détaillés disponibles sous Windows Vista. Si vous ne souhaitez pas configurer les paramètres de stratégie d'audit détaillés disponibles sous Windows Vista, n'appliquez pas la procédure présentée dans cet article.

Utilisation de la stratégie de groupe pour configurer des paramètres d'audit de sécurité détaillés pour des ordinateurs clients Windows Vista

Pour utiliser la stratégie de groupe pour configurer des paramètres d'audit de sécurité détaillés pour des ordinateurs clients Windows Vista dans un domaine Windows Server 2003 ou Windows 2000, procédez comme suit :

Étape 1 : Détermination des paramètres d'audit de sécurité à déployer sur des ordinateurs clients Windows Vista

1. Ouvrez une session sur un ordinateur Microsoft Vista en tant qu'utilisateur disposant d'informations d'identification d'administrateur.
2. Cliquez sur Démarrer, pointez sur Tous les programmes, cliquez sur Accessoires, cliquez avec le bouton droit sur Invite de commandes, puis cliquez sur Exécuter en tant qu'administrateur.
3. Dans la boîte de dialogue Contrôle de compte d'utilisateur, cliquez sur Continuer.
4. Videz les paramètres de stratégie d'audit par défaut. Pour cela, tapez la commande suivante à l'invite de commandes, puis appuyez sur ENTRÉE :
   auditpol /clear
5. Utilisez l'outil de ligne de commande Auditpol.exe pour configurer les paramètres de stratégie d'audit personnalisés souhaités.
   
   Par exemple, tapez les lignes suivantes à l'invite de commandes. Appuyez sur ENTRÉE après chaque ligne.
   auditpol /set /subcategory:"user account management" /success:enable /failure:enable
   auditpol /set /subcategory:"logon" /success:enable /failure:enable
   auditpol /set /subcategory:"IPSEC Main Mode" /failure:enable
   Remarque Pour afficher toutes les catégories et sous-catégories possibles, tapez la ligne suivante à l'invite de commandes, puis appuyez sur ENTRÉE :
   auditpol /list /subcategory:*
6. À l'invite de commandes, tapez la ligne suivante, puis appuyez sur ENTRÉE :
   auditpol /backup /file:auditpolicy.txt
7. Copiez le fichier Auditpolicy.txt dans le partage Netlogon du contrôleur de domaine qui joue le rôle d'émulateur de contrôleur de domaine principal dans le domaine.
   
   Le fichier Auditpolicy.txt contient tous les paramètres de stratégie d'audit que vous avez configurés. Le script de démarrage utilise ce fichier pour réappliquer la stratégie. Après avoir appliqué une fois le script de démarrage, il est inutile de redémarrer l'ordinateur pour mettre à jour les paramètres de stratégie d'audit. Pour mettre à jour les paramètres de stratégie d'audit, remplacez la version antérieure du fichier Auditpolicy.txt copié par le partage Netlogon. Pour cela, créez un nouveau fichier Auditpolicy, puis copiez-le dans le partage Netlogon.

Étape 2 : Procédure pour empêcher la stratégie d'audit de domaine héritée de remplacer la stratégie d'audit sur des ordinateurs clients Windows Vista

Pour empêcher la stratégie de domaine héritée de remplacer la stratégie d'audit, vous devez activer le paramètre de stratégie les paramètres de sous-catégorie de stratégie d'audit (Windows Vista ou version ultérieure) sont prioritaires et remplacent les paramètres de catégorie de stratégie d'audit. Ce paramètre empêche une stratégie d'audit au niveau d'un domaine de remplacer les paramètres de stratégie d'audit plus détaillés sur des ordinateurs clients Windows Vista. Pour cela, procédez comme suit :

1. Sur un ordinateur client Windows Vista joint au domaine, ouvrez la stratégie de domaine par défaut.
2. Développez Configuration de l'ordinateur, Paramètres Windows, Paramètres de sécurité, Stratégies locales, puis cliquez sur Options de sécurité.
3. Double-cliquez sur Audit : les paramètres de sous-catégorie de stratégie d'audit (Windows Vista ou version ultérieure) sont prioritaires et remplacent les paramètres de catégorie de stratégie d'audit.
4. Cliquez sur Activé, puis sur OK.

Étape 3 : Création et ajout des scripts dans le partage Netlogon

Microsoft fournit des exemples de programmation à des fins d'illustration uniquement, sans garantie explicite ou implicite. Ceci inclut, de manière non limitative, les garanties implicites de qualité marchande ou d'adéquation à un usage particulier. Cet article suppose que vous connaissez le langage de programmation présenté et les outils utilisés pour créer et déboguer des procédures. Les techniciens du support technique Microsoft peuvent vous expliquer les fonctionnalités d'une procédure particulière, mais ils ne peuvent pas modifier les exemples en vue de vous fournir des fonctionnalités supplémentaires ou de créer des procédures répondant à vos besoins spécifiques.

1. Créez le script AuditPolicy.cmd. Pour cela, procédez comme suit :
   1. Démarrez le Bloc-notes, puis ouvrez un nouveau document.
   2. Copiez le code suivant dans le document du Bloc-notes :

      @echo off
      
      REM AuditPolicy.cmd
      REM (c) 2006 Microsoft Corporation.  All rights reserved.
      REM Sample Audit Script to deploy Windows Vista
      REM Granular Audit Policy settings.
      
      REM Should be run as a startup script from Group Policy
      
      REM ###################################################
      REM Declare Variables so that we only need to edit file
      REM names/paths in one location in script
      REM ###################################################
      
      set AuditPolicyLog=%systemroot%\temp\auditpolicy.log
      set OSVersionSwap=%systemroot%\temp\osversionwap.txt
      set OsVersionTxt=%systemroot%\temp\osversion.txt
      set MachineDomainTxt=%systemroot%\temp\machinedomain.txt
      set MachineDomainSwap=%systemroot%\temp\machinedomainSwap.txt
      set ApplyAuditPolicyCMD=applyauditpolicy.cmd
      set AuditPolicyTxt=auditpolicy.txt
      
      REM ###################################################
      REM Clear Log & start fresh
      REM ###################################################
      
      if exist %AuditPolicyLog% del %AuditPolicyLog% /q /f
      date /t > %AuditPolicyLog% & time /t >> %AuditPolicyLog%
      echo.
      
      REM ###################################################
      REM Check OS Version
      REM ###################################################
      
      ver | findstr "[" > %OSVersionSwap%
      for /f "tokens=2 delims=[" %%i in (%OSVersionSwap%) do echo %%i > %OsVersionTxt%
      for /f "tokens=2 delims=] " %%i in (%OsVersionTxt%) do set osversion=%%i
      echo OS Version=%osversion% >> %AuditPolicyLog%
      
      REM ###################################################
      REM Skip Pre-Vista
      REM ###################################################
      
      if "%osversion%" LSS "6.0" exit /b 1
      
      REM ###################################################
      REM Get Domain Name
      REM ###################################################
      
      WMIC /namespace:\\root\cimv2 path Win32_ComputerSystem get domain /format:list > %MachineDomainSwap%
      find /i "Domain=" %MachineDomainSwap% > %MachineDomainTxt%
      for /f "Tokens=2 Delims==" %%i in (%MachineDomainTxt%) do set machinedomain=%%i
      echo Machine domain=%machinedomain% >> %AuditPolicyLog%
      
      REM ###################################################
      REM Copy Script & Policy to Local Directory or Terminate
      REM ###################################################
      
      xcopy \\%machinedomain%\netlogon\%ApplyAuditPolicyCMD% %systemroot%\temp\*.* /r /h /v /y
      if %ERRORLEVEL% NEQ 0 (
          echo Could not read \\%machinedomain%\netlogon\%ApplyAuditPolicyCMD% >> %AuditPolicyLog%
          exit /b 1
      ) else (
          echo Copied \\%machinedomain%\netlogon\%ApplyAuditPolicyCMD% to %systemroot%\temp >> %AuditPolicyLog%
      )
      
      xcopy \\%machinedomain%\netlogon\%AuditPolicyTxt% %systemroot%\temp\*.* /r /h /v /y
      if %ERRORLEVEL% NEQ 0 (
          echo Could not read \\%machinedomain%\netlogon\%AuditPolicyTxt% >> %AuditPolicyLog%
          exit /b 1
      ) else (
          echo Copied \\%machinedomain%\netlogon\%AuditPolicyTxt% to %systemroot%\temp >> %AuditPolicyLog%
      )
      
      REM ###################################################
      REM Create Named Scheduled Task to Apply Policy
      REM ###################################################
      
      %systemroot%\system32\schtasks.exe /create /ru System /tn audit /sc hourly /mo 1 /f /rl highest /tr "%systemroot%\temp\%ApplyAuditPolicyCMD%"
      if %ERRORLEVEL% NEQ 0 (
          echo Failed to create scheduled task for Audit >> %AuditPolicyLog%
          exit /b 1
      ) else (
          echo Created scheduled task for Audit >> %AuditPolicyLog%
      )
      
      REM ###################################################
      REM Start Named Scheduled Task to Apply Policy
      REM ###################################################
      
      %systemroot%\system32\schtasks.exe /run /tn audit
      if %ERRORLEVEL% NEQ 0 (
          Failed to execute scheduled task for Audit >> %AuditPolicyLog%
      ) else (
          echo Executed scheduled task for Audit >> %AuditPolicyLog%
      )

   3. Dans le menu Fichier, cliquez sur Enregistrer.
   4. Dans la zone Type, cliquez sur Tous les fichiers, dans la zone Nom du fichier, tapez AuditPolicy.cmd, puis cliquez sur Enregistrer.
2. Créez le script AuditPolicy.cmd. Pour cela, procédez comme suit :
   1. Démarrez le Bloc-notes, puis ouvrez un nouveau document.
   2. Copiez le code suivant dans le document du Bloc-notes :

      @echo off
      
      REM ApplyAuditPolicy.cmd
      REM (c) 2006 Microsoft Corporation.  All rights reserved.
      REM Sample Audit Script to deploy Windows Vista
      REM Granular Audit Policy settings.
      
      
      REM ###################################################
      REM Declare Variables so that we only need to edit file
      REM names/paths in one location in script
      REM ###################################################
      
      set DeleteAudit=DeleteAudit.txt
      set AuditPolicyLog=%systemroot%\temp\AuditPolicy.log
      set ApplyAuditPolicyLog=%systemroot%\temp\ApplyAuditPolicy.log
      set OSVersionSwap=%systemroot%\temp\osversionwap.txt
      set OsVersionTxt=%systemroot%\temp\osversion.txt
      set MachineDomainTxt=%systemroot%\temp\machinedomain.txt
      set MachineDomainSwap=%systemroot%\temp\machinedomainSwap.txt
      set ApplyAuditPolicyCMD=ApplyAuditpolicy.cmd
      set AuditPolicyTxt=AuditPolicy.txt
      
      REM ###################################################
      REM Clear Log & start fresh
      REM ###################################################
      
      if exist %ApplyAuditPolicyLog% del %ApplyAuditPolicyLog% /q /f
      date /t > %ApplyAuditPolicyLog% & time /t >> %ApplyAuditPolicyLog%
      echo.
      
      REM ###################################################
      REM Check OS Version
      REM ###################################################
      
      ver | findstr "[" > %OSVersionSwap%
      for /f "tokens=2 delims=[" %%i in (%OSVersionSwap%) do echo %%i > %OsVersionTxt%
      for /f "tokens=2 delims=] " %%i in (%OsVersionTxt%) do set osversion=%%i
      echo OS Version=%osversion% >> %ApplyAuditPolicyLog%
      
      REM ###################################################
      REM Skip Pre-Vista
      REM ###################################################
      
      if "%osversion%" LSS "6.0" exit /b 1
      
      REM ###################################################
      REM Get Domain Name
      REM ###################################################
      
      WMIC /namespace:\\root\cimv2 path Win32_ComputerSystem get domain /format:list > %MachineDomainSwap%
      find /i "Domain=" %MachineDomainSwap% > %MachineDomainTxt%
      for /f "Tokens=2 Delims==" %%i in (%MachineDomainTxt%) do set machinedomain=%%i
      echo Machine domain=%machinedomain% >> %ApplyAuditPolicyLog%
      
      REM ###################################################
      REM Delete Audit Task
      REM Should only be used to remove the pseudo-policy from
      REM client machines (designed for future Vista revisions
      REM where this script will no longer be necessary, and this
      REM script needs to be backed out).
      
      REM to use, simply create a file in NETLOGON with a name
      REM that matches the contents of DeleteAudit variable (above)
      REM ###################################################
      
      if exist \\%machinedomain%\netlogon\%DeleteAudit% (
          %systemroot%\system32\schtasks.exe /delete /tn "Audit" /F
          DEL %AuditPolicyLog%
          DEL %ApplyAuditPolicyLog%
          DEL %OSVersionSwap%
          DEL %OsVersionTxt%
          DEL %MachineDomainTxt%
          DEL %MachineDomainSwap%
          DEL %systemroot%\temp\%ApplyAuditPolicyCMD%
          DEL %systemroot%\temp\%AuditPolicyTxt%
          exit /b 1
      ) 
      
      REM ###################################################
      REM Copy Audit Policy to Local Directory
      REM This is tolerant of failures since the copy is just
      REM a "cache refresh".
      REM ###################################################
      
      xcopy \\%machinedomain%\netlogon\%AuditPolicyTxt% %systemroot%\temp\*.* /r /h /v /y
      if %ERRORLEVEL% NEQ 0 (
          echo Could not read \\%machinedomain%\netlogon\%AuditPolicyTxt% so using previous cached copy>> %ApplyAuditPolicyLog%
      ) else (
          echo Copied \\%machinedomain%\netlogon\%AuditPolicyTxt% to %systemroot%\temp >> %ApplyAuditPolicyLog%
      )
      
      REM ###################################################
      REM Apply Policy
      REM ###################################################
      
      %systemroot%\system32\auditpol.exe /restore /file:%systemroot%\temp\%AuditPolicyTxt%
      if %ERRORLEVEL% NEQ 0 (
          Failed to apply audit settings >> %ApplyAuditPolicyLog%
      ) else (
          echo Successfully applied audit settings >> %ApplyAuditPolicyLog%
      )

   3. Dans le menu Fichier, cliquez sur Enregistrer.
   4. Dans la zone Type, cliquez sur Tous les fichiers, tapez ApplyAuditPolicy.cmd dans la zone Nom du fichier, puis cliquez sur Enregistrer.
3. Copiez les scripts AuditPolicy.cmd et ApplyAuditPolicy.cmd dans le partage Netlogon du contrôleur de domaine qui joue le rôle d'émulateur de contrôleur de domaine principal dans le domaine.
4. Attendez l'exécution de la réplication Active Directory. Par ailleurs, attendez que les fichiers et dossiers dans le dossier partagé du volume système (SYSVOL) se répliquent sur les contrôleurs de domaine dans le domaine.
5. Ajoutez le script de démarrage à la stratégie de domaine par défaut. Pour cela, procédez comme suit :
   1. Démarrez l'outil Utilisateurs et ordinateurs Active Directory.
   2. Cliquez avec le bouton droit sur nom_domaine, puis cliquez sur Propriétés.
   3. Cliquez sur l'onglet Stratégie de groupe, sur Stratégie de domaine par défaut, puis sur Modifier. L'outil Éditeur d'objets de stratégie de groupe démarre.
   4. Développez Configuration ordinateur et Paramètres Windows, puis cliquez sur Scripts (démarrage/arrêt).
   5. Double-cliquez sur Démarrage, puis cliquez sur Ajouter.
   6. Dans la zone Nom du script, tapez le chemin d'accès UNC (Universal Naming Convention) du fichier AuditPolicy.cmd situé dans le partage Netlogon. Utilisez les formats suivants :
      \\nom_domaine_complet\Netlogon\AuditPolicy.cmd
      Par exemple, tapez \\contoso.com\netlogon\auditpolicy.cmd.
   7. Cliquez deux fois sur OK.

Étape 4 : Vérification que les paramètres d'audit de sécurité sont correctement appliqués

1. Attendez l'exécution de la réplication Active Directory. Par ailleurs, attendez que les fichiers et dossiers dans le dossier partagé du volume système (SYSVOL) se répliquent sur les contrôleurs de domaine dans le domaine.
2. Redémarrez un ordinateur client Windows Vista joint au domaine. Puis, ouvrez une session sur l'ordinateur en tant qu'utilisateur disposant d'informations d'identification d'administrateur.
3. Cliquez sur Démarrer, pointez sur Tous les programmes, puis cliquez sur Accessoires.
4. Cliquez avec le bouton droit sur Invite de commandes, puis cliquez sur Exécuter en tant qu'administrateur.
5. Dans la boîte de dialogue Contrôle de compte d'utilisateur, cliquez sur Continuer.
6. À l'invite de commandes, tapez la ligne suivante, puis appuyez sur ENTRÉE :
   auditpol /get /category:*
7. Vérifiez que les paramètres d'audit de sécurité figurant à l'invite de commandes correspondent à ceux configurés dans le fichier AuditPolicy.txt créé à l'étape 1 : « Détermination des paramètres d'audit de sécurité à déployer sur des ordinateurs clients Windows Vista ».
   
   Si les paramètres d'audit de sécurité ne correspondent pas, examinez les fichiers journaux générés par le script de démarrage dans le dossier %SystemRoot%\Temp. Si le dossier %SystemRoot%\Temp ne contient aucun fichier journal, examinez l'ordinateur client Windows Vista pour déterminer la raison pour laquelle la stratégie de groupe n'a pas été appliquée.

Pour plus d'informations sur la façon de configurer des scripts de démarrage dans Active Directory, reportez-vous au site Web de Microsoft aux adresses suivantes (en anglais) : Pour plus d'informations sur la console de gestion des stratégies de groupe, reportez-vous au site Web de Microsoft à l'adresse suivante :Pour plus d'informations sur les outils de ligne de commande Auditpol.exe et Schtasks.exe, reportez-vous au Centre d'aide et de support de Windows Vista.