Événement 5061 sur un audit de sécurité
Bonjour à tous, j’espère que vous allez bien. Aujourd’hui je vais vous aider à corriger un échec d’audit dans le journal d’événement de Windows. Cela s’applique aussi bien à des serveurs qu’à des postes. L’événement qui annonce l’échec de l’audit est le numéro 5061 et cela correspond au fait que l’utilisateur n’arrive pas à ouvrir une clé de registre.
Il faut savoir que cette échec de l’audit apparaissait dans les journaux de mon serveur RDS. Et ceux plusieurs fois par jours pour tous les utilisateurs. J’ai passé plusieurs heures à chercher la cause. J’ai même essayé de chercher la clé dans le registre voir même de donner des droits à certains endroit dans le registre en vain.
En fait, cela vient d’un paramètre propre à un logiciel pré-installé sur toutes les machines Windows, j’ai nommée Internet Explorer.
En effet comme beaucoup de choses dans les domaines Microsoft que je cherche, je gère IE à l’aide de GPO. Et notamment une option appréciable dans le cas ou vous souhaitez diminuer l’espace disque utiliser par vos utilisateurs qui est Supprimer l’historique de navigation en quittant le navigateur.
Et bien lorsque cette case est coché, et que vous fermer votre IE, cela génère une erreur. A l’heure ou j’écris ce post vous avez deux choix :
- S’en foutre royalement et donc laisse couler. J’ai réussi à vous trouver une explication et vous allez pouvoir l’expliquer à votre tour à votre responsable
- Réaliser une GPO qui décoche cette case. Empêchant ainsi l’utilisateur de la cocher de nouveau.
J’ai moi même décidé d’opter pour la solution numéro 1, en expliquant que cela n’avait que peu d’impact sur l’utilisation de IE. Donc que l’on s’en foutait un peu (on est pas à une erreur de plus dans les logs Microsoft). En fait j’avais un peu la flemme de faire ensuite la course à l’espace disque. Nettoyer les fichiers temp de chaque utilisateurs c’est la galère.
Pour la solution numéro 2, je vais quand même vous donner accès à la GPO. Je suis un mec sympa dans le fond. Elle se trouve dans Configuration Utilisateur –> Modèles d’administration –> Composants Windows –> Internet Explorer –> Supprimer l’historique de navigation –> Autoriser la suppression de l’historique de navigation en quittant. Il vous suffit de désactiver cette option.
Et voilà le tour est joué plus d’événement 5061 dans vos journaux d’audit de sécurité. J’espère que cette article vous a plu si c’est le cas, n’hésiter pas à me le faire savoir en commentaire ci-dessous.