Audit Policy - Appliquer les régles à un Objet

Bonjour tous le monde.

Je souhaite créer un script qui me permettrait d'auditer mes machines afin de remonter les logs dans un SIEM.
C'est assez long de tout passer à la main.

Je dois créer une ou deux régles qui auditeraient à la fois, tous les "failure" et les accès "success" en écriture.
Ceci sur un nombre important d'objets (dont les chemins sont listés dans un fichier texte)

Voici mon code :

Code:

---

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25

$ListFile= Get-Content -path C:\Chemin\du\fichier\texte\ foreach ($line in $ListFile) { Set-Variable -name Path -Value $line $AuditUser = "Everyone" #Tous les utilisateurs $AuditRule = "FullControl" #Accès à auditer $InheritType = "ContainerInherit" #Appliquée à dossier, sous-dossier et fichiers ("ObjectInherit" pour appliquer la règle aux objets enfants) $AuditType = "Failure" #Spécifie Success ou Failure $AccessRule = New-Object System.Security.AccessControl.FileSystemAuditRule($AuditUser,$AuditRule,$InheritType,"None",$AuditType) #Concatène les règles d'audit à appliquer dans une variable $ACL = new-object System.Security.AccessControl.DirectorySecurity $ACL.SetAuditRule($AccessRule) $ACL | Set-Acl $Path } foreach ($line in $ListFile) { Set-Variable -name Path -Value $line $AuditUser = "Everyone" #Tous les utilisateurs $AuditRule = "WriteData","AppendData","Traverse","DeleteSubdirectoriesAndFiles","Delete","Modify","ChangePermissions","TakeOwnership" #Accès à auditer $InheritType = "ContainerInherit" #Appliquée à dossier, sous-dossier et fichiers ("ObjectInherit" pour appliquer la règle aux objets enfants) $AuditType = "Success" #Spécifie Success ou Failure $AccessRule = New-Object System.Security.AccessControl.FileSystemAuditRule($AuditUser,$AuditRule,$InheritType,"None",$AuditType) #Concatène les règles d'audit à appliquer dans une variable $ACL = new-object System.Security.AccessControl.DirectorySecurity $ACL.SetAuditRule($AccessRule) $ACL | Set-Acl $Path }

---

Les deux boucles fonctionnent lorsque je les exécute séparément. Le soucis étant que l'application de la règle "success" écrase la première.

Quelqu'un aurait un début de solution ?

J'ai également un deuxième soucis, lorsque je tente d'appliquer ces règles à des dossiers/fichiers protégés (system32, sysWOW64, etc..) la permission est refusée (alors que je suis admin et que j’exécute powershell en tant qu'admin)

Merci ;)

Salut,

Citation:

---

Envoyé par SangOr

Quelqu'un aurait un début de solution ?

---

Peut-être la méthode $ACL.AddAuditRule

Citation:

---

Envoyé par Laurent Dardenne

Salut,

Peut-être la méthode $ACL.AddAuditRule

---

Salut Laurent,

Non, même effet. La première règle est supprimée.

Citation:

---

Envoyé par SangOr

Non, même effet. La première règle est supprimée.

---

As-tu essayé dans une seule boucle, Set puis Add ?

Citation:

---

Envoyé par Laurent Dardenne

As-tu essayé dans une seule boucle, Set puis Add ?

---

Code:

---

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20

$ListFile= Get-Content -path C:\Chemin\du\fichier\texte\ foreach ($line in $ListFile) { Set-Variable -name Path -Value $line $AuditUser = "Everyone" $AuditRule = "FullControl" $InheritType = "ContainerInherit" $AuditType = "Failure" $AccessRule = New-Object System.Security.AccessControl.FileSystemAuditRule($AuditUser,$AuditRule,$InheritType,"None",$AuditType) $ACL = new-object System.Security.AccessControl.DirectorySecurity $ACL.SetAuditRule($AccessRule) $AuditUser = "Everyone" #Tous les utilisateurs $AuditRule = "WriteData","AppendData","Traverse","DeleteSubdirectoriesAndFiles","Delete","Modify","ChangePermissions","TakeOwnership" #Accès à auditer $InheritType = "ContainerInherit" #Appliqué à dossier, sous-dossier et fichiers ("ObjectInherit" pour appliquer la règles aux objets enfants) $AuditType = "Success" #Spécifie Success ou Failure $AccessRule = New-Object System.Security.AccessControl.FileSystemAuditRule($AuditUser,$AuditRule,$InheritType,"None",$AuditType) #Concatène les règles d'audit à appliquer dans une variable $ACL = new-object System.Security.AccessControl.DirectorySecurity $ACL.AddAuditRule($AccessRule) $ACL | Set-Acl $Path }

---

Même effet :/

Tu vois pas un moyen pour faire passer deux règles en même temps à cette commande ? (l.19)

Code:

---

Set-Acl $Path

---

Citation:

---

Envoyé par SangOr

Même effet :/

---

Essaie sans recréer l'ACL entre les deux appels de méthodes

Citation:

---

Envoyé par Laurent Dardenne

Essaie sans recréer l'ACL entre les deux appels de méthodes

---

Je ne vois pas comment faire...

Essaie ceci :

Code:

---

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32

$ListFile= Get-Content -path C:\Chemin\du\fichier\texte\ foreach ($line in $ListFile) { try { $Path=$line Write-Debug "Rule : $Path" $ACL=Get-Acl $Path $AuditUser = "Everyone" #$AuditUser = "Tout le monde" $AuditRule = "FullControl" $InheritType = "ContainerInherit" $AuditType = "Failure" $AccessRule = New-Object System.Security.AccessControl.FileSystemAuditRule($AuditUser,$AuditRule,$InheritType,"None",$AuditType) $ACL.SetAuditRule($AccessRule) $AuditUser = "Everyone" #Tous les utilisateurs $AuditRule = "WriteData","AppendData","Traverse","DeleteSubdirectoriesAndFiles","Delete","Modify","ChangePermissions","TakeOwnership" #Accès à auditer $InheritType = "ContainerInherit" #Appliqué à dossier, sous-dossier et fichiers ("ObjectInherit" pour appliquer la règles aux objets enfants) $AuditType = "Success" #Spécifie Success ou Failure $AccessRule = New-Object System.Security.AccessControl.FileSystemAuditRule($AuditUser,$AuditRule,$InheritType,"None",$AuditType) #Concatène les règles d'audit à appliquer dans une variable $ACL.AddAuditRule($AccessRule) $ACL | Set-Acl $Path #Visu du résultat #$ACL.GetAuditRules($true,$true,[System.Security.Principal.SecurityIdentifier]) } catch { Write-Host ($AccessRule|ft -AutoSize|out-string) -BackgroundColor DarkCyan Write-Error -Message $_.Message -Exception $_.Exception } }

---

Citation:

---

Envoyé par Laurent Dardenne

Essaie ceci :

Code:

---

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32

$ListFile= Get-Content -path C:\chemin\du\fichier\texte\ foreach ($line in $ListFile) { try { $Path=$line Write-Debug "Rule : $Path" $ACL=Get-Acl $Path $AuditUser = "Everyone" #$AuditUser = "Tout le monde" $AuditRule = "FullControl" $InheritType = "ContainerInherit" $AuditType = "Failure" $AccessRule = New-Object System.Security.AccessControl.FileSystemAuditRule($AuditUser,$AuditRule,$InheritType,"None",$AuditType) $ACL.SetAuditRule($AccessRule) $AuditUser = "Everyone" #Tous les utilisateurs $AuditRule = "WriteData","AppendData","Traverse","DeleteSubdirectoriesAndFiles","Delete","Modify","ChangePermissions","TakeOwnership" #Accès à auditer $InheritType = "ContainerInherit" #Appliqué à dossier, sous-dossier et fichiers ("ObjectInherit" pour appliquer la règles aux objets enfants) $AuditType = "Success" #Spécifie Success ou Failure $AccessRule = New-Object System.Security.AccessControl.FileSystemAuditRule($AuditUser,$AuditRule,$InheritType,"None",$AuditType) #Concatène les règles d'audit à appliquer dans une variable $ACL.AddAuditRule($AccessRule) $ACL | Set-Acl $Path #Visu du résultat #$ACL.GetAuditRules($true,$true,[System.Security.Principal.SecurityIdentifier]) } catch { Write-Host ($AccessRule|ft -AutoSize|out-string) -BackgroundColor DarkCyan Write-Error -Message $_.Message -Exception $_.Exception } }

---

---

Nop, toujours pas :/

En fait je pense que le soucis viens de là :

Code:

---

$ACL | Set-Acl $Path

---

Comme on passe la variable $ACL à la commande Set-Acl, il ne créera forcement que la deuxième règle.

J'ai déjà essayé de faire deux Set-Acl (un après la première règle, l'autre après la seconde). Mais ça veut pas :D

Je ne sais pas si Set-Acl peux prendre plusieurs règles d'un coup en argument. Ce serait intéressant d'essayer mais je ne vois pas comment faire :/

Citation:

---

Envoyé par SangOr

Nop, toujours pas :/

---

J'ai créé un répertoire de test (sous PS v4 Fr Seven x64) puis lui ai appliqué avec succès les règles d’audit.
Essaie de faire de même.

Le code ne fait rien ou ce n'est pas la résultat attendu ?

Presque.

Je ne sais pas pour toi

Mais chez moi le script crée une seule règle, "Success" et "Failure", mais tout est coché (Full control) :?

Le but, ce serais d'éviter les faux positifs avec les accès en lecture (réussis) qui ne sont pas intéressants à auditer. D'où l'intérêt de créer deux règles distinctes

On va y arriver :P

Citation:

---

Envoyé par SangOr

Mais chez moi le script crée une seule règle, "Success" et "Failure", mais tout est coché (Full control) :?

---

Idem.
Pourtant l'appel à $ACL.GetAuditRules renvoi bien les infos insérées. Je n'ai pas fait l'inverse, utiliser le GUI et vérifier avec PS.

Citation:

---

Envoyé par SangOr

On va y arriver

---

:lol:

Pareil pour moi

Le $ACL.GetAuditRules me renvoi les bonnes valeurs...

J'ai du mal à suivre ce qui se passe.. Je pense toujours que ça foire au niveau du Set-Acl mais j'ai pas d'autre idée

Citation:

---

Envoyé par SangOr

j'ai pas d'autre idée

---

Dans un premier temps lire ou relire la doc des classes utilisées, cf. MSDN.
Les valeurs passées au constructeur FileSystemAuditRule ne sont peut être pas adaptées.
Par exemple :

Code:

---

1 2 3

$AuditRule = "FullControl" $InheritType = "ContainerInherit"

---

Il y a peut être un bug dans le cmdlet, via le GUI, celui-ci visualise deux entrées, avec PS celui-ci n'en crée qu'une seule dont le type est 'Tout'.
Reste à tester le portage d'un code C# pour le vérifier...

Après qq recherches et tests, ce n'est pas le cmdlet mais la classe dotnet qui fusionne les règles.
Je ne connais pas le détail de cette règle, mais a priori le GUI (apiwin32 à priori) n'applique pas cette règle.
Je n'ai pas vérifié si avec un outil Win32 en ligne de commande cette fusion n'existe pas.

Ensuite dans :

Code:

---

1 2	$AuditRule = "WriteData","AppendData","Traverse","DeleteSubdirectoriesAndFiles","Delete","Modify","ChangePermissions","TakeOwnership"

---

Le droit 'Modify' est un ensemble de droits, si je le supprime j'ai bien deux entrées distinctes.

Hello,

Effectivement, sans le "modify" ça va un peu mieux.

Je vais faire quelques tests et recherches aujourd'hui, je reviens te dire si j'ai du nouveau.

Merci pour ton aide en tout cas ;)

YES ! :D

J'ai enfin trouvé !

C'est le fait de redéfinir une deuxième fois la variable $ACL qui faisait que la première règle s'écrasait

Code:

---

$ACL = New-Object System.Security.AccessControl.DirectorySecurity

---

Le code complet :

Code:

---

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26

auditpol /set /category:"Object Access" /success:disable /failure:enable auditpol /set /subcategory:"File System" /success:enable /failure:enable auditpol /set /subcategory:"Registry" /success:enable /failure:enable auditpol /set /subcategory:"Other Object Access Events" /success:enable /failure:enable $ListFile= Get-Content -path C:\chemin\du\fichier\texte\ foreach ($line in $ListFile) { Set-Variable -name Path -Value $line $AuditUser = "Everyone" $AuditRule = "FullControl" $InheritType = "ContainerInherit","ObjectInherit" $AuditType = "Failure" $AccessRule = New-Object System.Security.AccessControl.FileSystemAuditRule($AuditUser,$AuditRule,$InheritType,"None",$AuditType) $ACL = New-Object System.Security.AccessControl.DirectorySecurity $ACL.SetAuditRule($AccessRule) Set-Acl $path -AclObject $ACL $AuditUser = "Everyone" $AuditRule = "WriteData","AppendData","Traverse","DeleteSubdirectoriesAndFiles","Delete","ChangePermissions","TakeOwnership" $InheritType = "ContainerInherit","ObjectInherit" $AuditType = "Success" #Spécifie Success ou Failure $AccessRule = New-Object System.Security.AccessControl.FileSystemAuditRule($AuditUser,$AuditRule,$InheritType,"None",$AuditType) $ACL.AddAuditRule($AccessRule) Set-Acl $path -AclObject $ACL }

---

Je laisse le post ouvert car je vais passer sur l'audit des clés de registre :D

Normalement ça devrais aller, le fonctionnement à l'air similaire. Seul les classes changes :

RegistryAuditRule
RegistrySecurity

PS : J'ai toujours pas résolu mon soucis. Lorsque j'essaie d'appliquer ces règles à un dossier du style system32, la permission m'est refusée alors que je suis admin de la machine et que j'éxécute ISE en tant qu'admin
C'est pas mon soucis premier pour l'instant, mais ça va le devenir ^^

Je me répéte mais merci Laurent pour ton aide. N'hésitez pas à participer ;)