Durcissement : la tracabilité fait partie du durcissement à prévoir

La traçabilité fait partie du durcissement à prévoir

Plan

  1. Mesures de traçabilité
  2. Gestion et accès aux traces
  3. Utilisation d’un collecteur de logs
  4. Taille des fichiers journaux
  5. Archiver les fichiers journaux
  6. Configuration de la journalisation des éléments
  7. Tracer les commandes exécutées sur le poste de travail
  8. Activer les événements système : Pare-feu, drivers, fichiers cryptographiques
  9. Désactiver le redémarrage lors d’un échec d’écriture de fichier journal

 

Les mesures présentées dans ce paragraphe ont pour objectif d’augmenter la visibilité des actions effectuées sur les postes de travail et permettent d’accroitre l’efficacité d’une enquête forensique si un incident intervient (propagation Malware, compromission du poste de travail, …). Notamment, les événements Windows deviennent essentiels lorsque les attaquants utilisent des outils légitimes, natifs ou des mécanismes standards (suite au vol de credentials par exemple) pour atteindre leurs objectifs.

Si l’efficacité d’une analyse post-incident repose souvent sur les traces enregistrées, ces dernières peuvent facilement être supprimées par un attaquant ayant pris le contrôle du poste de travail, c’est pourquoi il est nécessaire d’en assurer l’intégrité à travers des sauvegardes ou leur externalisation par exemple. L’utilisation d’un collecteur de logs facilite également grandement l’analyse et la corrélation des activités d’un acteur malveillant ayant compromis plusieurs postes de travail durant son activité.

Cependant, la traçabilité des événements Windows doit être traitée avec précaution et un équilibre doit être trouvé entre l’enregistrement des événements à forte valeur ajoutée et la gestion du volume des traces qui peut rapidement devenir important.

 Mesures de traçabilité

 Gestion et accès aux traces

Les droits d’accès et de gestion du journal d’audit et de sécurité doivent être restreints aux seuls comptes ayant le besoin (administrateurs).

[paycontent]

Notes informatives sur la mise en place :

Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\User Rights Assignment\Manage auditing and security log : Administrator

 

 Utilisation d’un collecteur de logs

Les traces et journaux doivent être automatiquement exportés vers un collecteur de log central afin d’en faciliter leur analyse et exploitation. L’envoi des données doit s’appuyer sur le protocole TCP pour sa fiabilité et sur un protocole de chiffrement pour en assurer la confidentialité.

Remarque : Il est essentiel d’avoir les postes de travail synchronisés dans le temps avec le contrôleur de domaine afin de ne pas complexifier leur analyse.

 Taille des fichiers journaux

La taille des fichiers journaux doit être fixée, paramétrée. Cette valeur (en ko) doit être comprise entre 1024 and 2147483647 (multiple de 64), par exemple 32768 ko.

 

Notes informatives sur la mise en place

Computer Configuration\Administrative Templates\Windows Components\Event Log Service\System\Specify the maximum log file size (KB)

 

Archiver les fichiers journaux

Lorsque le journal Evènements est plein, les traces ne doivent pas être supprimées et doivent être archivées.

Notes : Plusieurs points d’attention :

  • Surveiller l’espace disque
  • L’option « éteindre le système lorsque le journal est plein » ne doit pas être activée au risque de rendre le système indisponible

 

Notes informatives sur la mise en place

Computer Configuration\Administrative Templates\Windows Components\Event Log Service\Retain old events

Computer Configuration\Administrative Templates\Windows Components\Event Log Service\ Backup log automatically when full

Configuration de la journalisation des éléments

Les éléments suivants doivent à minima être journalisés :

– la gestion des comptes des ordinateurs et des utilisateurs (success\failure)

– les changements d’état sécurité (success\failure)

– les erreurs liés au système de fichiers

– les erreurs liés au registre

– les évènements de connexion (success\failure)

– les évènements systèmes

– les modifications de stratégie dont stratégie de mise à jour, d’audit et d’authentification (success\failure)

– l’utilisation de privilèges sensibles (success\failure)

– démarrage sans audit de sécurité

– des sauvegardes et des restaurations

– extension du system de sécurité (Security System Extension) (success\failure)

– suppression des logs (1102/517)

– modification de la LSA (4610/4611/4614/4622)

– accès à un objet / base SAM (4661)

– login d’un compte à privilèges (4672 et 4964)

– tentative de changement de mot de passe (4723)

– installation d’un nouveau service (7045/4697)

– création ou modification d’une tache planifiée (4698, 4699, 4702)

– modification de la politique d’audit (4719/612)

– création d’un utilisateur local (4720)

– ajout d’un utilisateur dans un groupe local (4732)

– énumération d’un utilisateur d’un groupe local (4798)

 

Notes informatives sur la mise en place

Computer Configuration\Windows Settings\Security Settings\Advanced Audit Policy Configuration\Audit Policies\Account Management\Audit Policy: Account Management: Security Group Management

 

Computer Configuration\Windows Settings\Security Settings\Advanced Audit Policy Configuration\Audit Policies\System\Audit Policy: System: Security State Change

 

Computer Configuration\Windows Settings\Security Settings\Advanced Audit Policy Configuration\Audit Policies\Logon/Logoff\Audit Policy: Logon-Logoff: Logon

 

Computer Configuration\Windows Settings\Security Settings\Advanced Audit Policy Configuration\Audit Policies\System\Audit Policy: System: Security State Change

 

Computer Configuration\Windows Settings\Security Settings\Advanced Audit Policy Configuration\Audit Policies\Account Management\Audit Policy: Account Management: User Account Management

 

Computer Configuration\Windows Settings\Security Settings\Advanced Audit Policy Configuration\Audit Policies\Policy Change\Audit Policy: Policy Change: Audit Policy Change

 

Computer Configuration\Windows Settings\Security Settings\Advanced Audit Policy Configuration\Audit Policies\Privilege Use\Audit Policy: Privilege Use: Sensitive Privilege Use

 

Computer Configuration\Windows Settings\Security Settings\Advanced Audit Policy Configuration\Audit Policies\Logon/Logoff\Audit Policy: Logon-Logoff: Account Lockout

 

Computer Configuration\Windows Settings\Security Settings\Advanced Audit Policy Configuration\Audit Policies\Account Management\Audit Policy: Account Management: Other Account Management Events

 

Computer Configuration\Windows Settings\Security Settings\Advanced Audit Policy Configuration\Audit Policies\System\Audit Policy: System: Security System Extension

Configuration avancée de la journalisation des éléments

Pour les postes à forte contraintes de sécurité, activer la journalisation des événements suivants :

  • L’accès aux objets (success/failure)
  • Le suivi des processus : création (success)
  • Le suivi des processus : fin (success)
  • Le suivi des processus : inclure la ligne de commande (enabled)
  • L’accès aux partages de fichiers (success/failure)
  • L’accès détaillé aux partages de fichiers (Not configured)

 

Remarque :

  • Si ces événements sont des éléments de valeurs, ils génèrent une grande quantité de traces
  • Le suivi des processus peut également être assuré par l’outil sysmon
  • L’accès détaillé aux partages de fichiers n’est pas recommandé : une grade quantité de traces est généré pour une faible valeur ajoutée

 

Tracer les commandes exécutées sur le poste de travail

Les commandes exécutées sur le poste de travail doivent être tracées. Notamment, surveiller l’utilisation des exécutables : cmd.exe, dfsvc.exe et dfshim.exe (applications ClickOnce), regsvr32.exe, rundll32.exe, bitsadmin.exe, installutil.exe, mshta.exe, cscript.exe, msbuild.exe.

 

Notes informatives sur la mise en place

https://technet.microsoft.com/en-us/windows-server-docs/identity/ad-ds/manage/component-updates/command-line-process-auditing

 

 Activer les événements système : Pare-feu, drivers, fichiers cryptographiques

Les événements systèmes concernant le pare-feu, les drivers et les fichiers cryptographiques doivent être tracés :

  • Démarrage et arrêt du pare-feu (5024, 5025, 5030, 5037)
  • Erreurs lors du chargement ou l’exécution de la politique de sécurité (5027, 5028)
  • Erreurs de chargement de drivers par le pare-feu (5029, 5033, 5034, 5035)
  • Opérations et migration clés cryptographiques (5058, 5059)
Notes informatives sur la mise en place

Computer Configuration\Windows Settings\Security Settings\Advanced Audit Policy Configuration\Audit Policies\System\Audit Policy: System: Other System Events (Success and Failure)

Désactiver le redémarrage lors d’un échec d’écriture de fichier journal

Désactiver le redémarrage du poste de travail lorsqu’un échec d’écriture Evènement de sécurité est rencontré, et permettre le démarrage sans audit de sécurité.

[/paycontent]

Autres articles sur le durcissement

Durcissement Red Hat (RHEL 7.2)

Comment durcir Windows Server 2012R2 ?

Bientôt Durcissement Windows Server 2016 dans l'espace membre

Durcissement Microsoft Office

Durcissement poste de travail Windows 10

Best practice WMI : durcissement du ‘rang’ de port

Erreur FIPS

Add ADMX file for Windows Server 2016 hardening

Comment avancer ? Je vous coach on line.

Envoyez moi un e-mail, pour mettre en place votre solution

 

sécurité

2 thoughts on “Durcissement : la tracabilité fait partie du durcissement à prévoir”

  1. An impressive share, I just given this onto a colleague who was doing a little analysis on this. And he in fact bought me breakfast because I found it for him.. smile. So let me reword that: Thnx for the treat! But yeah Thnkx for spending the time to discuss this, I feel strongly about it and love reading more on this topic. If possible, as you become expertise, would you mind updating your blog with more details? It is highly helpful for me. Big thumb up for this blog post!

Laisser un commentaire