J’ai configuré plusieurs paramètres de stratégie d’audit avancée sous :
Computer Configuration => Policies => Windows Settings => Security Settings =>
Advanced Audit policy Configuration => Audit Policies => ...
De plus, le paramètre suivant est défini sur “Activé” :
Computer Configuration => Policies => Windows Settings => Security Settings =>
Local Policies => Security Options => Audit: Force audit policy subcategory settings
(Windows Vista or later) to override audit policy category settings.
Cependant, aucun des paramètres d’audit avancé ne s’applique. L’exécution de
auditpol /get /category:*
montre toutes les options définies sur “Aucun audit”. De plus, aucune des stratégies d’audit obsolètes n’est définie.
Ce qui me surprend, c’est que ni gpresult ni rsop.msc n’affichent la catégorie “Stratégie d’audit avancée”. Qu’est-ce que je fais de mal ici ? Je suis à court d’idées. Merci d’avance pour vos contributions !
[1er Addendum]
D’autres paramètres configurés dans le même objet de stratégie de groupe s’appliquent. Les pièges courants peuvent donc être écartés.
Le GPO d’origine contient des paramètres MSS.
Créer un nouveau GPO vide et ne configurer que les éléments d’audit avancé les fait apparaître sur le serveur cible (vérifié avec auditpol). Il doit donc y avoir quelque chose qui ne va pas avec le GPO lui-même.
[2e Addendum]
- Comparer les deux fichiers {GUID}\Machine\Microsoft\Windows NT\Audit\Audit.csv révèle la différence suivante. Notez la double occurrence de “audit”.
Version non fonctionnelle de audit.csv :
,System,Audit Policy Change,{0CCE922F-69AE-11D9-BED3-505054503030},Success and Failure,,3
Version fonctionnelle de audit.csv :
,System,Audit Audit Policy Change,{0cce922f-69ae-11d9-bed3-505054503030},Success and Failure,,3
Que se passe-t-il ici ? Y a-t-il des raisons impérieuses de ne pas modifier ce fichier manuellement ?