Aller au contenu 
Introduction
La sécurité des infrastructures n’est pas possible sans un contrôle transparent. L’une des fonctions les plus importantes permettant un tel contrôle dans un environnement Windows est la stratégie de surveillance. En activant la stratégie de surveillance Windows, vous pouvez suivre les tentatives de connexion, les accès aux fichiers, les modifications d’autorisations, les démarrages de processus et d’autres événements importants.
Dans un environnement d’entreprise, en particulier pour la conformité aux exigences ISO/IEC 27001, PCI DSS ou SOC, la surveillance de la sécurité Windows n’est pas seulement une fonctionnalité supplémentaire, mais un élément obligatoire. Dans cet article, nous expliquerons comment configurer et utiliser efficacement la stratégie de surveillance Windows à l’aide d’exemples, de listes et de recommandations.
Qu’est-ce que la stratégie de surveillance Windows ?
La stratégie de surveillance est un mécanisme intégré à Windows qui vous permet d’enregistrer les actions importantes des utilisateurs et des processus dans le journal système (journal des événements). Ces journaux peuvent être utilisés pour :
- enquêter sur les incidents de sécurité,
- surveiller l’accès aux données confidentielles,
- détecter les tentatives de piratage
- et répondre aux exigences de contrôle et d’audit internes.
Exemples d’événements pouvant être consignés :
- Tentatives de connexion réussies et échouées
- Accès aux fichiers et dossiers
- Modifications apportées aux groupes d’utilisateurs
Pourquoi activer la stratégie de surveillance Windows ?
Script | Avantages d’un contrôle |
Enquête sur les fuites de données | Indique qui a accédé à quel fichier et à quel moment. |
Contrôle des actions des administrateurs | Enregistre les modifications apportées aux autorisations et à l’exécution des scripts. |
Respect des exigences d’audit (SOC, ISO) | Journal complet des événements avec indication de l’heure et références utilisateur |
Protection contre les menaces internes | Détecte les activités inhabituelles et les accès non autorisés |
Comment activer et configurer la stratégie de surveillance Windows : guide complet
La stratégie de surveillance de Windows vous permet d’enregistrer des événements importants, notamment les connexions, les accès aux fichiers, les modifications d’autorisations, les démarrages de processus et bien plus encore. Vous pouvez la configurer localement (sur un seul serveur ou un seul poste de travail) ou via des stratégies de groupe (GPO) dans un domaine.
Option 1 : configuration locale sur un serveur ou un poste de travail
Convient pour
- VPS/serveurs autonomes
- Ordinateurs hors du domaine
- Ordinateurs de test
Étape 1 : ouvrez le composant logiciel enfichable « Stratégie de sécurité locale »
Appuyez sur Win + R, tapez secpol.msc et appuyez sur Entrée.
Accédez à la section : Stratégie de sécurité locale → Stratégies locales → Stratégie de surveillance
Étape 2 : activez les catégories de surveillance requises
Vous avez accès à 9 catégories principales:
Catégorie | Ce qui est enregistré |
Contrôle de l’accès aux objets | Accès aux fichiers, dossiers, registre |
Vérification de connexion au système | Essayez de vous connecter à la station de travail (RDP, interactif). |
Contrôle d’accès au réseau | Accès via des ressources réseau (par exemple, lecteurs partagés) |
Vérification des mouvements de compte | Créer, supprimer et modifier des utilisateurs |
Contrôle de l’utilisation des autorisations | Application de mesures administratives |
Audit des événements système | Redémarrage, arrêt, erreur de service |
Examen des modifications apportées aux directives | Tentatives de modification des directives de sécurité |
contrôle du processus | Démarrer/fermer des applications |
Vérification des services d’annuaire | Uniquement dans les domaines Active Directory |
Exemple d’intégration :
Ouvrez la stratégie « Surveillance des connexions » et cochez les cases suivantes :
- Tentatives réussies
- Tentatives échouées
Répétez cette opération pour les autres stratégies requises.
Étape 3 : Appliquer et redémarrer
Les modifications prennent effet :
- Après le redémarrage
Ou après l’exécution :
gpupdate /force Option 2 : configuration via les stratégies de groupe (GPO) dans le domaine
Convient pour :
- Environnements Active Directory
- Gestion en masse de serveurs et d’ordinateurs
Étape 1 : ouvrez la console de gestion des stratégies de groupe
Sur le contrôleur de domaine, appuyez sur Win + R et saisissez :
gpmc.msc Étape 2 : Créez ou modifiez la stratégie
Créez un nouvel objet GPO (par exemple : Audit Policy Servers)
Allez dans : Configuration ordinateur → Stratégies → Paramètres Windows → Paramètres de sécurité → Stratégies locales → Stratégie d’audit
Étape 3 : Activez les paramètres requis
Activez comme dans les paramètres locaux :
- Contrôler l’accès aux objets
- Contrôler les événements de connexion
- Contrôler les modifications de stratégie, etc.
Indiquez les événements à consigner : Succès, Échec ou les deux.
Étape 4 : associez la stratégie à l’unité d’organisation
Appliquez le GPO au conteneur souhaité (unité d’organisation) avec des serveurs ou des postes de travail.
Étape 5 : appliquez la stratégie
Exécutez les opérations suivantes sur les ordinateurs clients :
gpupdate /force ou attendez que le GPO soit automatiquement mis à jour.
Paramètres avancés : configuration avancée des stratégies de surveillance
À partir de Windows Server 2008 R2 et Windows 7, un système plus flexible a été introduit :
- 53 sous-catégories de surveillance au lieu de 9
- Configuration d’événements finement ajustés (par exemple, connexion RDP, démarrage de processus, modifications ACL)
Pour activer cette fonction :
- Ouvrez gpedit.msc (ou gpmc.msc pour les domaines).
- Accédez à
- pgsql
- Configuration de l’ordinateur → Stratégies → Paramètres Windows → Paramètres de sécurité → Configuration avancée des stratégies de surveillance → Stratégies de surveillance
Activez les sous-catégories souhaitées. Voici quelques-unes des plus utiles
Sous-catégorie | Description |
Inscription | Entrées réussies et non réussies |
Accès aux objets | Tentatives d’accès à des objets protégés |
Inscription au compte | Authentification des utilisateurs via le réseau |
Modification des directives | Tentatives de modification des directives de sécurité |
Utilisation privilégiée | Utilisation des droits d’administrateur |
Création de processus | Introduction de nouveaux processus |
Pour éviter tout conflit entre les stratégies avancées et les stratégies standard, il est recommandé de désactiver la section standard :
Surveillance : paramètres de la sous-catégorie « Appliquer la stratégie de surveillance » (Windows Vista ou version ultérieure) pour remplacer les paramètres de la catégorie de stratégie de surveillance = Activé
Afficher et modifier avec PowerShell :
Vérifier :
auditpol /get /category:* Activez par exemple la surveillance de connexion :
auditpol /set /subcategory:"Logon" /success:enable /failure:enable
Où peuvent être affichés les résultats des vérifications ?
Tous les événements sont enregistrés dans le journal de sécurité Windows :
- Ouvrez eventvwr.msc.
- Allez dans :
- Journaux Windows → Sécurité
Utilisez l’ID d’événement :
ID | Événement |
4624 | Inscription réussie |
4625 | erreur d’enregistrement |
4663 | Tentative d’accès à un objet |
4719 | Modification des paramètres d’audit |
4688 | Lancer le processus |
4670 | Modification des autorisations (ACL) |
En filtrant selon ces identifiants, vous pouvez rapidement trouver les événements dont vous avez besoin.
Conseils de configuration
- N’activez que les catégories nécessaires, sinon le système sera surchargé de journaux inutiles.
- Exportez et archivez régulièrement les journaux.
- Configurez les notifications via PowerShell ou SIEM.
- Limitez l’accès aux journaux : seuls les administrateurs doivent disposer de droits de lecture.
Conseils pour une surveillance efficace
- Conservez les journaux pendant au moins 90 jours, en particulier si vous êtes soumis à des exigences de conformité.
- Utilisez un système SIEM (par exemple Wazuh, Splunk, ELK) pour analyser les journaux de manière centralisée.
- N’activez pas toutes les options, car cela entraînerait des redondances et une surcharge du système.
- Désignez une personne chargée de vérifier et de contrôler les journaux.
Conclusion
L’activation des stratégies de surveillance Windows est une étape fondamentale pour garantir la sécurité de toute infrastructure informatique d’entreprise. Une surveillance correctement configurée vous permet d’identifier les menaces, de suivre l’accès aux données et de respecter les normes de sécurité des informations. Que vous utilisiez un serveur dédié ou Windows VPS, l’activation et le contrôle des stratégies de surveillance constituent un investissement judicieux pour la stabilité et la sécurité de votre environnement.
