Gestion de l’audit de sécurité
Suivre la création ou la modification d’objets vous donne le moyen de dépister des problèmes potentiels de sécurité, vous aide à gérer les comptes des utilisateurs et apporte des preuves en cas de violation de la sécurité.
Les types d’événements les plus couramment audités sont :
L’accès à des objets, tels que des fichiers et des dossiers
La gestion de comptes d’utilisateurs et de groupes
La connexion et la déconnexion d’utilisateurs du système
Cette section aborde les sujets suivants :
Stratégies d’audit
Définir ou modifier les paramètres de la stratégie d’audit pour une catégorie d’événement
Appliquer ou modifier les paramètres de la stratégie d’audit pour un fichier ou un dossier local
Afficher le journal de sécurité
Stratégies d’audit
Avant de mettre un audit en place, vous devez décider de la stratégie d’audit à adopter. Une stratégie d’audit spécifie les catégories d’événements relatifs à la sécurité que vous souhaitez auditer. Lorsque cette version de Windows est installée, toutes les catégories d’audit sont désactivées. Activer diverses catégories d’événements d’audit permet d’implémenter la stratégie d’audit qui convient le mieux aux impératifs de sécurité de votre organisation.
Voici les catégories d’événements pouvant faire l’objet d’un audit :
Événements de connexion aux comptes
Gestion des comptes
Accès au service d’annuaire
Événements de connexion
Accès aux objets
Modifications de stratégie
Utilisation des privilèges
Suivi des processus
Événements système
Si, dans le cadre de votre stratégie d’audit, vous choisissez d’auditer l’accès à des objets, vous devez activer soit la catégorie Auditer l’accès au service d’annuaire (pour auditer des objets d’un contrôleur de domaine), soit la catégorie Auditer l’accès aux objets (pour auditer des objets situés sur un serveur ou une station de travail membre). Après avoir activé la catégorie d’audit de l’accès aux objets, vous pouvez spécifier les types d’accès à auditer pour chaque groupe ou utilisateur.
Pour activer un audit d’objets locaux, vous devez conduire une session en tant que membre du groupe Administrateurs intégrés.
Références supplémentaires
Gestion de l’audit de sécurité
Définir ou modifier les paramètres de la stratégie d’audit pour une catégorie d’événement
Spécifier des paramètres d’audit pour des catégories d’événements spécifiques permet de créer une stratégie d’audit qui répond aux impératifs de sécurité de votre organisation. Sur les serveurs membres et les stations de travail joints à un domaine, les paramètres d’audit correspondant aux catégories d’événements ne sont pas définis, par défaut. Sur les contrôleurs de domaine, l’audit est activé par défaut. Pour plus d’informations sur les catégories d’événements et en obtenir la liste, voir b-eStratégies d’audit.
Pour votre ordinateur local
Pour un domaine ou une unité d’organisation, lorsque vous vous trouvez sur un serveur membre ou une station de travail appartenant à un domaine
Pour mener à bien cette procédure, il est nécessaire d’appartenir au minimum au groupe Administrateurs locaux.
Pour définir ou modifier les paramètres de la stratégie d’audit pour une catégorie d’événement pour votre ordinateur local
Ouvrez le composant logiciel enfichable Stratégie de sécurité locale et sélectionnez Stratégies locales.
Dans l’arborescence de la console, cliquez sur Stratégie d’audit.
Où ?
Paramètres de sécurité/Stratégies locales/Stratégie d’audit
Dans le volet des résultats, double-cliquez sur la catégorie d’événement pour laquelle vous souhaitez modifier les paramètres de stratégie d’audit.
Effectuez au moins l’une des actions suivantes, puis cliquez sur OK.
Pour auditer les tentatives réussies, activez la case à cocher Réussite.
Pour auditer les tentatives infructueuses, activez la case à cocher Échec.
Considérations supplémentaires
Pour ouvrir le composant logiciel enfichable Stratégie de sécurité locale, cliquez sur Démarrer, pointez sur Outils d’administration, puis cliquez sur Stratégie de sécurité locale.
Pour mener à bien cette procédure, il est nécessaire d’appartenir au minimum au groupe Admins du domaine.
Pour définir ou modifier les paramètres de stratégie d’audit d’une catégorie d’événement pour un domaine ou une unité d’organisation, lorsque vous êtes sur un serveur membre ou sur une station de travail joint à un domaine
Si la console de gestion des stratégies de groupe (GPMC, Group Policy Management Console) n’est pas installée, ouvrez le Gestionnaire de serveur puis, sous Résumé des fonctionnalités, cliquez sur Ajouter des fonctionnalités. Activez la case à cocher Gestion des stratégies de groupe, cliquez sur Suivant, puis sur Installer.
Une fois que la page Résultats de l’installation indique que l’installation de la console de gestion des stratégies de groupe (GPMC) a réussi, cliquez sur Fermer.
Cliquez sur Démarrer, pointez sur Outils d’administration, puis cliquez sur Gestion des stratégies de groupe.
Dans l’arborescence de la console, double-cliquez sur Objets de stratégie de groupe dans la forêt et le domaine contenant l’objet de stratégie de groupe Stratégie de domaine par défaut que vous souhaitez modifier.
Cliquez avec le bouton droit sur l’objet Stratégie de domaine par défaut, puis cliquez sur Modifier.
Dans la console de gestion des stratégies de groupe (GPMC), développez Configuration ordinateur, Paramètres Windows et Paramètres de sécurité, puis cliquez sur Stratégie d’audit.
Dans le volet des résultats, double-cliquez sur la catégorie d’événement pour laquelle vous souhaitez modifier les paramètres de stratégie d’audit.
Si vous définissez les paramètres de stratégie d’audit pour cette catégorie d’événement pour la première fois, activez la case à cocher Définir ces paramètres de stratégie.
Effectuez au moins l’une des actions suivantes, puis cliquez sur OK.
Pour auditer les tentatives réussies, activez la case à cocher Réussite.
Pour auditer les tentatives infructueuses, activez la case à cocher Échec.
Considérations supplémentaires
Pour ouvrir Microsoft Management Console par le biais de l’interface Windows, cliquez sur Démarrer, cliquez dans la zone de texte Rechercher, tapez mmc, puis appuyez sur Entrée.
Pour auditer l’accès aux objets, activez l’audit de la catégorie d’événement d’accès aux objets en complétant les étapes ci-dessus. Ensuite, activez l’audit pour l’objet spécifique.
Une fois votre stratégie d’audit configurée, les événements seront enregistrés dans le journal de sécurité. Ouvrez le journal de sécurité pour afficher ces événements.
Le paramètre par défaut pour la stratégie d’audit pour les contrôleurs de domaine est Pas d’audit. Cela signifie que même si l’audit est activé dans le domaine, les contrôleurs de domaine n’héritent pas de la stratégie d’audit localement. Si vous souhaitez appliquer la stratégie d’audit du domaine aux contrôleurs de domaine, vous devez modifier ce paramètre de stratégie.
Références supplémentaires
Gestion de l’audit de sécurité
Appliquer ou modifier les paramètres de la stratégie d’audit pour un fichier ou un dossier local
Vous pouvez appliquer des stratégies d’audit à des fichiers et des dossiers spécifiques de votre ordinateur en définissant le type d’autorisation, de manière à enregistrer dans le journal de sécurité les tentatives d’accès réussies ou infructueuses.
Pour mener à bien cette procédure, il est nécessaire d’appartenir au minimum au groupe Administrateurs locaux. Pour plus d’informations, voir la section « Considérations supplémentaires » de cette rubrique.
Pour appliquer ou modifier les paramètres de la stratégie d’audit pour un fichier ou un dossier local
Ouvrez l’Explorateur Windows.
Cliquez avec le bouton droit sur le fichier ou le dossier pour lequel vous souhaitez lancer un audit, cliquez sur Propriétés, puis sur l’onglet Sécurité.
Cliquez sur Modifier, puis sur Paramètres avancés.
Remarques
Si vous n’êtes pas connecté en tant que membre du groupe Administrateurs sur cet ordinateur, vous devez fournir des informations d’identification d’administrateur pour poursuivre.
Dans la boîte de dialogue Paramètres de sécurité avancés pour <objet>, cliquez sur l’onglet Audit.
Effectuez l’une des actions suivantes :
Pour configurer l’audit d’un nouvel utilisateur ou groupe, cliquez sur Ajouter. Dans Entrez le nom de l’objet à sélectionner, tapez le nom de l’utilisateur ou du groupe voulu, puis cliquez sur OK.
Pour supprimer l’audit pour un utilisateur ou un groupe existant, cliquez sur le nom d’utilisateur ou de groupe voulu, puis sur Supprimer et ensuite sur OK. Ignorez le reste de cette procédure.
Pour afficher ou modifier les paramètres d’audit d’un utilisateur ou d’un groupe existant, cliquez sur son nom, puis sur Modifier.
Dans la case Appliquer à, cliquez sur l’emplacement où vous voulez que l’audit ait lieu.
Dans la zone Accès, indiquez les opérations à auditer en activant les cases à cocher adéquates :
Pour auditer les événements de réussite, activez la case à cocher Réussite.
Pour arrêter l’audit des événements de réussite, désactivez la case à cocher Réussite.
Pour auditer les événements d’échec, activez la case à cocher Échec.
Pour arrêter l’audit des événements d’échec, désactivez la case à cocher Échec.
Pour cesser d’auditer tous les événements, cliquez sur Effacer tout.
Pour empêcher que les fichiers et sous-dossiers de l’objet d’origine héritent de ces entrées d’audit, activez la case à cocher Appliquer ces entrées d’audit uniquement aux objets et/ou aux conteneurs faisant partie de ce conteneur.
Important
Avant de configurer l’audit de fichiers et de dossiers, vous devez activer l’audit de l’accès aux objets en définissant les paramètres de la stratégie d’audit pour la catégorie d’événements d’accès aux objets. Si vous n’activez pas l’audit de l’accès aux objets, un message d’erreur s’affiche lorsque vous définissez l’audit des fichiers et des dossiers, et aucun fichier ni dossier n’est audité.
Considérations supplémentaires
Pour effectuer cette procédure, vous devez avoir ouvert une session en tant que membre du groupe Administrateurs ou avoir reçu le droit Gérer le journal d’audit et de sécurité dans la Stratégie de groupe.
Pour ouvrir l’Explorateur Windows, cliquez sur Démarrer, pointez sur Tous les programmes, cliquez sur Accessoires, puis sur Explorateur Windows.
Une fois l’audit de l’accès aux objets activé, affichez le journal de sécurité dans l’Observateur d’événements pour examiner les résultats de vos modifications.
Vous pouvez configurer l’audit de fichiers et de dossiers sur des lecteurs NTFS uniquement.
Si vous constatez l’un des comportements suivants, l’audit a été hérité du dossier parent :
Dans la boîte de dialogue Audit de l’entrée pour <Fichier ou Dossier>, les cases à cocher de la zone Accès ne sont pas disponibles.
Dans la boîte de dialogue Paramètres de sécurité avancés pour <Fichier ou Dossier>, le bouton Supprimer n’est pas disponible.
En raison des limitations de la taille du journal de sécurité, sélectionnez avec le plus grand soin les fichiers et dossiers à auditer. Tenez également compte de l’espace disque que vous souhaitez réserver au journal de sécurité. La taille maximale du journal de sécurité est définie dans l’Observateur d’événements.
Références supplémentaires
Gestion de l’audit de sécurité
Page de propriétés Paramètres de sécurité avancés - Onglet Audit
Afficher le journal de sécurité
Le journal de sécurité enregistre chaque événement conformément aux stratégies d’audit que vous avez définies sur chaque objet.
Pour afficher le journal de sécurité
Ouvrez l’Observateur d’événements.
Dans l’arborescence de la console, ouvrez Journaux globaux, puis cliquez sur Sécurité. Le volet des résultats répertorie les événements de sécurité individuels.
Pour afficher davantage d’informations sur un événement spécifique, double-cliquez sur cet événement dans le volet des résultats.
Considérations supplémentaires
Pour ouvrir Observateur d’événements, cliquez sur Démarrer, sur Panneau de configuration, sur Système et maintenance, double-cliquez sur Outils d’administration, puis double-cliquez sur Observateur d’événements.
Si votre ordinateur est connecté à un réseau, les paramètres de stratégie réseau peuvent également vous empêcher d’effectuer cette procédure.
Références supplémentaires
Gestion de l’audit de sécurité
Présentation du contrôle de compte d’utilisateur
Le Contrôle de compte d’utilisateur est une fonctionnalité de Windows qui contribue à empêcher les modifications non autorisées sur votre ordinateur. Cette fonctionnalité vous demande votre autorisation ou un mot de passe administrateur avant d’effectuer des actions susceptibles d’affecter le fonctionnement de votre ordinateur ou de modifier des paramètres affectant d’autres utilisateurs.
Lorsque vous voyez un message du Contrôle de compte d’utilisateur, lisez-le soigneusement et vérifiez que le nom de l’action ou du programme sur le point de démarrer est bien celui que vous avez prévu. En vérifiant ces actions avant qu’elles ne démarrent, le Contrôle de compte d’utilisateur peut empêcher des programmes malveillants de s’installer ou d’effectuer des modifications sur votre ordinateur sans autorisation.
Lorsque votre autorisation ou un mot de passe est nécessaire pour effectuer une tâche, le Contrôle de compte d’utilisateur vous avertit par le biais d’un des messages suivants :
Windows a besoin de votre autorisation pour continuer. Une fonction ou un programme Windows pouvant affecter les autres utilisateurs de cet ordinateur a besoin de votre autorisation pour démarrer. Vérifiez le nom de l’action pour vous assurer qu’il s’agit d’une fonction ou d’un programme que vous souhaitez exécuter.
Un programme a besoin de votre autorisation pour continuer. Un programme qui ne fait pas partie de Windows a besoin de votre autorisation pour démarrer. Ce programme possède une signature numérique valide indiquant son nom et son éditeur, ce qui permet de vérifier sa légitimité. Vérifiez qu’il s’agit d’un programme que vous avez l’intention d’exécuter.
Un programme non identifié veut accéder à votre ordinateur. Un programme non identifié est un programme qui n’a pas de signature numérique valide provenant de son éditeur et dont vous ne pouvez donc pas vérifier la légitimité. Ceci ne n’indique pas nécessairement qu’il s’agit d’un logiciel malveillant, puisque de nombreux programmes légitimes plus anciens n’ont pas de signatures. Vous devez toutefois vous montrer très prudent et n’autoriser l’exécution de ce programme que si vous vous l’êtes procuré auprès d’une source approuvée, telle que le CD d’origine ou le site Web de l’éditeur.
Ce programme a été bloqué. Il s’agit d’un programme dont votre administrateur a volontairement bloqué l’exécution sur votre ordinateur. Pour exécuter ce programme, vous devez contacter votre administrateur et lui demander de le débloquer.
Utilisation de comptes d’utilisateurs standard
Nous vous recommandons de vous connecter à votre ordinateur à l’aide d’un compte d’utilisateur standard le plus souvent possible. Vous pouvez naviguer sur Internet, envoyer des courriers électroniques et utiliser un traitement de texte, tout ceci sans compte d’administrateur. Pour effectuer une tâche administrative, telle que l’installation d’un nouveau programme ou la modification d’un paramètre qui va affecter d’autres utilisateurs, vous n’avez pas besoin de basculer vers un compte d’administrateur. Windows vous demande votre autorisation ou un mot de passe administrateur avant d’effectuer la tâche.
Pour renforcer la protection de votre ordinateur, vous pouvez créer des comptes d’utilisateurs standard pour tous les utilisateurs qui partagent l’ordinateur. Lorsqu’un utilisateur possédant un compte standard tente d’installer des logiciels, Windows demande le mot de passe d’un compte d’administrateur pour que les logiciels ne puissent pas être installés à votre insu et sans votre autorisation.
Utilisation de comptes d’administrateurs
Les utilisateurs qui se connectent à l’aide d’un compte d’administrateur peuvent tout de même recevoir des invites du Contrôle de compte d’utilisateur, si le mode d’approbation Administrateur est configuré dans la stratégie de groupe. Le mode d’approbation Administrateur aide à empêcher qu’un logiciel malveillant ne s’installe silencieusement à l’insu de l’administrateur. Il aide également à prévenir toute modification accidentelle à l’échelle du système. Pour finir, il peut être utilisé pour appliquer un niveau de conformité plus élevé lorsque les administrateurs doivent donner leur accord ou fournir des informations d’identification pour chaque processus d’administration.
Important
Si le mode d’approbation Administrateur est configuré, les administrateurs peuvent rencontrer des problèmes lors de l’exécution de tâches depuis la ligne de commande. Pour éviter ces problèmes, ouvrez une fenêtre Invite de commandes administrative ou utilisez l’outil en ligne de commande Runas pour effectuer votre tâche.
Références supplémentaires
Présentation et configuration du contrôle de compte d’utilisateur dans Windows Vista (http://go.microsoft.com/fwlink/?LinkID=79026)
Runas (éventuellement en anglais) (http://go.microsoft.com/fwlink/?LinkId=135920) dans la référence d’outils en ligne de commande
Ressources pour le contrôle d’accès
Pour plus d’informations sur le le contrôle d’accès, voir les ressources suivantes sur le site Web de Microsoft (éventuellement en anglais) :
Gestion d’identité, contrôle d’accès et protection des informations (éventuellement en anglais) (http://go.microsoft.com/fwlink/?LinkId=131727)
Conception d’une stratégie d’autorisation sur les ressources (éventuellement en anglais) (http://go.microsoft.com/fwlink/?LinkId=63966)
Notifications de sécurité techniques Microsoft (éventuellement en anglais) (http://go.microsoft.com/fwlink/?LinkId=63967)
Audit de sécurité (éventuellement en anglais) (http://go.microsoft.com/fwlink/?LinkID=131231)
Dépannage du contrôle d’accès (éventuellement en anglais) (http://go.microsoft.com/fwlink/?LinkId=63969)
تعليقات
إرسال تعليق
تعليقكم يعكس شخصيتكم ، دعونا نتمتع باللباقة في الكلام.