Planification et déploiement de stratégies d’audit de sécurité avancées
Cette rubrique destinée aux professionnels de l’informatique décrit les options que les planificateurs de stratégie de sécurité doivent prendre en compte et les tâches qu’ils doivent accomplir pour déployer une stratégie d’audit de sécurité efficace sur un réseau qui inclut des stratégies d’audit de sécurité avancées.
Les entreprises investissent une grande partie de leur budget informatique dans les applications et services de sécurité, tels que les logiciels anti-programme malveillant, les pare-feu et le chiffrement. Mais quelle que soit la quantité de matériel ou de logiciel de sécurité déployée, la précision avec laquelle vous contrôlez les droits des utilisateurs ou le soin que vous apportez à la configuration des autorisations de sécurité sur vos données, cette tâche ne doit être considérée comme accomplie qu’à condition de disposer d’une stratégie d’audit opportune, bien définie, permettant de suivre l’efficacité de vos défenses et d’identifier les tentatives de contournement de cette dernière.
Une stratégie d’audit opportune et bien définie doit fournir les données de suivi utiles pour les ressources les plus importantes, les comportements critiques et les risques potentiels d’une organisation. Dans un nombre croissant d’organisations, elle doit également fournir la preuve absolue de la conformité des opérations informatiques avec les contraintes réglementaires et de l’entreprise.
Malheureusement, aucune organisation ne dispose d’un nombre illimité de ressources pour surveiller chaque ressource et activité d’un réseau. Une planification inappropriée provoque des écarts dans votre stratégie d’audit. Toutefois, si vous tentez d’auditer chaque ressource et activité, il se peut que vous obteniez un nombre trop élevé de données de surveillance, notamment des milliers d’entrées d’audit sans conséquence, qu’un analyste doit trier afin d’identifier un ensemble restreint d’entrées garantissant un examen plus approfondi. Cela peut provoquer des retards ou même empêcher les personnes chargées de l’audit d’identifier une activité suspecte. Ainsi, tout comme le manque de surveillance, une surveillance trop poussée peut rendre une organisation vulnérable.
Voici quelques fonctionnalités qui peuvent vous aider à concentrer vos efforts :
Paramètres de stratégie d’audit de sécurité avancée. Vous pouvez appliquer et gérer des paramètres de stratégie d’audit détaillés à l’aide d’une stratégie de groupe.
Audit de motif d’accès. Vous pouvez spécifier et identifier les autorisations qui ont été utilisées pour générer un événement de sécurité d’accès à un objet particulier.
Audit de l’accès global aux objets. Vous pouvez définir des listes de contrôle d’accès système (SACL) pour un système de fichiers ou un registre d’ordinateur tout entier.
Pour déployer ces fonctionnalités et planifier une stratégie d’audit de sécurité efficace, vous devez :
Identifier vos ressources les plus critiques et les activités les plus importantes à suivre.
Identifier les paramètres d’audit qui peuvent être utilisés pour suivre ces activités.
Évaluer les avantages et les coûts potentiels associés à chacun.
Testez ces paramètres pour valider vos choix.
Développer des plans de déploiement et de gestion de votre stratégie d’audit.
À propos de ce guide
Ce document vous guidera à travers les étapes requises pour planifier une stratégie d’audit de sécurité qui utilise les fonctionnalités d’audit Windows. Cette stratégie doit identifier les besoins essentiels et les traiter, notamment :
La fiabilité du réseau
Les exigences réglementaires
La protection de la propriété intellectuelle et des données de l’organisation
Les utilisateurs, y compris les employés, les fournisseurs, les partenaires et les clients
Les applications et ordinateurs clients
Les serveurs, ainsi que les applications et les services qui s’exécutent sur ces serveurs
La stratégie d’audit doit également identifier les processus de gestion des données d’audit une fois qu’elle a été enregistrée, y compris :
La collecte, l’évaluation et la consultation des données d’audit
Le stockage et (si nécessaire) la suppression des données d’audit
La planification, la conception, le test et le déploiement minutieux d’une solution basée sur les besoins professionnels de votre organisation vous permettent de proposer les fonctionnalités standardisées, la sécurité et le contrôle de gestion dont votre entreprise a besoin.
Présentation du processus de conception de stratégie d’audit de sécurité
Le processus de conception et de déploiement d’une stratégie d’audit de sécurité Windows implique les tâches suivantes, qui sont décrites en détail tout au long de ce document :
Identification de vos objectifs de déploiement de stratégie d’audit de sécurité Windows
Cette section permet de définir les objectifs stratégiques qui guideront votre stratégie d’audit de sécurité Windows. Elle vous permet également de définir les ressources, les utilisateurs et les ordinateurs qui seront au cœur de votre audit de sécurité.
Mise en correspondance de la stratégie d’audit de sécurité avec des groupes d’utilisateurs, des ordinateurs et des ressources de votre organisation
Cette section explique comment intégrer des paramètres de stratégie d’audit de sécurité à des paramètres de stratégie de groupe de domaine pour différents groupes d’utilisateurs, ordinateurs et diverses ressources. En outre, si votre réseau comprend plusieurs versions de systèmes d’exploitation client et serveur Windows, elle décrit également quand utiliser les paramètres de stratégie d’audit de base et les paramètres de stratégie d’audit de sécurité avancés.
Mise en correspondance de vos objectifs d’audit de sécurité avec une configuration de stratégie d’audit de sécurité
Cette section décrit les catégories de paramètres d’audit de sécurité Windows disponibles. Elle identifie également les paramètres de stratégie d’audit de sécurité Windows qui peuvent être particulièrement utiles pour traiter des scénarios d’audit.
Planification de la surveillance et de la gestion de l’audit de sécurité
Cette section vous aide à planifier, collecter, analyser et stocker les données d’audit Windows. Selon le nombre d’ordinateurs et les types d’activité que vous voulez auditer, les journaux d’événements Windows peuvent se remplir rapidement. En outre, cette section explique comment les personnes chargées de l’audit peuvent accéder aux données d’événement et les rassembler à partir de plusieurs serveurs et ordinateurs de bureau. Elle explique également comment traiter les exigences de stockage, notamment la quantité de données d’audit à stocker et son mode de stockage.
Déploiement de la stratégie d’audit de sécurité
Cette section fournit des recommandations et des directives pour le déploiement efficace d’une stratégie d’audit de sécurité Windows. La configuration et le déploiement de paramètres de stratégie d’audit Windows dans un environnement de laboratoire de test peuvent vous permettre de vérifier que les paramètres sélectionnés génèrent le type de données d’audit dont vous avez besoin. Toutefois, seuls un pilote préconfiguré avec soin et des déploiements incrémentiels en fonction de votre domaine et de la structure de l’unité d’organisation (OU) vous permettront de vérifier que les données d’audit générées peuvent être surveillées et qu’elles répondent aux besoins d’audit de votre organisation.
Identification de vos objectifs de déploiement de stratégie d’audit de sécurité Windows
Une stratégie d’audit de sécurité doit prendre en charge et constituer un aspect essentiel et intégré de l’infrastructure et de la conception de sécurité globale d’une organisation.
Chaque organisation possède un ensemble unique de données et de ressources réseau (telles que des données financières et relatives à des clients et des secrets commerciaux), de ressources physiques (telles que des ordinateurs de bureau, des ordinateurs portables et des serveurs) et d’utilisateurs (pouvant comprendre divers groupes internes, tels que des groupes financiers et marketing et des groupes externes, comme des partenaires, des clients et des utilisateurs anonymes sur le site web). L’ensemble de ces ressources et de ces utilisateurs ne justifie pas le coût lié à un audit. Votre tâche consiste à déterminer les ressources et les utilisateurs justifiant le plus la mise en place d’un audit de sécurité.
Pour créer votre plan d’audit de sécurité Windows, commencez par identifier les éléments suivants :
L’environnement de réseau dans sa globalité, y compris les domaines, les unités d’organisation et les groupes de sécurité.
Les ressources sur le réseau, les utilisateurs de ces ressources et comment ces ressources sont utilisées.
Les exigences réglementaires.
Environnement réseau
Le domaine d’une organisation et la structure de l’unité d’organisation constituent un point de départ fondamental pour réfléchir à la manière d’appliquer une stratégie d’audit de sécurité, car ils offrent probablement une base d’objets de stratégie de groupe (GPO) et le regroupement logique des ressources et des activités que vous pouvez utiliser pour appliquer les paramètres d’audit choisis. Il est également probable que certaines parties de votre domaine et de votre structure d’unité d’organisation fournissent déjà des groupes logiques d’utilisateurs, de ressources et d’activités qui justifient le temps et les ressources nécessaires pour réaliser leur audit. Pour en savoir plus sur l’intégration d’une stratégie d’audit de sécurité à votre domaine et structure d’unité d’organisation, voir Mise en correspondance de la stratégie d’audit de sécurité avec des groupes d’utilisateurs, d’ordinateurs et de ressources de votre organisation plus loin dans ce document.
En plus de votre modèle de domaine, vous devez également déterminer si votre organisation crée et gère un modèle de risque systématique. Un modèle de risque adapté peut vous aider à identifier les menaces pesant sur les principaux composants de votre infrastructure, afin de pouvoir définir et appliquer des paramètres d’audit qui améliorent la capacité de l’organisation à identifier et à bloquer ces menaces.
Important
L’intégration de l’audit au plan de sécurité de votre organisation permet également de budgéter vos ressources pour les zones où l’audit peut obtenir les meilleurs résultats.
Pour obtenir des détails supplémentaires sur la manière de procéder et la préparation d’un modèle de risque détaillé, téléchargez le Guide de modélisation des risques pesant sur l’infrastructure informatique.
Données et ressources
Pour l’audit des données et des ressources, vous devez identifier les types de données et de ressources les plus importants (tels que des dossiers de patients, des données de comptabilité ou des plans marketing) qui peuvent tirer profit d’une surveillance plus étroite que l’audit Windows peut offrir. Il se peut que certaines de ces ressources de données fassent déjà l’objet d’une surveillance par le biais de fonctionnalités d’audit présentes dans des produits tels que Microsoft SQL Server et Exchange Server. Si tel est le cas, vous voudrez peut-être savoir dans quelle mesure les fonctionnalités d’audit de Windows peuvent améliorer la stratégie d’audit existante. Comme avec le domaine et la structure d’unité d’organisation décrits précédemment, l’audit de sécurité doit se limiter à vos ressources les plus critiques. Vous devez également déterminer la quantité de données d’audit que vous serez en mesure de gérer.
Vous pouvez définir si ces ressources ont un impact élevé, moyen ou faible sur l’entreprise, le coût pour l’organisation si des utilisateurs non autorisés accèdent à ces ressources de données et le risque que peut constituer cet accès pour l’organisation. Le type d’accès par les utilisateurs (par exemple, la lecture, la modification ou la copie) peut également constituer différents niveaux de risque pour une organisation.
De plus en plus, l’accès aux données et leur utilisation sont régis par des règles, dont la violation peut entraîner de graves sanctions pénales et une perte crédibilité pour l’organisation. Si le respect de la réglementation joue un rôle dans la manière dont vous gérez vos données, veillez à documenter également ces informations.
Le tableau suivant fournit un exemple d’analyse de ressources d’une organisation.
| Classe de ressource | Emplacement de stockage | Unité d’organisation | Impact sur l’entreprise | Exigences réglementaires ou de sécurité |
|---|---|---|---|---|
Données de paie |
Corp-Finance-1 |
Comptabilité : lecture/écriture sur Corp-Finance-1 Responsables paie par service : écriture uniquement sur Corp-Finance-1 |
Élevé |
Intégrité financière et confidentialité de l’employé |
Dossiers médicaux de patients |
MedRec-2 |
Médecins et infirmières : lecture/écriture sur Med/Rec-2 Assistants de laboratoire : écriture uniquement sur MedRec-2 Comptabilité : lecture uniquement sur MedRec-2 |
Élevé |
Normes légales et réglementaires strictes |
Informations de santé relatives aux consommateurs |
Web-Ext-1 |
Créateurs de contenu Web relatif aux relations publiques : lecture/écriture sur Web-Ext-1 Public : lecture uniquement sur Web-Ext-1 |
Faible |
Formation du public et image d’entreprise |
Utilisateurs
De nombreuses organisations peuvent trouver utile de classer leurs types d’utilisateurs et de baser les autorisations sur cette classification. Cette même classification peut vous permettre d’identifier les activités de l’utilisateur devant faire l’objet d’un audit de sécurité et la quantité de données d’audit qu’elles génèrent.
Les organisations peuvent faire la distinction entre les différents types de droits et d’autorisations nécessaires aux utilisateurs pour effectuer leurs travaux. Par exemple, sous la classification Administrateurs, les entreprises de plus grande taille peuvent affecter des responsabilités d’administrateur local pour un seul ordinateur, pour des applications spécifiques, telles que Exchange Server ou SQL Server ou pour la totalité d’un domaine. Sous Utilisateurs, les autorisations et paramètres de stratégie de groupe peuvent s’appliquer à tous les utilisateurs d’une organisation ou seulement à un sous-ensemble d’employés d’un service donné.
En outre, si votre organisation est soumise à des exigences légales, les activités utilisateur, telles que l’accès aux dossiers médicaux ou à des données financières, peuvent être soumises à un audit pour vérifier le respect de ces exigences.
Pour réaliser un audit efficace des activités utilisateur, commencez par répertorier les différents types d’utilisateurs de votre organisation et les types de données auxquels ils ont besoin d’accéder, ainsi que les données interdites d’accès.
Par ailleurs, si des utilisateurs externes peuvent accéder aux données de votre organisation, veillez à les identifier, y compris s’ils appartiennent à un partenaire commercial, un client ou un utilisateur général, les données auxquelles ils ont accès et les autorisations qu’ils détiennent pour accéder à ces données.
Le tableau suivant illustre une analyse des utilisateurs d’un réseau. Bien que notre exemple contienne une seule colonne intitulée « Considérations relatives à la possibilité d’un audit », vous voudrez peut-être créer des colonnes supplémentaires pour distinguer les différents types d’activité réseau, telles que les heures d’ouverture de session et l’utilisation des autorisations.
| Groupes | Données | Considérations relatives à la possibilité d’un audit |
|---|---|---|
Administrateurs de comptes |
Comptes d’utilisateurs et groupes de sécurité |
Les administrateurs de comptes sont totalement habilités à créer de nouveaux comptes d’utilisateurs, réinitialiser des mots de passe et modifier l’appartenance à des groupes de sécurité. Nous avons besoin d’un mécanisme pour surveiller ces modifications. |
Membres de l’unité d’organisation Finance |
Dossiers financiers |
Les utilisateurs de Finance ont un accès en lecture/écriture aux dossiers financiers critiques, mais n’ont pas la possibilité de modifier les autorisations sur ces ressources. Ces dossiers financiers sont soumis aux exigences de conformité réglementaire du gouvernement. |
Partenaires externes |
Projet Z |
Les employés d’organisations partenaires ont un accès en lecture/écriture à certaines données du projet et à certains serveurs relatifs au projet Z, mais pas à d’autres serveurs ou données du réseau. |
Ordinateurs
Les exigences de sécurité et d’audit, ainsi que le volume des événements d’audit peuvent varier considérablement selon le type d’ordinateur d’une organisation. Ces critères peuvent être basés sur les éléments suivants :
Si les ordinateurs sont des serveurs, des ordinateurs de bureau ou des ordinateurs portables.
Les applications importantes exécutées par les ordinateurs, comme Exchange Server, SQL Server ou Forefront Identity Manager.
Remarque
Si les applications de serveur (notamment Exchange Server et SQL Server) disposent de paramètres d’audit. Pour plus d’informations sur l’audit dans Exchange Server, voir Guide sur la sécurité dans Exchange 2010. Pour plus d’informations sur l’audit dans SQL Server 2008, voir Audit (moteur de base de données). Pour SQL Server 2012, voir SQL Server Audit (moteur de base de données).
Les versions de système d’exploitation.
Remarque
La version du système d’exploitation détermine les options d’audit disponibles et le volume des données d’événement d’audit.
La valeur commerciale des données.
Par exemple, un serveur web accessible par les utilisateurs externes requiert des paramètres d’audit autres qu’une autorité de certification (CA) racine qui n’est jamais exposée à l’Internet public ou même aux utilisateurs réguliers du réseau de l’organisation.
Le tableau suivant illustre une analyse des ordinateurs d’un réseau.
| Type d’ordinateur et applications | Version du système d’exploitation | Emplacement |
|---|---|---|
Serveurs hébergeant Exchange Server |
Windows Server 2008 R2 |
Unité d’organisation ExchangeSrv |
Serveurs de fichiers |
Windows Server 2012 |
Séparer les unités d’organisation de ressource par département et (dans certains cas) par emplacement |
Ordinateurs portables |
Windows Vista et Windows 7 |
Séparer les unités d’organisation d’ordinateur portable par département et (dans certains cas) par emplacement |
Serveurs web |
Windows Server 2008 R2 |
Unité d’organisation WebSrv |
Les exigences réglementaires
De nombreux secteurs et paramètres régionaux ont des exigences strictes et spécifiques pour les opérations de réseau et sur la protection des ressources. Dans les secteurs des soins de santé et financiers, par exemple, il existe des directives strictes concernant les personnes autorisées à accéder aux dossiers et leur utilisation. De nombreux pays possèdent des règles de confidentialité strictes. Travaillez en collaboration avec le département juridique de votre organisation et les autres services responsables des exigences réglementaires pour identifier ces exigences. Prenez ensuite en considération les options d’audit et de configuration permettant de respecter ces réglementations et d’en vérifier la conformité.
Pour plus d’informations, voir System Center Process Pack for IT GRC (en anglais).
Mise en correspondance de la stratégie d’audit de sécurité avec des groupes d’utilisateurs, des ordinateurs et des ressources de votre organisation
La stratégie de groupe permet d’appliquer votre stratégie d’audit de sécurité à des groupes définis d’utilisateurs, d’ordinateurs et de ressources. Pour mettre en correspondance une stratégie d’audit de sécurité avec ces groupes définis dans votre organisation, vous devez comprendre les considérations suivantes pour utiliser une stratégie de groupe en vue d’appliquer des paramètres de stratégie d’audit de sécurité :
Les paramètres de stratégie identifiés peuvent être appliqués à l’aide d’un ou plusieurs objets de stratégie de groupe. Pour créer et modifier un objet de stratégie de groupe, utilisez la Console de gestion des stratégies de groupe (GPMC). L’utilisation de la Console de gestion des stratégies de groupe pour associer un objet de stratégie de groupe aux sites, domaines et unités d’organisation Active Directory sélectionnés, permet d’appliquer les paramètres de stratégie dans l’objet de stratégie de groupe aux utilisateurs et ordinateurs de ces objets Active Directory. Une unité d’organisation est le conteneur Active Directory de niveau le moins élevé auquel vous pouvez affecter des paramètres de stratégie de groupe.
Pour chaque paramètre de stratégie sélectionné, vous devez décider si celui-ci doit être appliqué au sein de l’organisation, ou uniquement aux utilisateurs ou ordinateurs sélectionnés. Vous pouvez ensuite combiner ces paramètres de stratégie d’audit dans les objets de stratégie de groupe et les lier aux conteneurs Active Directory appropriés.
Par défaut, les options de stratégie définies dans les objets de stratégie de groupe et liées aux niveaux supérieurs de sites, domaines et unités d’organisation Active Directory sont héritées par toutes les unités d’organisation à des niveaux inférieurs. Toutefois, un objet de stratégie de groupe lié à un niveau inférieur peut remplacer les stratégies héritées.
Supposons que vous utilisiez un objet de stratégie de groupe de domaine pour attribuer un groupe de paramètres d’audit au niveau de l’organisation, mais que vous souhaitiez qu’une unité d’organisation spécifique obtienne un groupe défini de paramètres supplémentaires. Pour ce faire, vous pouvez lier un second objet de stratégie de groupe à cette unité d’organisation de niveau inférieur spécifique. Par conséquent, un paramètre d’audit de connexion appliqué au niveau de l’unité d’organisation remplacera un paramètre d’audit de connexion incompatible appliqué au niveau du domaine (sauf si vous avez suivi une procédure spéciale pour appliquer le traitement en boucle de la stratégie de groupe).
Les stratégies d’audit sont des stratégies d’ordinateur. Par conséquent, elles doivent être appliquées par le biais d’objets de stratégie de groupe qui s’appliquent aux unités d’organisation de l’ordinateur, et non à celles de l’utilisateur. Toutefois, dans la plupart des cas, vous pouvez appliquer des paramètres d’audit uniquement pour les groupes d’utilisateurs et les ressources spécifiés en configurant des listes de contrôle d’accès système sur les objets pertinents. Cela active l’audit pour un groupe de sécurité qui contient uniquement les utilisateurs spécifiés.
Par exemple, vous pouvez configurer une liste de contrôle d’accès système pour un dossier appelé Données de paie sur le serveur de comptabilité 1. Cette opération permet d’activer l’audit sur les tentatives de suppression d’objets de ce dossier effectuées par les membres de l’unité d’organisation Processus de paie. Le paramètre de stratégie d’audit Accès aux objets\Auditer le système de fichiers s’applique au serveur de comptabilité 1, mais étant donné qu’il requiert une liste SACL correspondante pour les ressources, seules les actions exécutées par des membres de l’unité d’organisation Processus de paie sur le dossier Données de paie génèrent des événements d’audit.
Des paramètres de stratégie d’audit de sécurité avancés ont été introduits dans Windows Server 2008 R2 ou Windows 7 et peuvent être appliqués à ces systèmes d’exploitation et aux versions ultérieures. Ces stratégies d’audit avancées peuvent être appliquées uniquement à l’aide d’une stratégie de groupe.
Important
Que vous appliquiez des stratégies d’audit avancées à l’aide d’une stratégie de groupe ou de scripts d’ouverture de session, n’utilisez pas à la fois les paramètres de stratégie d’audit de base figurant sous Stratégies locales\Stratégie d’audit et les paramètres avancés disponibles sous Paramètres de sécurité\Configuration avancée de la stratégie d’audit. L’utilisation combinée de paramètres de stratégie d’audit avancée et de base risque d’engendrer des résultats inattendus.
Si vous utilisez les paramètres de configuration avancée de la stratégie d’audit ou des scripts d’ouverture de session pour appliquer des stratégies d’audit avancées, veillez à activer le paramètre de stratégie Audit : force les paramètres de sous-catégorie de stratégie d’audit (Windows Vista ou version ultérieure) à se substituer aux paramètres de catégorie de stratégie d’audit sous Stratégies locales\Options de sécurité. Cette opération permet d’éviter les conflits entre des paramètres similaires, en ignorant systématiquement l’audit de sécurité de base.
Voici quelques exemples illustrant comment appliquer des stratégies d’audit à la structure d’unité d’organisation d’une organisation :
Appliquez des paramètres relatifs à l’activité des données à une unité d’organisation contenant des serveurs de fichiers. Si votre organisation dispose de serveurs contenant des données particulièrement sensibles, envisagez de les insérer dans une unité d’organisation distincte afin de pouvoir configurer une stratégie d’audit plus précise pour ces serveurs et de l’appliquer.
Appliquez des stratégies d’audit relatives à l’activité utilisateur à une unité d’organisation qui contient tous les ordinateurs de l’organisation. Si votre organisation place les utilisateurs dans des unités d’organisation en fonction du service dans lequel ils travaillent, envisagez de configurer et d’appliquer des autorisations de sécurité plus détaillées sur les ressources critiques qui sont accessibles par les employés travaillant dans des domaines plus sensibles, tels que les administrateurs réseau ou le service juridique.
Appliquez des stratégies d’audit relatives à l’activité du réseau et du système aux unités d’organisation qui contiennent les serveurs les plus critiques de l’organisation, tels que les contrôleurs de domaine, les autorités de certification, les serveurs de messagerie ou les serveurs de base de données.
Mise en correspondance de vos objectifs d’audit de sécurité avec une configuration de stratégie d’audit de sécurité
Une fois vos objectifs d’audit de sécurité identifiés, vous pouvez commencer à les mettre en correspondance avec une configuration de stratégie d’audit de sécurité. Cette configuration de stratégie d’audit doit répondre à vos objectifs d’audit de sécurité les plus critiques, mais également aux contraintes de votre organisation, telles que le nombre d’ordinateurs à surveiller, le nombre d’activités à auditer, le nombre d’événements d’audit que la configuration d’audit souhaitée va générer et le nombre d’administrateurs disponibles pour analyser et agir sur les données d’audit.
Pour créer votre configuration de stratégie d’audit, vous devez procéder comme suit :
Explorez tous les paramètres de stratégie d’audit utilisables pour répondre à vos besoins.
Choisissez les paramètres d’audit qui répondent le plus efficacement aux exigences d’audit identifiées dans la section précédente.
Vérifiez que les paramètres choisis sont compatibles avec les systèmes d’exploitation en cours d’exécution sur les ordinateurs que vous souhaitez surveiller.
Décidez des options de configuration (Réussite, Échec ou les deux) à utiliser pour les paramètres d’audit.
Déployez les paramètres d’audit dans un environnement de laboratoire ou de test pour vérifier qu’ils répondent aux résultats souhaités en termes de volume, de prise en charge et d’exhaustivité. Puis, déployez les paramètres d’audit dans un environnement de production pilote pour vous assurer que vos estimations en termes de quantité de données d’audit générée par votre plan d’audit sont réalistes et que vous pouvez gérer ces données.
Exploration des options de stratégie d’audit
Il est possible de visualiser et de configurer les paramètres de stratégie d’audit de sécurité dans les versions de Windows prises en charge aux emplacements suivants :
Paramètres de sécurité\Stratégies locales\Stratégie d’audit.
Paramètres de sécurité\Stratégies locales\Options de sécurité.
Paramètres de sécurité\Configuration avancée de la stratégie d’audit. Pour en savoir plus, voir Paramètres de stratégie de sécurité d’audit avancée.
Choix des paramètres d’audit à utiliser
Selon vos objectifs, divers ensembles de paramètres d’audit peuvent vous être particulièrement utiles. Par exemple, certains paramètres sous Paramètres de sécurité\Configuration avancée de la stratégie d’audit peuvent être utilisés pour surveiller les types d’activités suivants :
Données et ressources
Utilisateurs
Réseau
Important
Les paramètres décrits dans la référence peuvent également fournir des informations précieuses sur l’activité auditée par un autre paramètre. Par exemple, les paramètres utilisés pour surveiller l’activité utilisateur et réseau sont d’une utilité évidente pour la protection de vos ressources de données. De même, toute tentative de compromettre les ressources de données a d’immenses répercussions sur l’état global du réseau et potentiellement sur la façon dont vous gérez les activités des utilisateurs sur le réseau.
Activité des données et des ressources
Pour de nombreuses organisations, compromettre les ressources de données de l’organisation peut provoquer d’énormes pertes financières, auxquelles s’ajoutent la perte de prestige et la responsabilité légale. Si votre organisation dispose de ressources de données critiques qui doivent être protégées contre toute violation, les paramètres suivants peuvent fournir des données de surveillance et d’investigation extrêmement utiles :
Accès aux objets\Auditer le partage de fichiers. Ce paramètre de stratégie vous permet de suivre le contenu ayant fait l’objet d’un accès, la source (adresse IP et port) de la demande, et le compte d’utilisateur utilisé pour l’accès. Le volume de données d’événement générées par ce paramètre varie en fonction du nombre d’ordinateurs clients tentant d’accéder au partage de fichiers. Sur un serveur de fichiers ou un contrôleur de domaine, le volume peut être élevé en raison d’un accès SYSVOL par les ordinateurs clients pour le traitement de la stratégie. S’il n’est pas nécessaire d’enregistrer l’accès de routine par les ordinateurs clients disposant d’autorisations sur le partage de fichiers, vous voudrez peut-être enregistrer les événements d’audit portant uniquement sur les échecs de tentatives d’accès au partage de fichiers.
Accès aux objets\Auditer le système de fichiers. Ce paramètre de stratégie détermine si le système d’exploitation audite les tentatives d’accès aux objets du système de fichiers de la part des utilisateurs. Les événements d’audit sont générés uniquement pour les objets (tels que les fichiers et dossiers) disposant de listes de contrôle d’accès système configurées et uniquement si le type d’accès demandé (par exemple, en écriture, en lecture ou pour modification) et le compte qui effectue la demande correspondent aux paramètres de la liste SACL.
Si l’audit des réussites est activé, une entrée d’audit est générée chaque fois qu’un compte accède avec succès à un objet de système de fichiers possédant une liste de contrôle d’accès système correspondante. Si l’audit des échecs est activé, une entrée d’audit est générée chaque fois qu’un utilisateur ne parvient pas à accéder à un objet de système de fichiers possédant une liste de contrôle d’accès système correspondante. La quantité de données d’audit générées par le paramètre de stratégie Système de fichiers d’audit peut varier considérablement en fonction du nombre d’objets configurés pour être surveillés.
Remarque
Pour auditer les tentatives d’accès de l’utilisateur à tous les objets du système de fichiers d’un ordinateur, utilisez les paramètres d’audit de l’accès global aux fichiers Registre (Audit de l’accès global aux fichiers) ou Système de fichiers (Audit de l’accès global aux fichiers).
Accès aux objets\Auditer la manipulation de handle. Ce paramètre de stratégie de sécurité détermine si le système d’exploitation génère ou non des événements d’audit lorsqu’un handle est ouvert ou fermé pour un objet. Seuls les objets dotés de listes de contrôle d’accès système configurées génèrent ces événements, et uniquement si l’opération de handle tentée correspond à la liste SACL.
Le volume des événements peut être élevé, selon la manière dont les listes de contrôle d’accès système sont configurées. Lorsqu’elle est utilisée conjointement avec les paramètres de stratégie Auditer le système de fichiers ou Auditer le Registre, le paramètre de stratégie Auditer la manipulation de handle peut fournir à un administrateur des données d’audit de motif d’accès utiles détaillant précisément les autorisations sur lesquelles l’événement d’audit est basé. Par exemple, si un fichier est configuré comme une ressource en lecture seule et un utilisateur essaie d’enregistrer des modifications dans ce dernier, l’événement d’audit enregistre uniquement l’événement, mais également les autorisations qui ont été utilisées (ou tenté d’être utilisées) pour enregistrer les modifications du fichier.
Audit de l’accès global aux objets. Un nombre croissant d’organisations utilise l’audit de sécurité afin de respecter les exigences réglementaires qui régissent la confidentialité et la sécurité des données. Toutefois, il peut être très difficile de montrer que des contrôles stricts sont appliqués. Pour résoudre ce problème, les versions de Windows prises en charge comprennent deux paramètres de stratégie Audit de l’accès global aux objets : un pour le Registre et un pour le système de fichiers. La configuration de ces paramètres a pour effet d’appliquer une liste de contrôle d’accès système global sur tous les objets de cette classe d’un système, qui ne peut pas être remplacée ou contournée.
Important
Les paramètres de stratégie Audit de l’accès global aux objets doivent être configurés et appliqués conjointement avec les paramètres de stratégie d’audit Auditer le système de fichiers et Auditer le Registre de la catégorie Accès aux objets. Pour en savoir plus sur l’utilisation des paramètres de stratégie Audit de l’accès global aux objets, voir la Procédure pas à pas d’audit de sécurité avancée.
Activité utilisateur
Les paramètres de la section précédente se rapportent à une activité impliquant les fichiers, les dossiers et les partages réseau stockés sur un réseau et les paramètres de cette section portent sur les utilisateurs, y compris les employés, les partenaires et les clients, qui peuvent tenter d’accéder à ces ressources.
Dans la plupart des cas, ces tentatives seront légitimes, c’est pourquoi un réseau doit rendre les données essentielles directement accessibles à ces utilisateurs. Cependant, dans d’autres cas, des employés, des partenaires et d’autres personnes peuvent tenter d’accéder aux ressources sans raison valable. L’audit de sécurité peut permettre de suivre une grande diversité d’activités utilisateur sur un ordinateur spécifique pour diagnostiquer et résoudre les problèmes des utilisateurs légitimes et identifier et s’occuper des activités interdites. Voici plusieurs paramètres importants que vous devez prendre en considération pour suivre l’activité utilisateur sur votre réseau :
Connexion de compte \Auditer la validation des informations d’identification. Il s’agit d’un paramètre de stratégie extrêmement important qui vous permet d’effectuer le suivi de chaque tentative ayant réussi ou non à présenter des informations d’identification pour une ouverture de session utilisateur. En particulier, une succession de tentatives infructueuses peut indiquer qu’un utilisateur ou une application utilise des informations d’identification qui ne sont plus valides, ou tente d’utiliser successivement plusieurs informations d’identification dans l’espoir qu’une de ces tentatives aboutira. Ces événements se produisent sur l’ordinateur de référence pour les informations d’identification. Pour les comptes de domaine, le contrôleur de domaine fait autorité. Pour les comptes locaux, l’ordinateur local fait autorité.
Suivi détaillé\Auditer la création du processus et Suivi détaillé\Auditer la fin du processus. Ces paramètres de stratégie peuvent vous permettre de surveiller les applications qu’un utilisateur ouvre et ferme sur un ordinateur.
Accès DS\Auditer l’accès au service d’annuaire et Accès DS\Auditer les modifications du service d’annuaire. Ces paramètres de stratégie offrent une piste d’audit détaillée des tentatives d’accès, de modification, de suppression, de déplacement ou d’annulation de suppression d’objets des services de domaine Active Directory (AD DS). Seuls les administrateurs de domaine disposent des autorisations permettant de modifier des objets AD DS, c’est la raison pour laquelle il est extrêmement important d’identifier les tentatives de modification malveillantes de ces objets. Par ailleurs, bien que les administrateurs de domaine figurent parmi les employés les plus fiables d’une organisation, l’utilisation des paramètres Auditer l’accès au service d’annuaire et Auditer les modifications du service d’annuaire vous permettent de surveiller et de vérifier que seules des modifications approuvées sont apportées aux services de domaine Active Directory. Ces événements d’audit ne sont enregistrés que sur les contrôleurs de domaine.
Ouverture/Fermeture de session\Auditer le verrouillage du compte. Un autre scénario de sécurité courant se produit lorsqu’un utilisateur tente de se connecter avec un compte qui a été verrouillé. Il est important d’identifier ces événements et de déterminer si la tentative d’utilisation d’un compte verrouillé est malveillante.
Ouverture/Fermeture de session\Auditer la fermeture de session et Ouverture/Fermeture de session\Auditer l’ouverture de session. Les événements d’ouverture et de fermeture de session sont essentiels pour le suivi de l’activité utilisateur et la détection des attaques potentielles. Les événements d’ouverture de session sont liés à la création de sessions de connexion et se produisent sur l’ordinateur ayant fait l’objet de l’accès. Pour une ouverture de session interactive, les événements sont générés sur l’ordinateur ayant fait l’objet de la connexion. Pour une connexion réseau, telle que l’accès à une ressource partagée, les événements sont générés sur l’ordinateur qui héberge la ressource ayant fait l’objet de l’accès. Les événements de fermeture de session sont générés lors de la fin de sessions de connexion.
Remarque
Il n’existe aucun événement d’échec pour l’activité de fermeture de session, car les échecs de fermeture de session (par exemple, lorsqu’un système s’arrête brusquement) ne génèrent pas d’enregistrement d’audit. Les événements de fermeture de session ne sont pas totalement fiables. Par exemple, aucun événement d’échec n’est généré lorsque l’ordinateur est mis hors tension sans avoir été déconnecté et éteint correctement.
Ouverture/Fermeture de session\Auditer l’ouverture de session spéciale. Une ouverture de session spéciale confère des droits équivalents à ceux d’un administrateur et peut être utilisée pour élever un processus à un niveau supérieur. Il est recommandé de suivre ces types d’ouvertures de session. Pour en savoir plus sur cette fonctionnalité, voir l’article 947223 de la Base de connaissances Microsoft.
Accès aux objets\Auditer les services de certification. Ce paramètre de stratégie vous permet de suivre et de surveiller une grande diversité d’activités sur un ordinateur qui héberge les services de rôle des services de certificats Active Directory pour vous assurer que seuls les utilisateurs autorisés effectuent ou tentent d’effectuer ces tâches et que seules les tâches autorisées ou souhaitées sont réalisées.
Accès aux objets\Auditer le système de fichiers et Accès aux objets\Auditer le partage de fichiers. Ces paramètres de stratégie sont décrits dans la section précédente.
Accès aux objets\Auditer la manipulation de handle. Ce paramètre de stratégie et son rôle dans la fourniture de données d’audit de motif d’accès sont décrits dans la section précédente.
Accès aux objets\Auditer le Registre. La surveillance des modifications apportées au Registre est l’un des moyens les plus critiques dont un administrateur dispose pour s’assurer qu’aucun utilisateur malveillant n’effectue de modifications aux paramètres essentiels de l’ordinateur. Les événements d’audit sont générés uniquement pour les objets disposant de listes de contrôle d’accès système configurées et uniquement si le type d’accès demandé (par exemple, en écriture, en lecture ou pour modification) et le compte qui effectue la demande correspondent aux paramètres de la liste SACL.
Important
Sur les systèmes critiques où toutes les tentatives de modification des paramètres de Registre doivent être suivies, vous pouvez combiner le paramètre de stratégie Auditer le Registre avec les paramètres de stratégie Audit de l’accès global aux fichiers pour vous assurer que toutes les tentatives de modification des paramètres de Registre sur un ordinateur font l’objet d’un suivi.
Accès aux objets\Auditer SAM. Le Gestionnaire de comptes de sécurité est une base de données présente sur les ordinateurs exécutant Windows qui stocke les comptes d’utilisateurs et les descripteurs de sécurité pour les utilisateurs sur l’ordinateur local. Les modifications apportées aux objets utilisateur et de groupe sont suivies par la catégorie d’audit Gestion des comptes. Toutefois, des comptes d’utilisateurs disposant de droits d’utilisateur appropriés peuvent potentiellement altérer les fichiers, dans lesquels les informations de compte et de mot de passe sont stockées dans le système, en contournant les événements de Gestion des comptes.
Utilisation de privilège\Auditer l’utilisation de privilèges sensibles. Les paramètres de stratégie Utilisation de privilège et les événements d’audit vous offrent la possibilité d’effectuer le suivi de l’utilisation de certains droits sur un ou plusieurs systèmes. Si vous configurez ce paramètre de stratégie, un événement d’audit est généré lorsque des demandes de droits sensibles sont effectuées.
Activité réseau
Les paramètres de stratégie d’activité réseau suivants permettent de surveiller les problèmes liés à la sécurité qui ne sont pas nécessairement couverts dans les catégories d’activité utilisateur ou les données, mais qui peuvent être tout aussi importants pour la protection et l’état du réseau.
Gestion des comptes Les paramètres de stratégie de cette catégorie peuvent servir à suivre les tentatives de création, de suppression ou de modification de comptes d’ordinateur ou d’utilisateur, de groupes de sécurité ou de groupes de distribution. La surveillance de ces activités vient en complément des stratégies de surveillance que vous sélectionnez dans les sections relatives à l’activité de l’utilisateur et des données.
Connexion de compte\Auditer le service d’authentification Kerberos et Connexion de compte\Auditer les opérations de ticket du service Kerberos. Auditer les paramètres de stratégie dans la catégorie Connexion de compte surveille les activités liées à l’utilisation des informations d’identification de compte de domaine. Ces paramètres de stratégie viennent en complément des paramètres de stratégie de la catégorie Ouverture/Fermeture de session. Le paramètre de stratégie Auditer le service d’authentification Kerberos vous permet de surveiller l’état du service Kerberos et les menaces potentielles pesant sur celui-ci. Le paramètre de stratégie Auditer les opérations de ticket du service Kerberos vous permet de surveiller l’utilisation des tickets du service Kerberos.
Remarque
Les paramètres de stratégie Connexion de compte s’appliquent uniquement à des activités de compte de domaine spécifiques, quel que soit l’ordinateur faisant l’objet de l’accès, tandis que les paramètres de stratégie Ouverture/Fermeture de session s’appliquent à l’ordinateur qui héberge les ressources en cours d’accès.
Connexion de compte\Auditer d’autres événements d’ouverture de session. Ce paramètre de stratégie peut servir à suivre un certain nombre d’activités réseau différentes, y compris les tentatives de création de connexions Bureau à distance, de connexions réseau câblé et sans fil.
Accès DS. Les paramètres de stratégie de cette catégorie vous permettent de surveiller les services de rôle AD DS, qui fournissent des données de compte, valident les ouvertures de session, mettent à jour les autorisations d’accès au réseau et fournissent d’autres services essentiels au fonctionnement correct et sécurisé d’un réseau. Par conséquent, l’audit des droits d’accès et de modification de la configuration d’un contrôleur de domaine peut permettre à une organisation de maintenir la fiabilité et la sécurité d’un réseau. En outre, l’une des principales tâches effectuées par les services AD DS est la réplication des données entre les contrôleurs de domaine.
Ouverture/Fermeture de session\Auditer le mode étendu IPsec, Ouverture/Fermeture de session\Auditer le mode principal IPsec, et Ouverture/Fermeture de session\Auditer le mode rapide IPsec. De nombreux réseaux prennent en charge un grand nombre d’utilisateurs externes, y compris des partenaires et des employés distants. Étant donné que ces utilisateurs se trouvent en dehors des limites du réseau de l’entreprise, IPsec est souvent utilisé pour aider à protéger les communications sur Internet par l’activation de l’authentification de l’homologue au niveau du réseau, l’authentification de l’origine des données, l’intégrité des données, la confidentialité des données (chiffrement) et la protection contre les attaques par relecture. Vous pouvez utiliser ces paramètres pour vous assurer que les services IPsec fonctionnent correctement.
Ouverture/Fermeture de session\Auditer le serveur NPS (Network Policy Server). Les organisations qui utilisent RADIUS (IAS) et la Protection d’accès réseau (NAP) pour définir et gérer les exigences de sécurité pour les utilisateurs externes peuvent utiliser ce paramètre de stratégie pour surveiller l’efficacité de ces stratégies et pour déterminer si quelqu’un essaie de contourner ces protections.
Changement de stratégie. Ces événements et paramètres de stratégie vous permettent d’effectuer le suivi des modifications apportées aux stratégies de sécurité importantes sur un système ou un réseau local. Étant donné que les stratégies sont généralement établies par les administrateurs pour assurer la protection des ressources réseau, toute modification ou tentative de modification de ces stratégies peut constituer un aspect important de la gestion de la sécurité d’un réseau.
Changement de stratégie\Auditer les modifications de stratégie. Ce paramètre de stratégie vous permet de surveiller les modifications apportées à la stratégie d’audit. Si des utilisateurs malveillants obtiennent des informations d’identification d’administrateur de domaine, ils peuvent désactiver temporairement les paramètres de stratégie d’audit de sécurité essentiels afin que leurs autres activités sur le réseau ne puissent pas être détectées.
Changement de stratégie\Auditer la modification de la stratégie de plateforme de filtrage. Ce paramètre de stratégie peut servir à surveiller une grande diversité de modifications apportées aux stratégies IPsec d’une organisation.
Changement de stratégie\Auditer la modification de la stratégie de niveau règle MPSSVC. Ce paramètre de stratégie détermine si le système d’exploitation génère des événements d’audit lorsque des modifications sont apportées aux règles de stratégie du service de Protection Microsoft (MPSSVC.exe) utilisé par le pare-feu Windows. Les modifications apportées aux règles de pare-feu sont importantes pour comprendre l’état de sécurité de l’ordinateur et l’efficacité de la protection de ce dernier contre les attaques réseau.
Confirmer la compatibilité des versions du système d’exploitation
Toutes les versions de Windows ne prennent pas en charge les paramètres de stratégie d’audit avancée ou l’utilisation d’une stratégie de groupe pour appliquer et gérer ces paramètres. Pour en savoir plus, voir Éditions de Windows prenant en charge la configuration avancée de stratégies d’audit
Les paramètres de stratégie d’audit sous Stratégies locales\Stratégie d’audit coïncident avec ceux se trouvant sous Paramètres de sécurité\Configuration avancée de la stratégie d’audit. Toutefois, les catégories et sous-catégories de stratégie d’audit avancée permettent de concentrer vos efforts d’audit sur les activités les plus critiques tout en réduisant la quantité de données d’audit moins importantes pour votre organisation.
Par exemple, Stratégies locales\Stratégie d’audit contient un seul paramètre nommé Auditer les événements de connexion aux comptes. Lorsque ce paramètre est configuré, il génère au moins 10 types d’événements d’audit.
En comparaison, la catégorie Connexion de compte sous Paramètres de sécurité\Configuration avancée de la stratégie d’audit fournit les paramètres avancés suivants, qui permettent d’affiner votre audit :
Validation des informations d’identification
Service d’authentification Kerberos
Opérations de ticket du service Kerberos
Autres événements d’ouverture de session
Ces paramètres vous permettent de contrôler beaucoup plus étroitement les activités ou les événements générant des données d’événement. Certaines activités et événements sont plus importants pour votre organisation, par conséquent, définissez la portée de votre stratégie d’audit de sécurité aussi précisément que possible.
Réussite, échec ou les deux
Quels que soient les paramètres d’événement inclus dans votre plan, vous devez également décider si vous souhaitez enregistrer un événement en cas d’échec ou de réussite d’une activité ou les deux. Il s’agit d’une question importante dont la réponse repose sur l’importance de l’événement et ce qu’implique la décision en termes de volume d’événements.
Par exemple, sur un serveur de fichiers auquel des utilisateurs légitimes accèdent fréquemment, vous voudrez peut-être enregistrer un événement uniquement en cas d’échec d’une tentative d’accès aux données qui peut révéler l’existence d’un utilisateur malveillant ou non autorisé. Et dans ce cas, la journalisation des tentatives réussies d’accès au serveur aurait pour effet de remplir rapidement le journal des événements avec des événements sans intérêt.
En revanche, si le partage de fichier comporte des informations extrêmement sensibles et utiles, telles que des secrets commerciaux, vous voudrez peut-être enregistrer toutes les tentatives d’accès, réussies ou non, afin de disposer d’une piste d’audit de chaque utilisateur ayant accédé à la ressource.
Planification de la surveillance et de la gestion de l’audit de sécurité
Les réseaux peuvent contenir des centaines de serveurs exécutant des services critiques ou stockant des données critiques, dont la totalité doit être surveillée. Le nombre d’ordinateurs clients sur le réseau peut facilement être d’une dizaine ou même de centaines de milliers. Cela ne pose aucun problème si le ratio de serveurs ou d’ordinateurs clients par administrateur est faible. Même si un administrateur responsable de l’audit des problèmes de sécurité et de performances a relativement peu d’ordinateurs à surveiller, vous devez décider de la manière dont il obtient les données d’événement à examiner. Voici quelques options permettant d’obtenir des données d’événement.
Vous conservez les données d’événement sur un ordinateur local jusqu’à ce qu’un administrateur se connecte pour les examiner ? Si tel est le cas, l’administrateur doit avoir un accès physique ou à distance à l’observateur d’événements sur chaque ordinateur client ou serveur, et les paramètres d’accès à distance et de pare-feu de chaque ordinateur client ou serveur doivent être configurés pour permettre cet accès. En outre, vous devez déterminer la fréquence à laquelle un administrateur peut visiter chaque ordinateur et ajuster la taille du journal d’audit afin que des informations critiques ne soient pas supprimées si le journal atteint sa capacité maximale.
Vous collectez des données d’événement afin qu’elles puissent être examinées à partir d’une console centrale ? Si tel est le cas, il existe plusieurs produits de gestion d’ordinateur, tels que les services ACS dans Operations Manager 2007 et 2012, qui permettent de collecter et de filtrer des données d’événement. Normalement cette solution permet à un administrateur unique de passer en revue de grandes quantités de données à l’aide de l’option de stockage local. Mais dans certains cas, cela peut rendre plus difficiles la détection de clusters d’événement associés susceptibles de se produire sur un ordinateur unique.
En outre, que vous choisissiez de laisser les données d’audit sur un ordinateur individuel ou de les rassembler à un emplacement central, vous devez déterminer la taille du fichier journal et ce qui doit se produire lorsque celui-ci atteint sa taille maximale. Pour configurer ces options, ouvrez l’observateur d’événements, développez Journaux Windows, cliquez avec le bouton droit sur Sécurité, puis cliquez sur Propriétés. Vous pouvez configurer les propriétés suivantes :
Remplacer les événements si nécessaire (les événements les plus anciens en premier). Il s’agit de l’option par défaut, qui est une solution acceptable dans la plupart des situations.
Archiver le journal lorsqu’il est plein, ne pas effacer d’événements. Cette option peut être utilisée lorsque toutes les données du journal doivent être enregistrées, mais elle suppose également que vous n’examinez peut-être pas assez souvent les données d’audit.
Ne pas remplacer les événements (nettoyage manuel du journal). Cette option interrompt la collecte de données d’audit dès que le fichier journal atteint sa taille maximale. Les anciennes données sont conservées aux dépens des événements d’audit les plus récents. Utilisez cette option uniquement si vous ne souhaitez pas perdre de données d’audit, ne souhaitez pas créer d’archive du journal des événements et que vous vous êtes engagé à examiner les données avant que la taille maximale du journal soit atteinte.
Vous pouvez également configurer la taille du journal d’audit et d’autres options de gestion essentielles à l’aide des paramètres de stratégie de groupe. Vous pouvez configurer les paramètres du journal des événements aux emplacements suivants de la console GPMC : Configuration ordinateur\Modèles d’administration\Composants Windows\Service Journal des événements\Sécurité. Les options disponibles sont les suivantes :
Taille maximale du journal (Ko). Ce paramètre de stratégie spécifie la taille maximale des fichiers journaux. Les interfaces utilisateur de l’éditeur d’objets de stratégie de groupe locale et de l’observateur d’événements vous permettent d’entrer des valeurs pouvant atteindre 2 To. Si ce paramètre n’est pas configuré, les journaux d’événements ont une taille maximale par défaut de 20 mégaoctets.
Accès au journal. Ce paramètre de stratégie détermine les comptes d’utilisateurs ayant accès aux fichiers journaux et les droits d’utilisation accordés.
Conserver les anciens événements. Ce paramètre de stratégie contrôle le comportement du journal des événements lorsque le fichier journal atteint sa taille maximale. Lorsque ce paramètre de stratégie est activé et qu’un fichier journal atteint sa taille maximale, les nouveaux événements ne sont pas écrits dans le journal et sont perdus. Lorsque ce paramètre de stratégie est désactivé et qu’un fichier journal atteint sa taille maximale, les nouveaux événements remplacent les anciens.
Sauvegarder le journal automatiquement lorsqu’il est plein. Ce paramètre de stratégie contrôle le comportement du journal des événements lorsque le fichier journal atteint sa taille maximale et prend effet uniquement si le paramètre de stratégie Conserver les anciens événements est activé. Si vous activez ces paramètres de stratégie, le fichier journal des événements est automatiquement fermé et renommé lorsqu’il est plein. Un nouveau fichier est alors démarré. Si vous désactivez ou ne configurez pas ce paramètre de stratégie et que le paramètre de stratégie Conserver les anciens événements est activé, les nouveaux événements sont ignorés et les anciens sont conservés.
En outre, il est demandé à un nombre croissant d’organisations de stocker les fichiers journaux archivés pendant un certain nombre d’années. Vous devez vous renseigner auprès des responsables de la conformité de votre organisation pour déterminer si de telles recommandations s’appliquent à votre organisation. Pour en savoir plus, voir le Guide de gestion de la conformité informatique.
Déploiement de la stratégie d’audit de sécurité
Avant de déployer la stratégie d’audit dans un environnement de production, il est essentiel de déterminer les effets des paramètres de stratégie que vous avez configurés.
La première étape de l’évaluation de votre déploiement de stratégie d’audit consiste à créer un environnement de test dans un laboratoire et à l’utiliser pour simuler les divers scénarios d’utilisation que vous avez identifiés pour vérifier que les paramètres d’audit sélectionnés sont configurés correctement et générer le type de résultats voulu. Pour en savoir plus sur la configuration d’un environnement de laboratoire pour le test de la stratégie d’audit de sécurité, voir Procédure pas à pas d’audit de sécurité avancée.
Toutefois, à moins de pouvoir exécuter des simulations suffisamment réalistes de modèles d’utilisation du réseau, une configuration de laboratoire ne peut pas vous fournir d’informations précises sur le volume des données d’audit que les paramètres de stratégie d’audit sélectionnés vont générer et le niveau d’efficacité de votre plan de surveillance de ces données. Pour fournir ce type d’informations, vous devez réaliser un ou plusieurs déploiements pilotes. Ces déploiements pilotes peuvent impliquer :
Une seule unité d’organisation contenant les serveurs de données critiques ou une unité d’organisation contenant tous les ordinateurs de bureau à un emplacement donné.
Un ensemble limité de paramètres de stratégie d’audit de sécurité, tels que Ouverture/Fermeture de session et Connexion de compte.
Une combinaison d’unités d’organisation limitées et de paramètres de stratégie d’audit, par exemple, le ciblage des serveurs de l’unité d’organisation Comptabilité uniquement avec les paramètres de stratégie Accès aux objets.
Après avoir correctement effectué un ou plusieurs déploiements limités, vous devez vérifier que les données d’audit collectées peuvent être gérées à l’aide de vos outils et administrateurs de gestion. Une fois la validité du déploiement pilote confirmée, vous devez vérifier que vous disposez des outils et du personnel nécessaire pour développer le déploiement afin d’inclure des unités d’organisation et des ensembles de paramètres de stratégie d’audit supplémentaires jusqu’à ce que le déploiement de production soit terminé.