Votre politique de sécurité globale repose sur le journal de sécurité de Windows NT. Dernière ligne de défense de vos systèmes, il intercepte d'éventuels intrus qui auraient traversé vos autres couches d'authentification et de contrôle d'accès. Le journal de sécurité de Windows NT suit les objets accédés par les utilisateurs, comment ils sont utilisés et quels programmes ils activent. On peut suivre les actions de tous les utilisateurs, même lorsqu'ils ont des droits d'accès d'administrateur. Cet audit permet de détecter les activités suspectes à la fois de l'extérieur ou de l'intérieur. Il vous donne de bons indices pour contrer les intrus. Peut-être pensez-vous qu'il est difficile de tirer le meilleur de votre journal de sécurité. Cet article va vous expliquer comment en maximiser le potentiel. Commençons par quelques tuyaux sur l'entretien général du journal et son alimentation.
Le journal de sécurité de Windows NT
Avant de commencer à auditer l’activité, il faut configurer correctement votre
journal et le processus d’archivage pour éviter les pertes de données. La boîte
de dialogue de définition du journal de l’observateur d’événements spécifie une
taille maximale pour les trois journaux d’événements de Windows NT – système,
application et sécurité.
A mesure que Windows NT enregistre des événements dans le journal de sécurité,
le journal grandit jusqu’à atteindre le seuil fixé. On peut choisir d’écraser
les événements les plus anciens lorsque c’est nécessaire pour inscrire les nouvelles
valeurs, comme dans l’écran 1. Cependant, il peut se produire qu’un programme
boucle, ce qui fait que Windows NT créera des valeurs dans le journal à chaque
itération du programme. Vous aurez alors besoin de voir ce qui s’est passé pour
créer la boucle, pas de voir un journal empli d’événements identiques. Je n’active
généralement pas cette option pour cette raison. Si vous choisissez de ne pas
écraser les événements et de purger le journal manuellement, Windows NT cesse
d’enregistrer les événements lorsque le journal atteint le seuil maximum fixé
et ne recommence à enregistrer des données qu’une fois que le journal est purgé
manuellement.
Je n’aime pas cette option car il faut purger le journal avant qu’il ne soit plein
et vous ne pouvez pas garder un volume constant d’historique en ligne. En choisissant
l’option d’écrasement des événements plus anciens qu’une durée définie, NT enregistre
les événements jusqu’à ce que le journal soit rempli. Lorsque c’est le cas, NT
supprime les événements plus anciens que le nombre de jour défini jusqu’à pouvoir
stocker les nouvelles données d’événements. Si le journal est rempli de données
plus jeunes que le nombre de jours défini, Windows NT cesse d’enregistrer des
événements jusqu’à ce que certains événements expirent.
Malheureusement, Windows NT ne vous avertit pas que le journal se remplit et qu’il
ne reste presque plus de place. Si vous enregistrez les événements avec une fréquence
importante, vous risquez de perdre des informations importantes pour comprendre
l’activité de vos systèmes.
Comme on peut le voir, quelle que soit la configuration que vous allez choisir,
vos paramètres et votre processus d’archivage, on peut toujours perdre des informations
importantes. Si l’on choisit d’écraser automatiquement, Windows NT peut effacer
des événements plus anciens avant que vous puissiez archiver ou visualiser le
journal. Si l’on choisit de ne pas écraser les données du journal, on peut perdre
les dernières données, entre le moment où le fichier était plein et celui où vous
purgez le journal. Si des hackers très rusés connaissent vos paramétrages de journaux,
ils peuvent se servir de cette information pour essayer de remplir le journal
afin de couvrir leurs agissements et de brouiller leur piste.
Téléchargez cette ressource
Livre blanc Sécurité et Stockage des documents
Découvrez dans ce livre blanc Kyocera les outils logiciels qui permettent une approche holistique et efficace de la collecte, du stockage, de la gestion et de la sécurisation des documents en entreprise.
Les articles les plus consultés
- Afficher les icônes cachées dans la barre de notification
- Chiffrements symétrique vs asymétrique
- N° 2 : Il faut supporter des langues multiples dans SharePoint Portal Server
- Partager vos images, vidéos, musique et imprimante avec le Groupe résidentiel
- Activer la mise en veille prolongée dans Windows 10