Auditer l’utilisation de privilèges sensibles
Cette rubrique destinée aux professionnels de l’informatique décrit le paramètre de stratégie d’audit de sécurité avancée Auditer l’utilisation de privilèges sensibles, qui détermine si le système d’exploitation génère ou non des événements d’audit lorsque des privilèges (droits de l’utilisateur) sensibles sont utilisés.
Les actions pouvant être auditées sont les suivantes :
Un service privilégié est appelé.
L’un des privilèges ci-après est appelé :
Act as part of the operating system
Back up files and directories
Create a token object
Debug programs
Enable computer and user accounts to be trusted for delegation
Generate security audits
Impersonate a client after authentication
Load and unload device drivers
Manage auditing and security log
Modify firmware environment values
Replace a process-level token
Restore files and directories
Take ownership of files or other objects
Si vous configurez ce paramètre de stratégie, un événement d’audit est généré lorsque des demandes de privilèges sensibles sont effectuées. Les audits des réussites enregistrent les tentatives réussies, et les audits des échecs enregistrent les tentatives infructueuses.
Volume d’événements : élevé.
Valeur par défaut : Non configuré.
| ID d’événement | Message d’événement |
|---|---|
4672 |
Privilèges spéciaux attribués à la nouvelle ouverture de session. |
4673 |
Un service privilégié a été appelé. |
4674 |
Une opération a été tentée sur un objet privilégié. |