Comment détecter qui a supprimé un objet de stratégie de groupe

Les objets de stratégie de groupe (GPO) peuvent fournir des configurations pour l'accès aux ressources et appareils partagés, activer des fonctionnalités critiques ou établir des environnements sécurisés. Si certains des GPO sont supprimés, les utilisateurs pourraient ne pas être en mesure d'accéder à Internet, de modifier leurs données, d'utiliser des périphériques ou même de se connecter à leurs systèmes. La suppression de GPO qui traitent du contrôle d'accès, de l'authentification et d'autres politiques de sécurité peut augmenter la vulnérabilité des systèmes et permettre un accès non autorisé.

Comment détecter qui a supprimé un GPO en utilisant les outils d'audit natifs ?

1. Exécutez GPMC.msc > ouvrez la « Stratégie de domaine par défaut » > Configuration de l'ordinateur > Stratégies > Paramètres Windows > Paramètres de sécurité :

• Configuration avancée de la Audit Policy > Stratégies d'audit > Accès aux objets > Audit du système de fichiers > Définir > Succès et échecs
• Configuration de la stratégie d'audit avancée > Stratégies d'audit > Accès aux objets > Audit de la manipulation des handles > Définir > Succès et échecs
• Stratégies locales > Stratégie d'audit > Audit de l'accès aux services d'annuaire > Définir > Succès et échecs
• Journal des événements > Définir > Taille maximale du journal de sécurité à 1 Go et Méthode de conservation du journal de sécurité pour Écraser les événements selon les besoins.

2. Ouvrez ADSI Edit > Connectez-vous au contexte de nommage par défaut > DC=nom de domaine > CN=System > cliquez droit sur « CN=Policies » > Propriétés > Sécurité (Onglet) > Avancé > Audit (Onglet) > Cliquez sur « Ajouter » > Choisissez les paramètres suivants :

• Principal : Tout le monde ; Type : Réussite ; S'applique à : Cet objet et tous les objets descendants ; Permissions : Supprimer les objets conteneurs de stratégie de groupe > Cliquez sur « OK ».

3. Naviguez jusqu'au \domainnamesysvoldomainfqdn > faites un clic droit sur le dossier « Policies » et sélectionnez « Propriétés ».

4. Sélectionnez l'onglet « Sécurité » > bouton « Avancé » > onglet « Audit » > Cliquez sur « Ajouter ».

5. Sélectionnez Principal : « Tout le monde » ; Sélectionnez « Type : Tous » ; Sélectionnez « S'applique à : Ce dossier, sous-dossiers et fichiers » ; Sélectionnez les « Autorisations avancées » suivantes : Écrire des attributs ; Écrire des attributs étendus ; Supprimer ; Supprimer des sous-dossiers et fichiers ; Cliquez trois fois sur « OK ».

6. Pour définir quelle stratégie de groupe a été supprimée, filtrez le journal des événements de sécurité pour Event ID 4663 (Catégorie de tâche – « Système de fichiers » ou « Stockage amovible ») et recherchez la chaîne « Nom de l'objet : », où vous pouvez trouver le chemin et le GUID de la politique supprimée et le champ « nom du compte » contient des informations sur qui l'a supprimé.

Apprenez maintenant comment découvrir qui a supprimé un objet de stratégie de groupe en 2 étapes >>