Précédence des configurations avancées de stratégie d'audit

La stratégie de groupe (GPO) que Tenable Identity Exposure crée pour permettre la journalisation des événements requis est liée aux contrôleurs de domaine de l'unité d'organisation (UO) avec le mode « Enforced » (Appliqué).

Cela donne à la GPO une priorité élevée, mais une GPO appliquée configurée à un niveau supérieur (tel que domaine ou site) aura tout de même la précédence.

Si la GPO de priorité supérieure qui définit les paramètres de configuration avancée de stratégie d'audit est en conflit avec les besoins de Tenable Identity Exposure, elle prend le pas sur les autres et Tenable Identity Exposure ne reçoit pas les événements requis pour la détection d'attaque.

Comme Windows fusionne les paramètres de configuration avancée de stratégie d'audit définis par les GPO, différentes GPO peuvent définir différents paramètres.

Cependant, à chaque niveau de configuration, il n'utilise que la valeur définie par la GPO ayant la priorité la plus élevée. Par exemple, Tenable Identity Exposure a besoin des valeurs Succès et échec pour le paramètre Auditer la validation des informations d'identification. Toutefois, si une GPO avec une priorité plus élevée définit uniquement la réussite pour la propriété Auditer la validation des informations d'identification, Windows ne collecte que les événements de réussite, et Tenable Identity Exposure ne voit pas les événements d'échec dont il a besoin.

Pour vérifier la précédence des GPO :

  1. Dans l'interface de ligne de commande, exécutez la commande suivante sur un contrôleur de domaine.

    Elle affiche la configuration avancée de stratégie d'audit appliquée après avoir pris en compte toutes les GPO et leur priorité.

    Copier
    auditpol.exe /get /category:*
  2. Comparez la sortie avec les exigences de stratégie d'audit avancée Tenable Identity Exposure. Pour chaque paramètre requis par Tenable Identity Exposure, vérifiez que la stratégie en vigueur le couvre également.

    • Que la stratégie en vigueur soit plus exhaustive, par exemple, lorsque Tenable Identity Exposure a besoin de « Succès » ou « Échec » et que le paramètre est « Succès et Échec », ne pose pas de problème.

    • Si la stratégie appliquée est insuffisante, cela signifie qu'une GPO avec une priorité plus élevée définit des paramètres en conflit.

Pour fixer la priorité d'une GPO :

  1. Recherchez les GPO liées à des niveaux supérieurs (domaine ou site) en mode « appliqué » qui définissent la configuration avancée de stratégie d'audit.

  2. Dans l'interface de ligne de commande, exécutez la commande suivante sur un contrôleur de domaine pour localiser la GPO prioritaire :

    Copier
    gpresult /scope:computer /h gpo.html
  1. Modifiez le paramètre de configuration avancée de stratégie d'audit correspondant dans la GPO pour qu'elle réponde aux exigences minimales de Tenable Identity Exposure. Par exemple :

    • Si Tenable Identity Exposure nécessite « Succès » et que la GPO de priorité la plus élevée définit « Échec », remplacez la valeur par « Succès et Échec ».

    • Si Tenable Identity Exposure nécessite « Succès et Échec » et que la GPO ayant la priorité la plus élevée définit « Succès », remplacez la valeur par « Succès et Échec ».

  1. Après avoir modifié le paramètre, vous pouvez attendre que la GPO mise à jour s'applique ou forcer son application avec la commande gpupdate.

  2. Répétez la procédure Pour vérifier la précédence des GPO : pour vérifier la nouvelle stratégie en vigueur.