Protection 📝 Empêcher la suppression des journaux d’événements Windows

[Sylvain*]

Empêcher la suppression des journaux d’événements Windows

Introduction

Les journaux d’événements Windows sont des ressources critiques pour la traçabilité, l’audit et l’analyse post-mortem des incidents de sécurité. Leur suppression par un utilisateur malveillant ou un malware compromet sérieusement l’investigation. Ce tutoriel vous guide pour durcir le système Windows 10/11 contre l’effacement des logs, via stratégies de sécurité, permissions, et outils natifs.

---

Prérequis

• Connaissance avancée de Windows et des concepts de journalisation

• Accès à l’outil Éditeur de stratégie de sécurité locale ou GPO (Group Policy Editor)

• Droits administrateur requis

---

Niveau de difficulté

• Étape #1 : Modérer les droits NTFS sur les fichiers journaux

• Étape #2 : Activer l’audit des actions de suppression

• Étape #3 : Utiliser les GPO pour interdire la purge manuelle

• Étape #4 : Bloquer les outils de suppression via l’UAC

• Étape #5 : Automatiser la surveillance avec tâches planifiées

---

Les Avantages

• Étape #1 : Maintien de l’intégrité des preuves en cas d’incident

• Étape #2 : Détection rapide des tentatives de dissimulation

• Étape #3 : Renforcement global de la sécurité système

• Étape #4 : Limitation des privilèges inutiles

• Étape #5 : Réduction du risque d’effacement furtif

---

Les Inconvénients

• Étape #1 : Potentiel conflit avec certains outils d’administration

• Étape #2 : Volume de logs accru à gérer

• Étape #3 : Complexité pour les environnements multi-utilisateurs

• Étape #4 : Possibles faux positifs en cas de scripts légitimes

• Étape #5 : Surveillance active nécessaire pour maintenir la protection

---

Étape #1

Ouvrir Explorateur de fichiers et accéder au dossier :

C:\Windows\System32\winevt\Logs

Faire un clic droit > Propriétés sur un fichier .evtx (ex : Security.evtx)

Onglet Sécurité > Modifier les autorisations

Supprimer les droits Contrôle total pour tout utilisateur non-administrateur

---

Étape #2

Lancer secpol.msc

Accéder à :

Stratégies locales > Stratégie d’audit > Audit du processus de connexion

Activer Succès et Échec pour :

Audit de l’accès aux objets

Appliquer et redémarrer si nécessaire

---

Étape #3

Ouvrir gpedit.msc

Naviguer vers :

Configuration ordinateur > Modèles d’administration > Composants Windows > Visionneuse d’événements

Activer :

Interdire l’effacement des journaux d’événements

Appliquer la stratégie

---

Étape #4

Créer une règle AppLocker ou SRP (Software Restriction Policies)

Interdire l’exécution de :

wevtutil.exe

eventvwr.msc

powershell.exe Remove-EventLog

Restreindre uniquement aux utilisateurs non-admin

Tester sur une machine de préproduction

---

Étape #5

Lancer Planificateur de tâches

Créer une tâche déclenchée par :

Source : Microsoft-Windows-Eventlog, ID : 1102

Définir une action : envoi email ou exécution de script

Sauvegarder et activer la tâche

---

Astuce

Utilisez Sysmon de Microsoft Sysinternals pour conserver une trace indépendante des journaux critiques en cas de sabotage des logs natifs.

---

Mise en garde

Des restrictions excessives peuvent perturber certaines fonctions de maintenance. Vérifiez les dépendances des services et outils d’administration avant déploiement en production.

---

Conseil

Combinez les méthodes ci-dessus avec un SIEM externe pour garantir la redondance des logs et prévenir toute tentative de nettoyage par un attaquant.

---

Solutions alternatives

• protéger logs événements Windows

• sysmon audit log windows

• eventlog protection group policy

---

Liens utiles

• Support Microsoft

• Microsoft Learn

• Recherche GitHub

---

Conclusion

Empêcher la suppression des journaux d’événements Windows est essentiel pour conserver des traces fiables lors d’un incident de sécurité. Ce durcissement, bien que contraignant, est une mesure proactive indispensable dans une posture de cybersécurité défensive.