Par défaut l’observateur d’évènements de Windows ne donne pas assez de détail lors de l’authentification d’un utilisateur (AD, SMB, etc..). Il existe deux paramètres à appliquer en GPO qui permettent d’augmenter le niveau de détail ou de fournir plus d’informations qui pourront être utiles si l’on souhaite diagnostiquer des problèmes d’authentifications (Attaque par brute force, script d’attaque, etc..).
C’est d’ailleurs une recommandation de la part de l’ANSSI – Agence Nationale de la sécurité des systèmes d’information : https://cyber.gouv.fr/publications/recommandations-de-securite-pour-la-journalisation-des-systemes-microsoft-windows-en
Les deux paramètres sont à activer sur la GPO « Default Domain Controllers Policy » et ils se trouvent à l’emplacement suivant :
Configuration ordinateur > Paramètres Windows > Paramètres de sécurité > Configuration avancée de la stratégie d'audit > Stratégies d'audit > Connexion de compte
Il faut passer les deux propriétés suivantes sur « Configurer les évènements d’audit suivants » et en cochant bien « Succès » et « Échec » :
Auditer la validation des informations d'identification
Auditer le service d'authentification Kerberos