Discussion :

[SangOr]

Bonjour tous le monde.

Je souhaite créer un script qui me permettrait d'auditer mes machines afin de remonter les logs dans un SIEM.
C'est assez long de tout passer à la main.

Je dois créer une ou deux régles qui auditeraient à la fois, tous les "failure" et les accès "success" en écriture.
Ceci sur un nombre important d'objets (dont les chemins sont listés dans un fichier texte)

Voici mon code :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
$ListFile= Get-Content -path C:\Chemin\du\fichier\texte\
foreach ($line in $ListFile)
{
Set-Variable -name Path -Value $line
$AuditUser = "Everyone" #Tous les utilisateurs
$AuditRule = "FullControl" #Accès à auditer
$InheritType = "ContainerInherit" #Appliquée à dossier, sous-dossier et fichiers ("ObjectInherit" pour appliquer la règle aux objets enfants)
$AuditType = "Failure" #Spécifie Success ou Failure
$AccessRule = New-Object System.Security.AccessControl.FileSystemAuditRule($AuditUser,$AuditRule,$InheritType,"None",$AuditType) #Concatène les règles d'audit à appliquer dans une variable
$ACL = new-object System.Security.AccessControl.DirectorySecurity
$ACL.SetAuditRule($AccessRule)
$ACL | Set-Acl $Path
}
foreach ($line in $ListFile)
{
Set-Variable -name Path -Value $line
$AuditUser = "Everyone" #Tous les utilisateurs
$AuditRule = "WriteData","AppendData","Traverse","DeleteSubdirectoriesAndFiles","Delete","Modify","ChangePermissions","TakeOwnership" #Accès à auditer
$InheritType = "ContainerInherit" #Appliquée à dossier, sous-dossier et fichiers ("ObjectInherit" pour appliquer la règle aux objets enfants)
$AuditType = "Success" #Spécifie Success ou Failure
$AccessRule = New-Object System.Security.AccessControl.FileSystemAuditRule($AuditUser,$AuditRule,$InheritType,"None",$AuditType) #Concatène les règles d'audit à appliquer dans une variable
$ACL = new-object System.Security.AccessControl.DirectorySecurity 
$ACL.SetAuditRule($AccessRule)
$ACL | Set-Acl $Path
}

Les deux boucles fonctionnent lorsque je les exécute séparément. Le soucis étant que l'application de la règle "success" écrase la première.

Quelqu'un aurait un début de solution ?

J'ai également un deuxième soucis, lorsque je tente d'appliquer ces règles à des dossiers/fichiers protégés (system32, sysWOW64, etc..) la permission est refusée (alors que je suis admin et que j’exécute powershell en tant qu'admin)

Merci

[Laurent Dardenne]

Salut,

Quelqu'un aurait un début de solution ?

Peut-être la méthode $ACL.AddAuditRule

[SangOr]

Salut,

Peut-être la méthode $ACL.AddAuditRule

Salut Laurent,

Non, même effet. La première règle est supprimée.

[Laurent Dardenne]

Non, même effet. La première règle est supprimée.

As-tu essayé dans une seule boucle, Set puis Add ?

[SangOr]

As-tu essayé dans une seule boucle, Set puis Add ?

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
$ListFile= Get-Content -path C:\Chemin\du\fichier\texte\
foreach ($line in $ListFile)
{
Set-Variable -name Path -Value $line
$AuditUser = "Everyone"
$AuditRule = "FullControl"
$InheritType = "ContainerInherit"
$AuditType = "Failure"
$AccessRule = New-Object System.Security.AccessControl.FileSystemAuditRule($AuditUser,$AuditRule,$InheritType,"None",$AuditType)
$ACL = new-object System.Security.AccessControl.DirectorySecurity
$ACL.SetAuditRule($AccessRule)
$AuditUser = "Everyone" #Tous les utilisateurs
$AuditRule = "WriteData","AppendData","Traverse","DeleteSubdirectoriesAndFiles","Delete","Modify","ChangePermissions","TakeOwnership" #Accès à auditer
$InheritType = "ContainerInherit" #Appliqué à dossier, sous-dossier et fichiers ("ObjectInherit" pour appliquer la règles aux objets enfants)
$AuditType = "Success" #Spécifie Success ou Failure
$AccessRule = New-Object System.Security.AccessControl.FileSystemAuditRule($AuditUser,$AuditRule,$InheritType,"None",$AuditType) #Concatène les règles d'audit à appliquer dans une variable
$ACL = new-object System.Security.AccessControl.DirectorySecurity 
$ACL.AddAuditRule($AccessRule)
$ACL | Set-Acl $Path
}

Même effet :/

[SangOr]

Tu vois pas un moyen pour faire passer deux règles en même temps à cette commande ? (l.19)

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

Set-Acl $Path

[Laurent Dardenne]

Même effet :/

Essaie sans recréer l'ACL entre les deux appels de méthodes

[SangOr]

Essaie sans recréer l'ACL entre les deux appels de méthodes

Je ne vois pas comment faire...

[Laurent Dardenne]

Essaie ceci :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
$ListFile= Get-Content -path C:\Chemin\du\fichier\texte\
foreach ($line in $ListFile)
{
 try {
  $Path=$line
  Write-Debug "Rule : $Path"
  $ACL=Get-Acl $Path

  $AuditUser = "Everyone"
  #$AuditUser = "Tout le monde"
  $AuditRule = "FullControl"
  $InheritType = "ContainerInherit"
  $AuditType = "Failure"
  $AccessRule = New-Object System.Security.AccessControl.FileSystemAuditRule($AuditUser,$AuditRule,$InheritType,"None",$AuditType)
  $ACL.SetAuditRule($AccessRule)
 
  $AuditUser = "Everyone" #Tous les utilisateurs
  $AuditRule = "WriteData","AppendData","Traverse","DeleteSubdirectoriesAndFiles","Delete","Modify","ChangePermissions","TakeOwnership" #Accès à auditer
  $InheritType = "ContainerInherit" #Appliqué à dossier, sous-dossier et fichiers ("ObjectInherit" pour appliquer la règles aux objets enfants)
  $AuditType = "Success" #Spécifie Success ou Failure
  $AccessRule = New-Object System.Security.AccessControl.FileSystemAuditRule($AuditUser,$AuditRule,$InheritType,"None",$AuditType) #Concatène les règles d'audit à appliquer dans une variable
  $ACL.AddAuditRule($AccessRule)
 
  $ACL | Set-Acl $Path
   #Visu du résultat
  #$ACL.GetAuditRules($true,$true,[System.Security.Principal.SecurityIdentifier])
 } catch {
   Write-Host ($AccessRule|ft -AutoSize|out-string) -BackgroundColor DarkCyan
   Write-Error -Message $_.Message -Exception $_.Exception
 }
}

[SangOr]

Essaie ceci :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
$ListFile= Get-Content -path C:\chemin\du\fichier\texte\
foreach ($line in $ListFile)
{
 try {
  $Path=$line
  Write-Debug "Rule : $Path"
  $ACL=Get-Acl $Path

  $AuditUser = "Everyone"
  #$AuditUser = "Tout le monde"
  $AuditRule = "FullControl"
  $InheritType = "ContainerInherit"
  $AuditType = "Failure"
  $AccessRule = New-Object System.Security.AccessControl.FileSystemAuditRule($AuditUser,$AuditRule,$InheritType,"None",$AuditType)
  $ACL.SetAuditRule($AccessRule)
 
  $AuditUser = "Everyone" #Tous les utilisateurs
  $AuditRule = "WriteData","AppendData","Traverse","DeleteSubdirectoriesAndFiles","Delete","Modify","ChangePermissions","TakeOwnership" #Accès à auditer
  $InheritType = "ContainerInherit" #Appliqué à dossier, sous-dossier et fichiers ("ObjectInherit" pour appliquer la règles aux objets enfants)
  $AuditType = "Success" #Spécifie Success ou Failure
  $AccessRule = New-Object System.Security.AccessControl.FileSystemAuditRule($AuditUser,$AuditRule,$InheritType,"None",$AuditType) #Concatène les règles d'audit à appliquer dans une variable
  $ACL.AddAuditRule($AccessRule)
 
  $ACL | Set-Acl $Path
   #Visu du résultat
  #$ACL.GetAuditRules($true,$true,[System.Security.Principal.SecurityIdentifier])
 } catch {
   Write-Host ($AccessRule|ft -AutoSize|out-string) -BackgroundColor DarkCyan
   Write-Error -Message $_.Message -Exception $_.Exception
 }
}

Nop, toujours pas :/

En fait je pense que le soucis viens de là :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

$ACL | Set-Acl $Path

Comme on passe la variable $ACL à la commande Set-Acl, il ne créera forcement que la deuxième règle.

J'ai déjà essayé de faire deux Set-Acl (un après la première règle, l'autre après la seconde). Mais ça veut pas

Je ne sais pas si Set-Acl peux prendre plusieurs règles d'un coup en argument. Ce serait intéressant d'essayer mais je ne vois pas comment faire :/

[Laurent Dardenne]

Nop, toujours pas :/

J'ai créé un répertoire de test (sous PS v4 Fr Seven x64) puis lui ai appliqué avec succès les règles d’audit.
Essaie de faire de même.

Le code ne fait rien ou ce n'est pas la résultat attendu ?

[SangOr]

Presque.

Je ne sais pas pour toi

Mais chez moi le script crée une seule règle, "Success" et "Failure", mais tout est coché (Full control)

Le but, ce serais d'éviter les faux positifs avec les accès en lecture (réussis) qui ne sont pas intéressants à auditer. D'où l'intérêt de créer deux règles distinctes

On va y arriver

[Laurent Dardenne]

Mais chez moi le script crée une seule règle, "Success" et "Failure", mais tout est coché (Full control)

Idem.
Pourtant l'appel à $ACL.GetAuditRules renvoi bien les infos insérées. Je n'ai pas fait l'inverse, utiliser le GUI et vérifier avec PS.

On va y arriver

[SangOr]

Pareil pour moi

Le $ACL.GetAuditRules me renvoi les bonnes valeurs...

J'ai du mal à suivre ce qui se passe.. Je pense toujours que ça foire au niveau du Set-Acl mais j'ai pas d'autre idée

[Laurent Dardenne]

j'ai pas d'autre idée

Dans un premier temps lire ou relire la doc des classes utilisées, cf. MSDN.
Les valeurs passées au constructeur FileSystemAuditRule ne sont peut être pas adaptées.
Par exemple :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
 $AuditRule = "FullControl"
 $InheritType = "ContainerInherit"

[Laurent Dardenne]

Il y a peut être un bug dans le cmdlet, via le GUI, celui-ci visualise deux entrées, avec PS celui-ci n'en crée qu'une seule dont le type est 'Tout'.
Reste à tester le portage d'un code C# pour le vérifier...

[Laurent Dardenne]

Après qq recherches et tests, ce n'est pas le cmdlet mais la classe dotnet qui fusionne les règles.
Je ne connais pas le détail de cette règle, mais a priori le GUI (apiwin32 à priori) n'applique pas cette règle.
Je n'ai pas vérifié si avec un outil Win32 en ligne de commande cette fusion n'existe pas.

Ensuite dans :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
$AuditRule = "WriteData","AppendData","Traverse","DeleteSubdirectoriesAndFiles","Delete","Modify","ChangePermissions","TakeOwnership"

Le droit 'Modify' est un ensemble de droits, si je le supprime j'ai bien deux entrées distinctes.

[SangOr]

Hello,

Effectivement, sans le "modify" ça va un peu mieux.

Je vais faire quelques tests et recherches aujourd'hui, je reviens te dire si j'ai du nouveau.

Merci pour ton aide en tout cas

[SangOr]

YES !

J'ai enfin trouvé !

C'est le fait de redéfinir une deuxième fois la variable $ACL qui faisait que la première règle s'écrasait

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

$ACL = New-Object System.Security.AccessControl.DirectorySecurity

Le code complet :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
auditpol /set /category:"Object Access" /success:disable /failure:enable
auditpol /set /subcategory:"File System" /success:enable /failure:enable
auditpol /set /subcategory:"Registry" /success:enable /failure:enable
auditpol /set /subcategory:"Other Object Access Events" /success:enable /failure:enable

$ListFile= Get-Content -path C:\chemin\du\fichier\texte\
foreach ($line in $ListFile)
{
Set-Variable -name Path -Value $line
$AuditUser = "Everyone"
$AuditRule = "FullControl"
$InheritType = "ContainerInherit","ObjectInherit"
$AuditType = "Failure"
$AccessRule = New-Object System.Security.AccessControl.FileSystemAuditRule($AuditUser,$AuditRule,$InheritType,"None",$AuditType)
$ACL = New-Object System.Security.AccessControl.DirectorySecurity
$ACL.SetAuditRule($AccessRule)
Set-Acl $path -AclObject $ACL 
$AuditUser = "Everyone" 
$AuditRule = "WriteData","AppendData","Traverse","DeleteSubdirectoriesAndFiles","Delete","ChangePermissions","TakeOwnership" 
$InheritType = "ContainerInherit","ObjectInherit" 
$AuditType = "Success" #Spécifie Success ou Failure
$AccessRule = New-Object System.Security.AccessControl.FileSystemAuditRule($AuditUser,$AuditRule,$InheritType,"None",$AuditType) 
$ACL.AddAuditRule($AccessRule)
Set-Acl $path -AclObject $ACL 
}

[SangOr]

Je laisse le post ouvert car je vais passer sur l'audit des clés de registre

Normalement ça devrais aller, le fonctionnement à l'air similaire. Seul les classes changes :

RegistryAuditRule
RegistrySecurity

PS : J'ai toujours pas résolu mon soucis. Lorsque j'essaie d'appliquer ces règles à un dossier du style system32, la permission m'est refusée alors que je suis admin de la machine et que j'éxécute ISE en tant qu'admin
C'est pas mon soucis premier pour l'instant, mais ça va le devenir ^^

Je me répéte mais merci Laurent pour ton aide. N'hésitez pas à participer