Bonjour,
Si tu as des doutes d'une possible infection fais une analyse FRST, mais il faut savoir le journal des évènements présente une faiblesse importante: elle ne montrera jamais les attaques faites avec des outils Windows légitimes intégrés.
La procédure de Malekal
__________________
Suis
le tutoriel FRST. (
prends le temps de lire attentivement - tout y est bien expliqué ).
Télécharge et lance le scan FRST,
Attendre la fin du scan, un message indique que l'analyse est terminée.
Trois rapports FRST seront générés :
* FRST.txt
* Shortcut.
* Additionnal.txt
Envoie ces 3 rapports sur le site
https://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.
(Les liens bleus mènent à des tutoriels explicatifs pas à pas, clic dessus pour avoir les instructions plus précises à suivre).
__________________________________
Sinon il y a un lien avec l'audit des événements, qui sont activés par défaut, par catégories par Windows, que tu peux retrouver via l'éditeur de stratégie locale
https://www.malekal.com/comment-activer ... windows10/
Néanmoins tout ne peut pas être neutralisé et dans le journal de sécurité des événements, c'est la foire et cela se remplit vite
Tu peux avoir un aperçu avec auditpol (qui permet d'en ajouter ou supprimer)
Comment-activer-les-strategies-audit-systeme-de-windows-10-11/
Perso j'ai un événement 5156 en Catégorie : Connexion de la plateforme de filtrage que je peux "normalement" neutraliser avec la commande :
auditpol /set /Subcategory:”Connexion de la plateforme de filtrage” /success:disable /failure:enable
seulement la commande ne fonctionne pas, que ce soit avec ou sans le GUID
auditpol /set /Subcategory:”{0CCE9226-69AE-11D9-BED3-505054503030}” /success:disable /failure:enable
L'outil est reconnu Je n'ai pas d'erreur de syntaxe car les commandes
auditpol /get /category:"Suivi détaillé" et d'autres fonctionnent.
seulement l'erreur que j'ai : "0x00000057" indique une erreur de syntaxe (faut que je prenne le temps de m'y pencher) et c'est lié à la commande auditpol /get
A noter et ce que la KB2573113 explique :
AuditPol appelle directement les API d'autorisation pour implémenter les modifications de la stratégie d'audit granulaire.
Secpol.msc manipule l'objet de stratégie de groupe locale, ce qui entraîne l'écriture des modifications dans system32 \ GroupPolicy \ Machine \ Microsoft \ Windows NT \ Audit \ Audit.csv.
Les paramètres enregistrés dans le fichier .csv ne sont pas appliqués directement au système au moment de la modification, mais sont plutôt écrits dans le fichier et lus ultérieurement par l'extension côté client (CSE).
Au cycle d'actualisation de stratégie de groupe suivant, le CSE applique les modifications présentes dans le fichier .csv. Secpol.msc affiche ce qui est défini dans le GPO local.
Il n'y a pas de vue «paramètres effectifs» dans secpol.msc qui fusionnera les paramètres granulaires d'AuditPol et ce qui est défini localement comme vu avec secpol.msc.
Mon Windows est en FR (j'ai meme essayé la commande avec les termes anglais) et je n'ai AUCUN audit d'activé, tout est effectué en mode admin etc
Juste pour dire qu'il y a des situations où cela ne fonctionne pas
Tu peux également limiter le nombre de journaux windows via le planificateur de tâches
________________
Edit : Finalement j'ai trouvé le soucis.
Lorsqu'on liste en FR il y a une majuscule, il faut donc mettre une minuscule (mais cela n'explique pas l'erreur avec le GUID)
J'ai résolu en racourcissant la commande et en mettant une minuscule
auditpol /set /subcategory:"connexion de la plateforme de filtrage" /success:disable
puis
auditpol /set /subcategory:"connexion de la plateforme de filtrage" /failure:enable
Pour ton cas si tu ne veux pas que les données apparaissent, tu suis le tuto sur auditpol et tu relèves les données indiquées par les flèches, du moins celle indiquée derrière "catégorie"
2020-05-09_111300.jpg
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
- Only Amiga... was possible !
- Un problème sans solution est un problème mal posé. » (Albert Einstein)
- "Tous les patients mentent" (Docteur House)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes
