Menaces et contre-mesures

Chapitre 6 : journal d'événements

Dernière mise à jour le 27 décembre 2005

Le journal d'événements enregistre les événements sur l'ordinateur et le journal de sécurité enregistre les événements d'audit. Le conteneur du journal d'événements de la stratégie de groupe permet de définir les attributs associés aux journaux d'événements relatifs aux applications, à la sécurité et au système, notamment la taille maximale des journaux, les droits d'accès à chaque journal, ainsi que les paramètres et les méthodes appliqués à la durée de conservation. Le classeur Microsoft® Excel® « Windows Default Security and Services Configuration » (Configuration des services et de la sécurité par défaut Windows), fourni avec ce guide, décrit les paramètres de journal d'événements par défaut.

Sur cette page

Paramètres du journal d'événements
Informations complémentaires

Paramètres du journal d'événements

Vous pouvez configurer les paramètres du journal d'événements à l’emplacement suivant de l’Éditeur d’objets de stratégie de groupe :

Configuration ordinateur\Paramètres Windows\Paramètres de sécurité\journal d'événements\Paramètres des journaux d'événements

Taille maximale du journal d'événements

Ce paramètre de stratégie indique la taille maximale des journaux d'événements des applications, de sécurité et système. Bien que les interfaces utilisateur de l'Éditeur d’objets de stratégie de groupe et du composant logiciel enfichable de l’Observateur d’événements de la console MMC (Microsoft Management Console) autorisent des valeurs pouvant atteindre 4 Go, certains facteurs réduisent considérablement la taille maximale de ces journaux.

Le service journal d'événements utilise des fichiers mappés en mémoire et s'exécute sous le nom Eventlog.dll parmi les services du processus Services.exe. Lorsque des fichiers sont chargés de cette manière, l'intégralité du fichier est chargée dans la mémoire de l'ordinateur. Toutes les versions actuelles de Microsoft Windows® comportent une limitation intrinsèque des fichiers mappés en mémoire : aucun processus ne peut mobiliser plus d'1 Go de fichiers mappés en mémoire au total. Cela signifie que tous les services exécutés dans le processus Services.exe doivent se partager ce pool de 1 Go. La mémoire est allouée en portions contiguës de 64 Ko. Si l'ordinateur ne peut pas affecter de mémoire supplémentaire pour étendre les fichiers mappés en mémoire, des problèmes apparaîtront.

Pour le service journal d'événements, l'utilisation de fichiers mappés en mémoire signifie que les événements risquent de ne plus être enregistrés dans le journal si l'ordinateur ne dispose plus de mémoire pour le fichier mappé en mémoire et ce, quelle que soit l'indication de mémoire que spécifie le paramètre Taille maximale du journal d'événements. Les messages d'erreur ne s'afficheront pas et les événements n'apparaîtront pas du tout dans le journal d'événements ou écraseront les événements consignés précédemment. La fragmentation des fichiers journaux en mémoire peut provoquer des problèmes de performances significatifs sur des ordinateurs occupés.

En raison de ces restrictions, même si la limite théorique des fichiers mappés en mémoire laisse supposer le contraire et si l'interface utilisateur de l'observateur d'événements et de l'Éditeur d'objets de stratégie de groupe est conçue pour configurer des journaux d'événements de 4 Go maximum, Microsoft a constaté, qu'en pratique, la taille des fichiers journaux se limite à 300 Mo environ sur la plupart des serveurs, soit 300 Mo pour l'ensemble des journaux d'événements combinés. Sur les serveurs membres et les serveurs autonomes Microsoft Windows XP, la taille globale des journaux d'événements des applications, de sécurité et système ne doit pas dépasser 300 Mo. Sur les contrôleurs de domaine, la taille globale de ces trois journaux, avec le service d'annuaire Active Directory®, DNS et les journaux de réplication, ne doit pas dépasser 300 Mo.

Ces restrictions provoquent des problèmes pour certains clients Microsoft mais le seul moyen de les supprimer consiste à modifier radicalement le mode d'enregistrement des événements système. Microsoft procède actuellement à la réécriture du système de journal d'événements pour résoudre ces problèmes dans la prochaine version de Windows.

S'il n'existe pas d'équation simple pour déterminer la taille de journal la plus adaptée à un serveur particulier, vous pouvez cependant déterminer une taille raisonnable. L'événement moyen occupe environ 500 octets dans chaque journal et la taille des fichiers journaux doit être un multiple de 64 Ko. Si vous pouvez évaluer le nombre moyen d'événements générés chaque jour pour chaque type de journal dans votre entreprise, vous êtes en mesure de définir une taille de journal raisonnable pour chaque type de fichier journal.

Par exemple, si votre serveur de fichiers génère quotidiennement 5 000 événements dans son journal de sécurité et que vous voulez vous assurer de disposer en permanence d'au moins 4 semaines de données, configurez la taille de ce journal sur environ 70 Mo. (500 octets * 5 000 événements/jour * 28 jours = 70 000 000 octets.) Vérifiez ensuite ponctuellement les serveurs au cours des quatre semaines suivantes pour vérifier vos calculs et vous assurer que les journaux conservent suffisamment d'événements pour vos besoins. La taille et le dépassement de taille du journal d'événements doivent être définis pour répondre aux exigences commerciales et de sécurité que vous avez déterminées lors de la conception du programme de sécurité de l'entreprise.

Le paramètre Taille maximale du journal d'événements peut prendre les valeurs suivantes :

  • Valeur en kilo-octets spécifiée par l'utilisateur, comprise entre 64 et 4 194 240. Cependant, cette valeur doit être un multiple de 64.
Vulnérabilité

Si vous augmentez de façon significative le nombre d'objets à auditer dans l'entreprise, il existe un risque de saturation du journal de sécurité qui peut entraîner l'arrêt du système si vous avez activé le paramètre Audit : Arrêter immédiatement le système s'il n'est pas possible de se connecter aux audits de sécurité. Si une telle fermeture survient, le système sera inutilisable jusqu'à ce qu'un administrateur efface le journal de sécurité. Pour empêcher cet arrêt, désactivez le paramètre Audit : Arrêter immédiatement le système s'il n'est pas possible de se connecter aux audits de sécurité décrit au chapitre 5, « Options de sécurité » et augmentez la taille du journal de sécurité. Sinon, vous pouvez configurer la rotation automatique de journal comme décrit dans l'article « The event log stops logging events before reaching the maximum log size » (en anglais uniquement) disponible dans la Base de connaissances Microsoft à l'adresse http://support.microsoft.com/kb/312571/fr.

Contre-mesures

Vous devez activer des stratégies d'audit rationnelles sur tous les ordinateurs de votre entreprise afin que les utilisateurs légitimes soient responsables de leurs actes, que toute activité non autorisée puisse être détectée et retracée et que les problèmes informatiques puissent être détectés et diagnostiqués.

Impact potentiel

Lorsque les journaux d'événements sont remplis, ils arrêtent d'enregistrer des informations, sauf si la méthode de conservation de chacun d'entre eux est configurée de sorte que l'ordinateur remplace les entrées les plus anciennes par les plus récentes. Pour minimiser le risque de perte de données récentes, vous pouvez configurer cette méthode afin que les événements les plus anciens soient écrasés si nécessaire.

Cette configuration a pour conséquence d'éliminer les événements les plus anciens des journaux. Les personnes malveillantes peuvent profiter de ce type de configuration car elles sont en mesure de générer un grand nombre d'événements autres pour masquer les preuves de leur attaque. Ces risques peuvent être limités si vous automatisez l'archivage et la sauvegarde des données du journal d'événements.

Dans l'idéal, les événements faisant l'objet d'une surveillance particulière devraient être envoyés à un serveur qui utilise Microsoft Operations Manager (MOM) ou tout autre outil de contrôle automatisé. Cette configuration est très importante car, dans l'hypothèse où une personne malveillante réussirait à compromettre un serveur, elle serait en mesure d'effacer le journal de sécurité. Si tous les événements sont envoyés à un serveur de contrôle, vous pourrez alors réunir les preuves des opérations menées par cette personne.

Interdire au groupe local Invité l'accès au journal d'événements

Ce paramètre de stratégie détermine si les invités peuvent accéder aux journaux d'événements des applications, de sécurité et système.

Le paramètre Interdire au groupe local Invité l'accès au journal d'événements peut prendre les valeurs suivantes :

  • Activé

  • Désactivé

  • Non défini

Remarque : Ce paramètre ne figure pas dans l'objet Stratégie de l'ordinateur local.

Il concerne uniquement les ordinateurs qui exécutent Windows 2000 et ses versions ultérieures.

Vulnérabilité

Une personne malveillante qui parvient à se connecter à un ordinateur avec les privilèges du compte Invité peut obtenir des informations importantes sur cet ordinateur si elle est capable de consulter les journaux d'événements. Ces informations pourraient ensuite lui servir à lancer d'autres attaques.

Contre-mesures

Activez le paramètre Interdire au groupe local Invité l'accès au journal d'événements dans les stratégies des trois journaux d'événements.

Impact potentiel

Aucun. Il s'agit de la configuration par défaut.

Durée de stockage du journal d'événements

Ce paramètre de stratégie détermine le nombre de jours pendant lesquels les données du journal d'événements des applications, de sécurité et système doivent être conservées si la méthode de conservation du journal est configurée sur Par jours. Ne configurez ce paramètre que si le journal est archivé à intervalles réguliers et que la taille maximale du journal de sécurité est suffisante par rapport à l’intervalle défini.

Le paramètre Durée de stockage du journal d'événements peut prendre les valeurs suivantes :

  • Nombre de jours compris entre 1 et 365, spécifié par l'utilisateur

  • Non défini

Remarque : Ce paramètre ne figure pas dans l'objet Stratégie de l'ordinateur local.

Un utilisateur doit disposer du droit Gérer le journal d'audit et de sécurité pour pouvoir accéder au journal de sécurité.

Vulnérabilité

Si vous archivez le journal à intervalles planifiés :

  1. Ouvrez la boîte de dialogue Propriétés pour cette stratégie.

  2. Indiquez le nombre de jours approprié dans le paramètre Durée de stockage du journal des applications.

  3. Sélectionnez Remplacer les événements par jours pour la méthode de conservation du journal d'événements.

Assurez-vous également que la taille maximale du journal est suffisante par rapport à l’intervalle défini.

Contre-mesures

Configurez le paramètre Durée de stockage du journal d'événements sur Non défini pour les stratégies des trois journaux d'événements.

Impact potentiel

Aucun. Il s'agit de la configuration par défaut.

Méthode de conservation du journal d'événements

Ce paramètre de stratégie détermine la méthode de dépassement de taille des journaux d’applications, de sécurité et système.

Si vous ne souhaitez pas archiver le journal des applications :

  1. Ouvrez la boîte de dialogue Propriétés pour cette stratégie.

  2. Sélectionnez l'option Définir ce paramètre de stratégie.

  3. Cliquez sur Remplacer les événements si nécessaire.

Si vous souhaitez archiver le journal à intervalles planifiés :

  1. Ouvrez la boîte de dialogue Propriétés pour cette stratégie.

  2. Sélectionnez l'option Définir ce paramètre de stratégie.

  3. Cliquez sur Remplacer les événements par jours.

  4. Indiquez le nombre de jours approprié dans le paramètre Durée de stockage du journal des applications. Assurez-vous que la taille maximale du journal est suffisante par rapport à l’intervalle défini.

Si vous devez conserver tous les événements dans le journal :

  1. Ouvrez la boîte de dialogue Propriétés pour cette stratégie.

  2. Sélectionnez l'option Définir ce paramètre de stratégie.

  3. Cliquez sur Ne pas remplacer les événements (nettoyage manuel du journal).

Cette option signifie que le journal devra être nettoyé manuellement. Dans cette configuration, les nouveaux événements cessent d'être consignés lorsque la taille maximale du journal est atteinte.

Le paramètre Méthode de conservation du journal d'événements peut prendre les valeurs suivantes :

  • Remplacer les événements par jours

  • Remplacer les événements si nécessaire

  • Ne pas remplacer les événements (nettoyage manuel du journal)

  • Non défini

Remarque : Ce paramètre ne figure pas dans l'objet Stratégie de l'ordinateur local.

Vulnérabilité

Si vous augmentez de façon significative le nombre d'objets à auditer dans l'entreprise, il existe un risque de saturation du journal de sécurité qui peut entraîner l'arrêt de l'ordinateur. Si une telle fermeture survient, le système sera inutilisable jusqu'à ce qu'un administrateur efface le journal de sécurité. Pour empêcher cet arrêt, désactivez le paramètre Audit : Arrêter immédiatement le système s'il n'est pas possible de se connecter aux audits de sécurité décrit au chapitre 5 « Options de sécurité » et augmentez ensuite la taille du journal de sécurité.

Si vous configurez la Méthode de conservation du journal d'événements sur Manuel ou sur Remplacer les événements par jours, il est possible que des événements récents importants ne soient pas enregistrés ou qu'une attaque par refus de service se produise.

Contre-mesures

Configurez la méthode de conservation des trois journaux d'événements sur l'option Remplacer les événements si nécessaire. Certains recommandent de configurer ce paramètre sur Nettoyage manuel mais cela induit une charge d'administration trop lourde pour la plupart des entreprises.

Dans l'idéal, tous les événements significatifs devraient être envoyés à un serveur de contrôle qui utilise le gestionnaire MOM ou tout autre outil de contrôle automatisé.

Impact potentiel

Lorsque les journaux d'événements sont remplis, ils arrêtent d'enregistrer des informations, sauf si la méthode de conservation est configurée de sorte que l'ordinateur remplace les entrées les plus anciennes par les plus récentes.

Délégation de l'accès aux journaux d'événements

Dans Microsoft Windows Server™ 2003, il est possible de personnaliser les autorisations de chaque journal d'événements d'un ordinateur. Cette possibilité n'était pas offerte dans les versions précédentes de Windows. Dans certaines entreprises, il peut être utile d'accorder à quelques membres de l'équipe informatique un accès en lecture seule à un journal d'événements système au minimum. La liste de contrôle d'accès (ACL) est stockée sous la forme d'une chaîne SDDL (Security Descriptor Definition Language), dans une valeur REG_SZ appelée « CustomSD » pour chaque journal d'événements du Registre, comme dans l'exemple suivant :

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\EventLog\CustomSD
Create a REG_SZ registry value O:BAG:SYD:(D;;0xf0007;;;AN)(D;;0xf0007;;;BG)
(A;;0xf0007;;;SY)(A;;0x7;;;BA)(A;;0x5;;;SO)(A;;0x1;;;IU)(A;;0x1;;;SU)
(A;;0x1;;;S-1-5-3)(A;;0x2;;;LS)(A;;0x2;;;NS)

Si vous modifiez cette valeur et redémarrez l'ordinateur, le nouveau paramètre prendra effet.

Attention : Soyez très vigilant lorsque vous modifiez les valeurs du Registre car il n'est pas possible d'annuler une opération dans l'Éditeur de Registre. Si vous faites une erreur, vous devrez la corriger manuellement. En outre, vous risquez de configurer les listes de contrôle d'accès d'un journal d'événements de telle façon que personne ne puisse plus y accéder. Avant de continuer, vous devez être certain de bien comprendre SDDL et les autorisations par défaut de chaque journal d'événements. N'oubliez pas de tester toute modification de manière approfondie avant de l'implémenter dans l'environnement de production.

Pour plus d'informations sur la configuration des journaux d'événements dans Windows Server 2003, reportez-vous à l'article « How to: Set Event Log Security Locally or by Using Group Policy in Windows Server 2003 » (version française : « Comment faire pour définir la sécurité du journal d'événements localement ou par le biais de la Stratégie de groupe dans Windows Server 2003 ») à l'adresse http://support.microsoft.com/kb/323076/fr.

Pour plus d'informations sur le SDDL, consultez l'article « Security Descriptor Definition Language » (en anglais uniquement) sur MSDN® à l'adresse http://msdn.microsoft.com/library/default.asp?url=/library/en-us/secauthz/
security/security_descriptor_definition_language.asp.

Informations complémentaires

Les liens suivants fournissent des informations supplémentaires sur la journalisation des événements dans Windows Server 2003 et Windows XP.

Téléchargement

Obtenir le Guide des menaces et des contre-mesures

Notifications de mise à jour

Inscrivez-vous pour en savoir plus sur les mises à jour et les nouvelles publications

Commentaires

Envoyez-nous vos commentaires ou vos suggestions