Annexe 3 : Activer le journal des événements relatifs à l'intégrité du code et l'audit du système

Activer la journalisation des événements d’intégrité du code et l’audit du système

Extrait de la journalisation des événements d’intégrité du code et de l’audit système :

L’intégrité du code est le composant en mode noyau qui implémente la vérification de la signature du pilote. Il génère des événements système liés à la vérification d’image et enregistre les informations dans le journal d’intégrité du code :

  • La vue du journal opérationnel Intégrité du code affiche uniquement les événements d’erreur de vérification d’image.

  • L’affichage détaillé du journal d’intégrité du code affiche les événements pour les vérifications de signature réussies.

La procédure suivante montre comment activer la journalisation détaillée des événements d’intégrité du code pour afficher tous les événements de vérification d’images en mode noyau et chargeur de système d’exploitation réussis :

Pour activer la journalisation détaillée de l’intégrité du code

Extrait de l’activation du journal d’audit des événements système :

Pour activer la journalisation détaillée, suivez ces étapes :

  1. Ouvrez une fenêtre d'invite de commandes avec privilèges élevés.

  2. Exécutez Eventvwr.exe sur la ligne de commande.

  3. Dans le dossier Observateur d’événements dans le volet gauche de l’Observateur d’événements, développez la séquence suivante de sous-dossiers :

    1. Journaux des applications et des services

    2. Microsoft

    3. Windows

  4. Développez le sous-dossier Intégrité du code sous le dossier Windows pour afficher son menu contextuel.

  5. Sélectionnez Affichage.

  6. Sélectionnez Afficher les journaux analytiques et de débogage. L’Observateur d’événements affichera alors un sous-arborescence contenant un dossier Opérationnel et un dossier Détaillé.

  7. Cliquez avec le bouton droit sur Verbose , puis sélectionnez Propriétés dans le menu contextuel.

  8. Sélectionnez l’onglet Général dans la boîte de dialogue Propriétés, puis sélectionnez l’option Activer la journalisation au milieu de la page des propriétés. Cela activera la journalisation détaillée.

  9. Redémarrez l’ordinateur pour que les modifications prennent effet.

Les enregistrements d’événements système peuvent également être activés, notamment les événements d’échec de vérification de l’image d’intégrité du code. Ces événements sont générés lorsque le noyau Windows ne parvient pas à charger un pilote en raison d’un échec de signature. Des événements similaires sont également enregistrés dans la vue du journal des événements opérationnels de l’intégrité du code

Pour permettre à la stratégie d’audit de générer des événements d’audit dans la catégorie système pour les opérations ayant échoué

Pour activer la politique d’audit de sécurité afin de capturer les échecs de chargement dans les journaux d’audit, suivez ces étapes :

  1. Ouvrez une fenêtre d'invite de commandes avec privilèges élevés. Pour ouvrir une fenêtre d’invite de commandes avec élévation de privilèges, créez un raccourci de bureau pour Cmd.exe, cliquez avec le bouton droit sur le raccourci Cmd.exe, puis sélectionnez Exécuter en tant qu’administrateur.

  2. Dans la fenêtre d’invite de commande élevée, exécutez la commande suivante :

    Auditpol /set /Category:System /failure:enable

  3. Redémarrez l’ordinateur pour que les modifications prennent effet.

La capture d’écran suivante montre comment utiliser Auditpol pour activer l’audit de sécurité.

Capture d’écran de la fenêtre de l’invite de commande illustrant l’utilisation de auditpol pour activer l’audit de sécurité.

  • Last updated on