L’audit Windows est tellement complet qu’il peut être une arme à double tranchant : les messages non critiques (ou parasites) submergent souvent les messages vraiment dignes d’attention. On ne saurait critiquer Microsoft pour le plupart des parasites d’audit. Le standard d’évaluation de sécurité Common Criteria, très réputé, exige des OS qu’ils soient capables d’auditer toute action constatée, et les administrateurs pousseraient les hauts cris si le journal d’audit ratait un seul événement qu’ils jugent important.Nul besoin, néanmoins, de capturer tous les événements. Vous pouvez réduire les parasites en réglant finement la structure d’audit pour les besoins particuliers de votre environnement. Le nouvel auditing par utilisateur de Windows peut vous aider dans cette tâche.
Audit par utilisateur
Pour affiner votre stratégie d’audit, il faut ne valider que la réussite et l’échec des catégories et des objets d’audit nécessaires. Dans Windows 2000 et versions ultérieures, les catégories de stratégie d’audit sont les suivantes :
• System Event
• Policy Change
• Logon/Logoff
• Account Management
• Object Access
• Directory Service Access
• Privilege Use
• Account Logon
•Detailed Tracking
Mais, dans Win2K, avec les exceptions notables de la catégorie Object Access (qui peut superviser l’accès ou la tentative d’accès à certains fichiers, dossiers, imprimantes et clés de registres) et de la catégorie Directory Service Access, les rapports d’audit sur l’activité impliquaient tous des principaux de sécurité (utilisateurs, groupes, ordinateurs, comptes de service, par exemple). Bien que vous souhaitiez peut-être ne signaler que les utilisateurs qui essaient de faire quelque chose d’interdit, comme ajouter d’autres utilisateurs à un groupe privilégié, l’audit Win2K signale aussi quand les utilisateurs autorisés effectuent des actions licites. Si l’on excepte Object Access et quelques autres exceptions, l’audit ignore la nuance : c’est tout ou rien.
Mais qu’advient-il si vous ne voulez auditer que quelques utilisateurs et pas d’autres ? Pour répondre à ce problème et pour répondre à d’autres attentes Common Criteria, Microsoft a introduit l’audit par utilisateur dans Windows XP Service Pack 2 (SP2) et l’a inclus dans Windows Server 2003, SP1. L’audit par utilisateur donne le moyen d’inclure ou d’exclure des catégories d’événements sur la base du principal par sécurité. Vous pouvez empêcher l’écriture de messages de journaux d’événements pour certains utilisateurs, et ne faire un rapport que sur certains utilisateurs. Par exemple, vous pouvez faire un rapport sur toutes les tentatives d’écriture sur des fichiers système Windows pour tous les principaux de sécurité, sauf pour le compte de service de votre produit antivirus et le compte System. Vous pouvez aussi désactiver l’audit Logon/Logoff globalement pour tous les utilisateurs mais enregistrer sélectivement les accès effectués par l’administrateur. Oui, vous avez bien lu : vous pouvez désactiver l’audit global et enregistrer néanmoins les événements de sécurité pour certains utilisateurs. (Remarque : Dans cet article, audit global fait référence aux paramètres de la stratégie d’audit que vous avez établis au moyen des stratégies de groupe ou Local Computer Policy.)
L’audit par utilisateur peut être instauré par compte utilisateur ou compte ordinateur, mais pas par groupe. Pour des raisons évidentes, vous ne pouvez pas empêcher les membres des groupes Administrators ou du compte System d’être inclus dans l’audit (si la catégorie d’audit est globament validée), mais vous pouvez les inclure dans une catégorie d’audit même quand tous les autres sont exclus. En fait, vous pouvez ajouter ces deux principaux de sécurité à la base de données de configuration d’audit par utilisateur (stockée dans HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Control\Lsa\Audit\PerUserAuditing), mais les paramètres seront ignorés.
Téléchargez cette ressource

Sécurité et conformité du Cloud
Ce guide vous permettra de revisiter vos connaissances et repenser votre posture en matière de sécurité et de conformité dans le cloud. Vous découvrirez comment mettre en place et déployer une stratégie de sécurité fluide et transparente. Un guide essentiel pour sécuriser votre cloud de façon pérenne.
Les articles les plus consultés
- Activer la mise en veille prolongée dans Windows 10
- Les 6 étapes vers un diagnostic réussi
- Cybersécurité Active Directory et les attaques de nouvelle génération
- N° 2 : Il faut supporter des langues multiples dans SharePoint Portal Server
- Partager vos images, vidéos, musique et imprimante avec le Groupe résidentiel
Les plus consultés sur iTPro.fr
- Quel impact d’une cyberguerre sur les organisations ?
- Menaces cyber sur le secteur énergétique européen !
- Les stratégies IA pour la survie de l’entreprise !
- Protégez l’accès non authentifié de vos réunions
- Télécommunications et durabilité : les défis d’une transition verte dans un secteur en mutation
