Tutoriel 📝 Automatiser l’audit des modifications de groupes utilisateurs sous Windows 11

[Sylvain*]

Automatiser l’audit des modifications de groupes utilisateurs sous Windows 11

Introduction

• Ce tutoriel explique comment créer des scripts d’audit automatisés pour surveiller les modifications de groupes utilisateurs sous Windows 11

• L’objectif est de détecter et enregistrer toute modification des membres des groupes locaux pour renforcer la sécurité et prévenir les accès non autorisés

---

Prérequis

• Un PC sous Windows 11 Pro ou Enterprise (les fonctionnalités d’audit sont limitées sur Windows 11 Home)

• Accès administrateur

• Connaissance de base de PowerShell et de l’Observateur d’événements

---

Méthodologie

• Méthode 1 : Activer l’audit des groupes via la stratégie locale et consulter l’Observateur d’événements

• Méthode 2 : Utiliser un script PowerShell pour enregistrer automatiquement les modifications dans un fichier journal

---

Avantages des 2 méthodes

• Méthode 1 : Ne nécessite pas de script, exploite les outils intégrés de Windows

• Méthode 2 : Automatisation avancée et possibilité d’envoyer des alertes par e-mail

---

Inconvénients des 2 méthodes

• Méthode 1 : Consultation manuelle nécessaire dans l’Observateur d’événements

• Méthode 2 : Requiert des connaissances en PowerShell

---

Étapes
Méthode 1 : Activer l’audit des modifications de groupes

Ouvrir Exécuter avec

Win + R

Taper

secpol.msc

et valider avec Entrée

Aller dans Stratégies locales > Stratégie d’audit

Double-cliquer sur Audit des comptes utilisateurs, cocher Succès et Échec, puis appliquer

Vérifier les événements dans l’Observateur d’événements sous Journaux Windows > Sécurité (ID 4728, 4729, 4732, 4733)

Méthode 2 : Créer un script PowerShell pour surveiller les modifications
Ouvrir PowerShell en mode administrateur

Créer un fichier de script PowerShell :

New-Item -Path "C:\Audit" -ItemType Directory

Ajouter le script suivant pour surveiller les modifications :

$logFile = "C:\Audit\Audit_Groupes.log"
$events = Get-WinEvent -LogName Security | Where-Object { $_.Id -in 4728, 4729, 4732, 4733 }
foreach ($event in $events) {
$logEntry = "$(Get-Date) - Modification détectée : $($event.Message)"
Add-Content -Path $logFile -Value $logEntry
}

Exécuter le script régulièrement via le Planificateur de tâches :

schtasks /create /tn "AuditGroupes" /tr "powershell.exe -File C:\Audit\Audit_Script.ps1" /sc hourly /ru SYSTEM

---

Astuce

• Ajouter une alerte par e-mail avec Send-MailMessage pour être notifié en cas de modification

---

Mise en garde

• Une mauvaise configuration des règles d’audit peut générer un volume important de logs et impacter les performances

---

Conseil

• Vérifier régulièrement le fichier de log avec :

Get-Content C:\Audit\Audit_Groupes.log -Tail 20

---

Solution alternative

• Utiliser Microsoft Defender for Endpoint pour un suivi avancé des modifications de groupes

---

Références

• Microsoft Learn

• Support Microsoft

• Recherche Google

---

Conclusion

• Automatiser l’audit des modifications de groupes sous Windows 11 renforce la sécurité et permet de détecter toute modification suspecte en temps réel L’approche via PowerShell offre un suivi avancé