Menaces et contre-mesures

Chapitre 3 : Stratégie d'audit

Dernière mise à jour le 27 décembre 2005

Un journal d'audit enregistre une entrée à chaque fois qu'un utilisateur effectue certaines actions spécifiées. Par exemple, la modification d'un fichier ou d'une stratégie peut entraîner la création d'une entrée d'audit montrant l'action exécutée, le compte utilisateur associé, ainsi que la date et l'heure de l'action. Vous pouvez consigner les actions ayant abouti et les tentatives ayant échoué.

L'état du système d'exploitation et des applications sur un ordinateur est dynamique. Par exemple, les niveaux de sécurité peuvent être provisoirement modifiés pour résoudre un problème d'administration ou de réseau. Cependant, après ce type de modification, il est fréquent que le paramétrage précédent ne soit jamais rétabli, par oubli. Si les niveaux de sécurité ne sont pas correctement réinitialisés, un ordinateur ne peut plus satisfaire aux exigences de sécurité de l'entreprise.

Des analyses de sécurité régulières permettent aux administrateurs de contrôler et de déterminer que les mesures de sécurité adéquates sont mises en œuvre pour chaque ordinateur dans le cadre d'un programme de gestion des risques de l'entreprise. Ces analyses obéissent à des critères extrêmement spécifiques et les résultats fournissent des informations sur tous les aspects liés à la sécurité. Les administrateurs peuvent ensuite utiliser ces éléments pour ajuster les niveaux de sécurité. Plus important encore, ces informations peuvent aider à déceler toute faille de sécurité qui pourrait survenir au niveau de l'ordinateur à un moment ou à un autre.

Les audits de sécurité jouent un rôle extrêmement important dans n'importe quel réseau d'entreprise, car les journaux d'audit sont parfois le seul élément permettant de déceler une faille de sécurité. Si la faille est découverte par d'autres moyens, les journaux d'audit vous fourniront des informations importantes, à condition que les paramètres d'audit aient été correctement configurés.

Les journaux des échecs sont souvent beaucoup plus instructifs que les journaux des succès, car les échecs révèlent généralement la présence d'erreurs. Par exemple, une ouverture de session réussie sur un ordinateur par un utilisateur serait généralement considérée comme normale. Cependant, si quelqu'un essaie à plusieurs reprises d'ouvrir sans succès une session sur un ordinateur, cela peut indiquer qu'un attaquant tente de pénétrer dans l'ordinateur avec les informations d'identification de compte de quelqu'un d'autre. Les journaux d'événements enregistrent les événements sur l'ordinateur. Dans les systèmes d'exploitation Microsoft® Windows®, il existe des journaux d'événements distincts pour les applications, la sécurité et le système. Le journal de sécurité enregistre les événements d'audit. Le conteneur du journal des événements de la stratégie de groupe permet de définir les attributs associés aux journaux des événements Application, Sécurité et Système ; notamment la taille maximale, les droits d'accès, ainsi que les paramètres et les méthodes appliqués à leur conservation. Ce guide inclut un classeur Microsoft Excel, « Windows Default Security and Services Configuration » (Configuration des services et de la sécurité par défaut Windows), qui détaille les paramètres par défaut.

Avant la mise en œuvre de tout processus d'audit, une entreprise doit déterminer le mode de collecte, de classement et d'analyse des données. Les grandes quantités de données d'audit présentent peu d'intérêt s'il n'existe aucun plan sous-jacent pour les exploiter. De plus, les paramètres d'audit peuvent avoir un impact sur les performances de l'ordinateur. L'effet d'une combinaison de paramètres donnée peut être négligeable sur l'ordinateur de l'utilisateur, mais tout à fait perceptible sur un serveur occupé. Par conséquent, n'hésitez pas à réaliser quelques tests de performance avant de déployer de nouveaux paramètres d'audit dans votre environnement de production.

Vous pouvez configurer les paramètres de la stratégie d'audit à l’emplacement suivant de l’éditeur Objet de stratégie de groupe :

Configuration ordinateur\Paramètres Windows\Paramètres de sécurité\Stratégies locales
\Stratégie d'audit

Sur cette page

Paramètres d'audit
Exemple d'audit : Résultats d'un événement d'ouverture de session utilisateur
Informations complémentaires

Paramètres d'audit

Les vulnérabilités, contre-mesures et impacts potentiels de tous les paramètres d'audit sont identiques. Par conséquent, ces termes ne sont décrits qu'une fois. Chaque description est ensuite suivie de brèves explications portant sur chacun des paramètres.

Les options disponibles pour chaque paramètre d'audit sont les suivantes :

• Success. Une entrée d'audit est générée lorsque l'action demandée réussit.

• Échec. Une entrée d'audit est générée lorsque l'action demandée échoue.

• Pas d'audit. Aucune entrée d'audit n'est générée pour l'action associée.

Vulnérabilité

Si aucun paramètre d'audit n'est défini, il est alors difficile, voire impossible, d'identifier l'origine d'un incident lié à la sécurité. Dans le cas contraire, si les paramètres d'audit sont configurés de sorte que de trop nombreuses activités autorisées génèrent des événements, le journal d'événements de sécurité regorgera de données superflues. Vous pouvez également affecter les performances générales de l'ordinateur si vous configurez des paramètres d'audit pour un grand nombre d'objets.

Contre-mesures

Vous devriez activer des paramètres de stratégie d'audit rationnels sur tous les ordinateurs de votre entreprise afin que les utilisateurs soient responsables de leurs actes et que toute activité non autorisée puisse être détectée et tracée.

Impact potentiel

Si aucun paramètre d'audit n'est configuré ou si les paramètres ne sont pas assez précis sur les ordinateurs de votre entreprise, les éléments seront insuffisants pour réaliser une enquête après la survenue d'incidents de sécurité. Cependant, si les paramètres d'audit sont trop stricts, l'importance stratégique du journal de sécurité peut être amoindrie par toutes les entrées inutiles et les performances de l'ordinateur peuvent s'en trouver sérieusement affectées. Les sociétés qui exercent dans des secteurs réglementés peuvent être contraintes à enregistrer certains événements ou activités.

Auditer les événements de connexion aux comptes

Ce paramètre de stratégie détermine s'il convient d'auditer chaque connexion et déconnexion d'un utilisateur à un ordinateur autre que celui qui enregistre l'événement et valide le compte. Si vous configurez ce paramètre de stratégie, vous pouvez choisir d'auditer les succès, les échecs ou de ne pas auditer du tout ce type événement. Les audits des succès génèrent une entrée d’audit à chaque fois qu'une tentative d’ouverture de session aboutit. Ces informations peuvent servir à fins de comptabilisation et de recherche de preuves après incident, car elles permettent d'identifier les utilisateurs ayant ouvert une session sur l'ordinateur. Les audits des échecs génèrent une entrée d'audit à chaque fois qu'une tentative d'ouverture de session de compte échoue. Ces informations sont utiles pour la détection des intrusions. Cependant, ce paramètre de stratégie peut également conduire à une condition favorable à une attaque par déni de service (DoS). Si le paramètre Audit : Arrêter immédiatement le système s'il n'est pas possible de se connecter aux audits de sécurité est activé, un attaquant peut générer des millions d'échecs de connexion, saturer le journal des événements de sécurité et forcer l'ordinateur à s'arrêter.

Si vous configurez le paramètre Auditer les événements de connexion aux comptes sur Succès sur un contrôleur de domaine, le journal consigne une entrée à chaque fois qu'un utilisateur est validé par rapport à ce contrôleur de domaine, même si l'utilisateur ouvre en fait une session sur un poste de travail ou un serveur relié au domaine.

Auditer la gestion des comptes

Ce paramètre de stratégie détermine s'il convient d'auditer chaque événement de gestion de compte sur un ordinateur. Exemples d'événements de gestion de compte :

• Un compte utilisateur ou un groupe est créé, modifié ou supprimé.

• Un compte utilisateur est renommé, désactivé ou activé.

• Un mot de passe est défini ou modifié.

Si vous configurez le paramètre Auditer la gestion des comptes, vous pouvez choisir d'auditer les succès, les échecs ou de ne pas auditer du tout ce type événement. Les audits des succès génèrent une entrée d'audit à chaque fois qu'un événement de gestion de compte réussit. Il est recommandé de les activer sur tous les ordinateurs de l'entreprise. Pour répondre aux incidents de sécurité, il est primordial que les entreprises soient en mesure de déterminer qui a créé, modifié ou supprimé un compte. Les audits des échecs génèrent une entrée d'audit à chaque fois qu'un événement de gestion de compte échoue.

Auditer l'accès au service d'annuaire

Ce paramètre de stratégie détermine s'il convient d'auditer l'accès d'un utilisateur à un objet Active Directory® pour lequel une liste de contrôle d'accès système (SACL) associée est définie. Une liste de contrôle d'accès système (SACL) indique les utilisateurs et les groupes dont les actions sur un objet doivent être auditées sur un réseau Microsoft Windows.

Si vous configurez le paramètre Auditer l'accès au service d'annuaire, vous pouvez choisir d'auditer les réussites, les échecs ou de ne pas auditer du tout ce type événement. Les audits des succès génèrent une entrée d'audit à chaque fois qu'un utilisateur réussit à accéder à un objet Active Directory pour lequel une liste SACL est définie, ce qui indique que l'utilisateur doit être audité pour l'action demandée. Les audits des échecs génèrent une entrée d'audit à chaque fois qu'un utilisateur échoue dans sa tentative d'accès à un objet Active Directory pour lequel une liste SACL nécessite un audit. (Les deux types d'entrées d'audit sont créés avant que l'utilisateur soit averti de la réussite ou de l'échec de la requête.) Si vous activez ce paramètre de stratégie et configurez des listes SACL sur des objets de l'annuaire, un grand nombre d'entrées peut être généré dans les journaux de sécurité des contrôleurs de domaine. N'activez ces paramètres que si vous avez vraiment l'intention d'utiliser les informations obtenues.

Remarque : Pour définir une liste de contrôle d'accès système (SACL) sur un objet Active Directory, vous pouvez utiliser l'onglet Sécurité de la boîte de dialogue Propriétés de l'objet. Cette méthode est similaire au paramètre Auditer l'accès aux objets, si ce n'est qu'il s'applique uniquement à des objets Active Directory et non pas à des objets de système de fichiers et de Registre.

Auditer les événements de connexion

Ce paramètre de stratégie détermine s'il convient d'auditer chaque instance de connexion ou de déconnexion d'un d'utilisateur à l'ordinateur enregistrant l'événement d'audit, ainsi que chaque instance de connexion vers cet ordinateur. Si vous auditez les succès des événements de connexion aux comptes sur un contrôleur de domaine, les tentatives d'ouverture de session sur les postes de travail ne génèrent pas d'audit de connexion. Seules les tentatives d'ouverture de session effectuées de manoère interactive ou via le réseau sur le contrôleur de domaine lui-même génèrent des événements de connexion sur le contrôleur de domaine. Pour résumer, les événements de connexion aux comptes sont générés à l'endroit où réside le compte et les événements de connexion sont générés à l'endroit où la tentative de connexion se produit.

Si vous configurez le paramètre Auditer les événements de connexion, vous pouvez choisir d'auditer les réussites, les échecs ou de ne pas auditer du tout ce type événement. Les audits des succès génèrent une entrée d’audit à chaque fois qu'une tentative d’ouverture de session aboutit. Ces informations peuvent servir à fins de comptabilisation et de recherche de preuves après incident, car elles permettent d'identifier les utilisateurs ayant ouvert une session sur l'ordinateur. Les audits des échecs génèrent une entrée d'audit à chaque fois qu'une tentative d'ouverture de session échoue. Ces informations sont utiles pour la détection des intrusions. Cependant, cette configuration peut également provoquer une condition de déni de service (DoS), car un attaquant pourrait générer des millions d'échecs de connexion, saturer le journal des événements de sécurité et forcer le serveur à s'arrêter.

Auditer l'accès aux objets

Ce paramètre de stratégie détermine s'il convient d'auditer l'événement correspondant à l'accès d'un utilisateur à un objet (par exemple, un fichier, un dossier, une clé de registre ou une imprimante) doté d'une liste SACL qui spécifie une exigence d'audit.

Si vous configurez le paramètre Auditer l'accès aux objets, vous pouvez choisir d'auditer les succès, les échecs ou de ne pas auditer du tout ce type événement. Les audits des succès génèrent une entrée d'audit à chaque fois qu'un utilisateur réussit à accéder à un objet doté d'une liste SACL. Les audits des échecs génèrent une entrée d'audit à chaque tentative infructueuse d'accès à un objet doté d'une liste SACL (il est normal que certains événements d'échec se produisent au cours de l'activité normale de l'ordinateur). Par exemple, de nombreuses applications (c'est le cas de Microsoft Word) tentent systématiquement d'ouvrir les fichiers avec les deux privilèges de lecture et d'écriture. Si les applications n'y parviennent pas, elles tentent ensuite d'ouvrir les fichiers avec les privilèges de lecture seule. Si vous activez l'audit des échecs et définissez une liste SACL appropriée sur le fichier, un événement d'échec est consigné lorsqu'un événement de ce type survient.

Dans Microsoft Windows Server™ 2003 SP1, vous pouvez auditer l'accès aux objets stockés dans la métabase Internet Information Server (IIS). Pour activer l'audit des objets de la métabase, vous devez activer le paramètre Auditer l'accès aux objets sur l'ordinateur cible, puis configurer les listes SACL sur les objets de la métabase spécifique dont vous souhaitez auditer l'accès.

Si vous configurez le paramètre de stratégie Auditer l'accès aux objets et des listes SACL sur les objets, un grand nombre d'entrées peut être généré dans les journaux de sécurité des ordinateurs de votre entreprise. Par conséquent, n'activez ces paramètres que si vous avez vraiment l'intention d'utiliser les informations consignées.

Remarque : Dans Windows Server 2003, vous devez procéder en deux étapes pour activer la capacité d'auditer un objet, tel qu'un fichier, un dossier, une imprimante ou une clé de registre. Après avoir activé la stratégie d'audit de l'accès aux objets, vous devez déterminer les objets sur lesquels portera l'audit, puis modifier leurs listes SACL en conséquence. Par exemple, si vous voulez auditer toutes les tentatives d'ouverture d'un fichier spécifique, vous pouvez configurer un attribut Succès ou Échec directement sur le fichier en question, en utilisant Windows Explorer ou une stratégie de groupe.

Auditer les modifications de stratégie

Ce paramètre de stratégie détermine s'il convient d'auditer chaque action de modification des stratégies d'attribution des droits d'utilisateur, des stratégies de pare-feu Windows, des stratégies d'audit ou des stratégies d'approbation.

Si vous configurez le paramètre Auditer l'accès aux objets, vous pouvez choisir d'auditer les succès, les échecs ou de ne pas auditer du tout ce type événement. Les audits des succès génèrent une entrée d'audit à chaque fois qu'une tentative de modification des stratégies de droits d'utilisateur, des stratégies d'audit ou des stratégies d'approbation réussit. Ces informations d'audit sont utiles à des fins de comptabilisation et peuvent aider à identifier les utilisateurs ayant modifié les stratégies dans le domaine ou sur certains ordinateurs. Les audits des échecs génèrent une entrée d'audit à chaque fois qu'une tentative de modification des stratégies de droits d'utilisateur, des stratégies d'audit ou des stratégies d'approbation échoue.

Si vous activez le paramètre Auditer les modifications de stratégie dans Windows XP avec SP2 et Windows Server 2003 avec SP1, l'enregistrement des modifications de configuration pour le composant Pare-feu Windows est également activé.

Auditer l'utilisation des privilèges

Ce paramètre de stratégie détermine s'il convient d'auditer chaque instance d'un utilisateur exerçant un droit d'utilisateur.

Si vous configurez le paramètre Auditer l'accès aux objets, vous pouvez choisir d'auditer les succès, les échecs ou de ne pas auditer du tout ce type événement. Les audits des succès génèrent une entrée d'audit à chaque fois qu'un utilisateur parvient à exercer l'un de ses droits. Les audits des échecs génèrent une entrée d'audit à chaque fois qu'un utilisateur ne parvient pas à exercer l'un de ses droits. Si vous activez ce paramètre de stratégie, le nombre d'événements généré peut devenir considérable et rendre le tri des événements difficile. Il est préférable d'activer ce paramètre uniquement si vous savez comment vous allez exploiter les informations ainsi obtenues.

L'usage des droits d'utilisateur suivants ne génère pas d'événements d'audit, même si l'audit des succès ou des échecs est défini pour ce paramètre de stratégie :

• Ignorer la recherche de l'autorisation Passer sur le dossier

• Déboguer des programmes

• Créer un objet-jeton

• Remplacer un jeton au niveau des processus

• Générer des audits de sécurité

• Sauvegarder les fichiers et répertoires

• Restaurer des fichiers et des répertoires

Auditer le suivi des processus

Ce paramètre de stratégie détermine s'il convient d'auditer les informations de suivi détaillé des événements (activation de programme, sortie de processus, duplication de pointeur et accès indirect à un objet).

Si vous configurez le paramètre Auditer l'accès aux objets, vous pouvez choisir d'auditer les succès, les échecs ou de ne pas auditer du tout ce type événement. Les audits des succès génèrent une entrée d'audit à chaque fois que le processus suivi aboutit. Les audits des échecs génèrent une entrée d'audit à chaque fois que le processus suivi échoue.

Si vous activez Auditer le suivi des processus dans Windows XP avec SP2 et Windows Server 2003 avec SP1, Windows enregistrera également les informations relatives au mode de fonctionnement et au statut du composant Pare-feu Windows.

Une fois activé, le paramètre Auditer le suivi des processus génère un grand nombre d'événements. Ce paramètre de stratégie est généralement configuré sur Pas d'audit. Cependant, les informations générées par ce paramètre peuvent se révéler d'un grand intérêt en cas de réponse à un incident, car elles fournissent un journal détaillé des processus démarrés et de l'heure d'exécution.

Auditer les événements système

Ce paramètre de stratégie détermine s'il convient d'effectuer un audit en cas de redémarrage ou d'arrêt d'un ordinateur par un utilisateur ou en cas d'événement ayant un impact sur la sécurité informatique ou le journal de sécurité.

Si vous configurez le paramètre Auditer l'accès aux objets, vous pouvez choisir d'auditer les succès, les échecs ou de ne pas auditer du tout ce type événement. Les audits des succès génèrent une entrée d'audit à chaque fois qu'un événement réussit. Les audits des échecs génèrent une entrée d'audit à chaque fois qu'un événement échoue. Étant donné que l'activation des deux audits (succès et échec) ne génère que très peu d'événements supplémentaires, et que tous ces événements sont très révélateurs, vous devez configurer ce paramètre de stratégie sur Activé sur tous les ordinateurs de l'entreprise.

Exemple d'audit : Résultats d'un événement d'ouverture de session utilisateur

Après vous être familiarisé avec les différents paramètres d'audit disponibles dans Windows, examinons un exemple concret. Les audits sont réalisés du point de vue d'un ordinateur individuel, et non à partir d'une perspective plus holistique qu'un administrateur d'entreprise aurait peut-être préférée. Les événements sont enregistrés sur les ordinateurs individuels, vous serez donc peut-être amené à examiner les journaux de sécurité de plusieurs ordinateurs et à mettre ces informations en corrélation pour déterminer ce qui a pu se passer.

Le reste de ce chapitre décrit les principaux événements consignés dans les journaux d'événements d'un contrôleur de domaine, d'un serveur de fichiers et d'un ordinateur d'utilisateur lorsqu'un utilisateur autorisé ouvre une session sur son ordinateur et accède à un fichier situé dans un dossier partagé hébergé par le serveur de fichiers. L'exemple ci-dessous ne reprend que les principaux événements ; les autres événements générés par ces activités ont été omis par souci de clarté. L'exemple utilise les noms de comptes et de ressources suivants :

• Domaine = DOM

• Contrôleur de domaine = DC1

• Serveur de fichiers = FS1

• Ordinateur de l'utilisateur = XP1

• Utilisateur = Marc

• Dossier partagé sur FS1 = Partage

• Document dans le dossier partagé = document.txt

Ouverture de session de l'utilisateur sur son ordinateur

• Événements enregistrés sur l'ordinateur de l'utilisateur

  • Audit de succès de l'ID d'événement 528, connexion/déconnexion d'utilisateur pour l'utilisateur DOM\Marc sur l'ordinateur XP1

• Événements enregistrés sur le contrôleur de domaine

  • Audit de succès de l'ID d'événement 540, connexion/déconnexion d'utilisateur pour l'utilisateur DOM\Marc sur l'ordinateur DC1

• Événements enregistrés sur le serveur de fichiers

  • Non applicable.

L'utilisateur se connecte au dossier partagé appelé Partage

• Événements enregistrés sur l'ordinateur de l'utilisateur

  • Non applicable.

• Événements enregistrés sur le contrôleur de domaine

  • Audit de succès de l'ID d'événement 673, Connexion au compte pour l'utilisateur Marc@DOM.com pour le service FS1$.

  • Audit de succès de l'ID d'événement 673, Connexion au compte pour l'utilisateur Marc@DOM.com pour le service FS1$.

  • Audit de succès de l'ID d'événement 673, Connexion au compte pour l'utilisateur Marc@DOM.com pour le service FS1$.

    Remarque : Tous ces événements correspondent à des demandes de ticket de service du protocole d'authentification Kerberos.

• Événements enregistrés sur le serveur de fichiers

  • Audit de succès de l'ID d'événement 540, connexion/déconnexion d'utilisateur pour l'utilisateur DOM\Marc sur l'ordinateur FS1

  • Audit de succès pour l'ID d'événement 560, Accès à l'objet pour l'utilisateur DOM\Marc sur l'objet C:\Partage avec types d'accès READ_CONTROL, Lecture données (ou liste de répertoire), ReadEA et ReadAttributes.

  • Audit de succès pour l'ID d'événement 560, Accès à l'objet pour l'utilisateur DOM\Marc sur l'objet C:\Partage avec types d'accès READ_CONTROL, Lecture données (ou liste de répertoire), ReadEA et ReadAttributes.

L'utilisateur ouvre le fichier document.txt

• Événements enregistrés sur l'ordinateur de l'utilisateur

  • Non applicable.

• Événements enregistrés sur le contrôleur de domaine

  • Non applicable.

• Événements enregistrés sur le serveur de fichiers

  • Audit de succès pour l'ID d'événement 560, Accès à l'objet pour l'utilisateur DOM\Marc sur l'objet C:\Partage\document.txt avec types d'accès READ_CONTROL, Lecture données (ou liste de répertoire), Écriture données (ou ajout fichier), Ajout données (ou ajout sous-répertoire ou créer instance de canal), ReadEA, WriteEA, ReadAttributes et WriteAttributes.

  • Audit de succès pour l'ID d'événement 560, Accès à l'objet pour l'utilisateur DOM\Marc sur l'objet C:\Partage\document.txt avec types d'accès ReadAttributes.

  • Audit de succès pour l'ID d'événement 560, Accès à l'objet pour l'utilisateur DOM\Marc sur l'objet C:\Partage\document.txt avec types d'accès ReadAttributes.

L'utilisateur enregistre le fichier document.txt

• Événements enregistrés sur l'ordinateur de l'utilisateur

  • Non applicable.

• Événements enregistrés sur le contrôleur de domaine

  • Non applicable.

• Événements enregistrés sur le serveur de fichiers

  • Audit de succès pour l'ID d'événement 560, Accès à l'objet pour l'utilisateur DOM\Marc sur l'objet C:\Partage\document.txt avec types d'accès READ_CONTROL, Lecture données (ou liste de répertoire), Écriture données (ou ajout fichier), Ajout données (ou ajout sous-répertoire ou créer instance de canal), ReadEA, WriteEA, ReadAttributes et WriteAttributes.

  • Audit de succès pour l'ID d'événement 560, Accès à l'objet pour l'utilisateur DOM\Marc sur l'objet C:\Partage avec types d'accès READ_CONTROL, Lecture données (ou liste de répertoire), ReadEA et ReadAttributes.

Bien qu'il donne l'impression de contenir une série complexe d'événements, cet exemple a en fait été considérablement simplifié. Les actions répertoriées génèrent en réalité une dizaine d'événements de connexion, de déconnexion et d'utilisation de privilèges sur le contrôleur de domaine et le serveur de fichiers. Des événements d'accès à l'objet sont également créés lorsque l'utilisateur ouvre le fichier, auxquels s'ajoutent davantage d'événements à chaque fois que l'utilisateur enregistre le fichier. Comme vous pouvez le constater, l'utilisation des données d'audit peut constituer un véritable défi sans l'aide d'outils automatisés tels que Microsoft Operations Manager.

Informations complémentaires

Les liens suivants fournissent des informations supplémentaires sur les rubriques relatives aux stratégies d'audit des ordinateurs qui exécutent Windows XP avec SP2 ou Windows Server 2003 avec SP1 :

• Pour plus d'informations sur la stratégie d'audit, reportez-vous à la section « Stratégie d'audit » de la documentation du centre technique Windows Server 2003 sur Microsoft TechNet à l'adresse http://technet2.microsoft.com/WindowsServer/f/?fr/library/6847e72b-9c47-42ab-b3e3-691addac9f331036.mspx.

• L'article « COMMENT FAIRE : Utiliser une stratégie de groupe pour vérifier les clés de registre dans Windows Server 2003 » à l'adresse https://support.microsoft.com/kb/324739/fr décrit comment auditer l'accès aux clés de registre en ajoutant des listes SACL à ces clés.

• Les articles « Descriptions de l'événement de sécurité de Windows 2000 (partie 1 sur 2) » à l'adresse https://support.microsoft.com/kb/299475/fr et « Descriptions de l'événement de sécurité de Windows 2000 (partie 2 sur 2) » à l'adresse https://support.microsoft.com/kb/301677/fr décrivent les événements de sécurité enregistrés par Windows 2000 Server. Ils s'appliquent également à Windows Server 2003 et à Windows XP.

Téléchargement

Obtenir le Guide des menaces et des contre-mesures

Notifications de mise à jour

Inscrivez-vous pour en savoir plus sur les mises à jour et les dernières publications

Commentaires

Envoyez-nous vos commentaires ou vos suggestions