07/11/2024

AstucesLogicielsWindows Client

Lire, sauvegarder et restaurer les stratégies d’audit Windows avec auditpol.exe

I. Présentation

Dans cet article, nous allons apprendre à utiliser l’outil natif "auditpol.exe" afin de consulter, sauvegarder et restaurer la politique d’audit d’un système Windows. Cette procédure peut vous être utile si vous souhaitez manipuler les stratégies d’audit en ligne de commande.

J’utilise fréquemment  "auditpol.exe" pour réaliser les opérations que je vais vous présenter dans cet article. Cet outil permet d’effectuer une revue rapide de la stratégie d’audit en place, mais aussi de sauvegarder et de restaurer des stratégies entières, ce qui est pratique pour mes tests concernant la journalisation Windows. Cela me permet entre autres de rapidement basculer d’une configuration à l’autre pour voir laquelle est la plus efficace.

Pour rappel, la stratégie ou politique d’audit sous Windows est l’ensemble des paramètres qui définissent les évènements qui seront journalisés par les systèmes d’exploitation Windows. Il peut, par exemple, s’agir de définir la journalisation des réussites d’authentification, ou les échecs, ou les deux.

L’utilisation de cet outil se fait de la même manière, qu’il s’agisse d’un serveur, d’un Active Directory ou d’un poste utilisateur. Vous aurez simplement besoin d’un accès en ligne de commande (Invite de commande ou PowerShell), ainsi que d’un accès administrateur. En effet, la gestion des stratégies d’audit est une opération sensible que seuls les comptes privilégiés peuvent réaliser. En effet, leur manipulation impacte directement la sécurité du système.

Attention, nous n’apprendrons ici pas à configurer en détail la stratégie d’audit Windows via "auditpol.exe", car il s’agit d’un vaste sujet. Il est propre à chaque contexte et il vaut généralement mieux utiliser l’interface graphique ou une GPO pour cela.

II. Utiliser auditpol pour gérer la stratégie d’audit

A. Consulter la stratégie d’audit en place

Nous allons commencer par apprendre à lister la stratégie d’audit actuellement en place sur un système Windows à l’aide de l'outil "auditpol.exe". Nous pourrons grâce à cela par la suite constater rapidement si une restauration s’est bien déroulée.

Plus globalement, la fonction de visualisation de la stratégie d’audit actuelle via l’outil "auditpol.exe" permet de rapidement voir ce qui est configuré. Par exemple lorsque l’on effectue une revue de configuration ou que l’on souhaite voir si une GPO est bien descendue jusqu’à un système précis.

Dans un premier temps, nous pouvons lister les différentes catégories de la stratégie d’audit :

# Lister les catégories de stratégie d’audit
auditpol.exe /list /category

# Lister les sous-catégories de stratégie d’audit
auditpol.exe /list /subcategory:*

Voici ce que vous obtiendrez :

Lister les catégories et sous-catégories des stratégies d'audit.
Lister les catégories et sous-catégories des stratégies d'audit.

Cela nous permettra par la suite de sélectionner la bonne stratégie d'audit que nous souhaitons afficher ou modifier.

Pour être encore plus précis et écrire des scripts qui s'exécuteront peu importe la langue du système, vous pouvez utiliser les identifiants UUID des stratégies au lieu de leur nom. Pour les afficher, utiliser l'option "/v" sur les deux commandes précédentes.

Nous pouvons ensuite, aux choix, lister la totalité des stratégies de toutes les catégories ou seulement celles d’une catégorie précise :

# Lister toutes les stratégies d’audit
auditpol.exe /get /subcategory :*

# Lister les stratégies d’audit d’une catégorie précise
auditpol /get /category:"Connexion de compte"

Voici un exemple de retour lors de la récupération de tous les paramètres de stratégies d’audit :

Affichage du paramétrage actuel des stratégies d'audit via "auditpol.exe".
Affichage du paramétrage actuel des stratégies d'audit via "auditpol.exe".

Nous avons ici un retour assez clair et pouvons consulter l’état actuel de chaque stratégie ("Pas d’audit", "Succès", "Echec", "Succès et échec").

B. Effectuer une sauvegarde de la stratégie d’audit dans un fichier CSV

Nous allons maintenant apprendre à utiliser "auditpol.exe" afin de réaliser une sauvegarde de notre stratégie d’audit au sein d’un fichier CSV. Il faut pour cela utiliser l'option "backup" de l'outil "auditpol.exe" et spécifier le fichier de destination :

# Sauvegarder la stratégie d'audit actuelle 
PS > auditpol /backup /file:C:\Users\Administrateur\backup_auditpol_01.csv

Commande exécutée correctement

À présent, vous pouvez consulter le fichier CSV créé et voir qu'il contient tout simplement votre stratégie d'audit dans le format suivant :

Nom d’ordinateur,Cible de stratégie,Sous-catégorie,GUID de sous-catégorie,Paramètre d’inclusion,Paramètre d’exclusion,Valeur de paramètre

Voici un exemple de contenu :

Exemple de backup de stratégie d'audit au format CSV réalisé par "auditpol.exe"
xemple de backup de stratégie d'audit au format CSV réalisé par "auditpol.exe"

Ce format est notamment pratique pour une revue manuelle ou automatisée, le format CSV étant assez simple à parcourir.

C. Restaurer une stratégie d’audit sauvegardée

Maintenant que nous avons à disposition une ou plusieurs sauvegardes de notre stratégie d’audit, il ne nous reste plus qu’à apprendre à la restaurer. Le fichier au format CSV que nous venons de créer peut, en effet, être utilisé pour une restauration des paramètres qu'il contient. Ceci permet de rapidement passer d'une configuration à l'autre dans le cadre de tests, par exemple.

Pour restaurer un ensemble de paramètres de stratégies d'audit à partir d'un backup CSV, il faut utiliser l'option "/restore" de l'outil "auditpol.exe" :

# Restaurer une sauvegarde des paramètres de stratégie d'audit
PS > auditpol.exe /restore /file:C:\Users\Administrateur\backup_auditpol_01.csv 

Commande exécutée correctement.

Et voilà, nous venons de restaurer très rapidement une stratégie d'audit. Vous pouvez vérifier que vos paramètres sont bien revenus à l'état attendu avec les opérations de consultation vues plus haut.

  • Prudence avec l'option "/clear"

Une dernière information avant de terminer cet article. Dans le cas où l'on souhaite revenir à la stratégie d'audit initiale après avoir fait une modification sans sauvegarde préalable, on peut être tenté d'utiliser l'option "/clear", ce qui n'est pas une bonne idée.

La commande "auditpol.exe /clear /y" désactive toutes les stratégies d'audit, ce qui signifie qu'après son exécution, plus rien ne sera audité. Elle ne réinitialise pas les stratégies d'audit à leur état de paramétrage par défaut, mais les désactive complètement.

Enfin, n’oubliez pas que si vous êtes au sein d’un domaine et que vous modifiez votre stratégie d’audit locale, celle-ci finira par être remodifiée lors de l’application régulière des GPO de votre domaine. Pour en savoir plus, je vous oriente vers notre article sur ce sujet :

III. Conclusion

Nous avons vu dans cet article comment utiliser l'outil natif Windows "auditpol.exe" afin de consulter la stratégie d'audit, de la sauvegarder, puis de la restaurer. C'est une opération assez simple qui nécessite des privilèges, mais qui peut être parfois plus rapide que l'utilisation de l'interface graphique.

Enfin, même si ces opérations n'ont pas été présentées dans l'article, sachez qu'il est également possible de modifier les stratégies d'audit avec "auditpol.exe /set".

author avatar
Mickael Dorigny Co-founder
Co-fondateur d'IT-Connect.fr. Auditeur/Pentester chez Orange Cyberdéfense.
Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Envoyer par mail

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.