1. Créez un compte d’utilisateur de domaine utilisé dans votre environnement pour la collecte des journaux.
2. Créez un groupe de domaines qui reçoit les droits requis par l’utilisateur de la collecte WMI.
   
   Remarque : Affectez toujours des autorisations à un groupe de domaines, et non directement à un utilisateur.
   
3. Placez l’utilisateur de la collecte WMI dans le groupe nouvellement créé.
4. Placez le groupe de collecte WMI que vous venez de créer dans les groupes de domaines suivants :

• Lecteur du journal des événements
• Utilisateurs COM distribués

5. Exécutez l' un des trois composants logiciels enfichables Microsoft Management Console (MMC) suivants :

• Le composant logiciel enfichable (secpol.msc) stratégie de sécurité locale pour les serveurs membres.
• Le composant logiciel enfichable Stratégie de (dompol.msc) sécurité du domaine par défaut, si vous souhaitez configurer ces paramètres à l’échelle du domaine en tant qu’GPO.
• Le composant logiciel enfichable paramètres de sécurité du contrôleur de (dcpol.msc) domaine par défaut, si vous souhaitez affecter les droits uniquement sur les contrôleurs de domaine.

6. Lorsque le composant logiciel enfichable a démarré, développez paramètres de sécurité, stratégies locales, affectation des droits utilisateur.
7. Affectez votre nouveau groupe au moins les droits suivants :

• Agir en tant que partie du système d’exploitation.
• Connectez-vous en tant que traitement par lots.
• Connectez-vous en tant que service.
• Remplacez un jeton au niveau du processus.
• Le Windows Server 2012 ou version ultérieure : Gérez l’audit et le journal de sécurité.

8. Fermez l’utilitaire paramètres de stratégie.

Affectations de droits DCOM (Distributed Component Object Model)

Pour configurer la sécurité DCOM pour le groupe de collecte WMI, procédez comme suit :

1. Cliquez sur Démarrer, Outils d’administration, services de composants.
2. Développez racine de la console, ordinateurs, poste de travail.
3. Cliquez avec le bouton droit de la même façon sur poste de travail et sélectionnez Propriétés.
4. Dans la fenêtre qui s’affiche, cliquez sur l’onglet sécurité com .
5. Propriétés autorisations d’accès, cliquez sur modifier les limites.
6. Vérifiez que tous les éléments du groupe d’utilisateurs com distribués sont sélectionnés sous autoriser.
7. Optionnel Ajoutez le groupe de collecte WMI à cette liste et assurez-vous qu’il dispose de l' autorisation d’accès complète.
   
   Remarque : Cette étape est facultative, car le groupe de collecte WMI est généralement membre des utilisateurs com distribués.
   
8. Lorsque vous avez vérifié la présence des utilisateurs com distribués ou ajouté le groupe de collecte WMI, cliquez sur OK pour enregistrer vos modifications et revenir à l’onglet sécurité com.
9. Propriétés autorisations d’exécution et d’activation, cliquez sur modifier les limites.
10. Dans la liste des groupes et des autorisations, vérifiez que tous les éléments du groupe d’utilisateurs com distribués sont sélectionnés sous autoriser.
11. Optionnel Ajoutez le groupe de collecte WMI et attribuez l' autorisation accès total.
    
    Remarque : Cette étape est facultative, car le groupe de collecte WMI est généralement membre des utilisateurs com distribués.
    
12. Cliquez sur OK et enregistrez vos modifications.
13. Fermez l’utilitaire services de composants .

Affectations de sécurité de l’espace de noms WMI

Suivez la procédure ci-dessous pour définir la sécurité de l’espace de noms WMI de manière à ce que le groupe de collecte WMI ait accès aux objets WMI :

1. Cliquez sur Démarrer, exécuter, saisissez wmimgmt.msc , puis cliquez sur OK.
2. Cliquez avec le bouton droit de la même façon sur contrôle WMI (local) , puis cliquez sur Propriétés.
3. Cliquez sur l’onglet sécurité .
4. Cliquez sur sécurité au bas de la fenêtre. Cette action modifie les paramètres de sécurité de l’espace de noms WMI racine.
5. Cliquez sur avancé et modifiez les paramètres de sécurité avancés de cet espace de noms WMI.
6. Ajoutez le groupe de collecte WMI à la liste et affectez-lui au moins les autorisations d' autorisation suivantes :
   
   • Méthodes d’exécution
   • Activer le compte
   • Activation à distance
   • Lire la sécurité
     
   Remarque : Assurez-vous que ces autorisations s’appliquent à cet espace de noms et à tous les espaces de noms qu’il contient. Sélectionnez cet espace de noms et les sous-espaces dans la liste déroulante au-dessus de la fenêtre Liste des autorisations.
   
7. Cliquez sur OK et enregistrez les nouvelles autorisations.
8. Cliquez à nouveau sur OK et fermez les paramètres de sécurité avancés.
9. Cliquez sur OK une troisième fois et quittez les propriétés de sécurité.

Pour Windows Server 2012 ou version ultérieure, ajoutez l’autorisation de lire le journal de sécurité:

1. Ouvrez l’invite de commande avec accès administrateur.
2. Pour obtenir le SID du groupe que vous utilisez pour les autorisations SIEM, exécutez la commande suivante : wmic group where name=”yourgroup” get sid
3. Pour obtenir la valeur actuelle channelAccess des autorisations relatives à votre journal de sécurité, exécutez la commande suivante : wevtutil gl security
4. En utilisant les deux valeurs ci-dessus, exécutez la commande suivante : wevutil sl security /ca:[channelAccess value](A;;0x7;;;[SID])
5. Vérifiez la channelAccess valeur pour voir si elle contient les résultats attendus par la commande : wevtutil gl security
6. Pour appliquer les modifications, exécutez la commande : gpupdate /force
7. Ouvrez regedit et accédez HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Security à votre groupe pour donner des autorisations de lecture à cette clé et à toutes les sous-clés.

Vous pouvez désormais utiliser l’utilisateur de la collecte WMI pour collecter des événements à partir de WMI sans avoir à utiliser des droits d’administrateur de domaine.