Journal d'événements
Dernière mise à jour le 08 juin 2004
Sur cette page
Dans ce module
Objectifs
S'applique à
Comment utiliser ce module
Introduction
Taille maximale du journal d'événements
Interdire au groupe local Invité l'accès au journal d'événements
Durée de stockage du journal d'événements
Méthode de conservation du journal d'événements
Délégation de l'accès aux journaux d'événements
Dans ce module
Ce module explique comment configurer des paramètres de stratégie de groupe pouvant servir à définir les attributs des journaux d'événements des applications, de sécurité et système.
Objectifs
Utilisez ce module pour définir les paramètres suivants du journal d'événements :
Taille maximale du journal d'événements
Interdire au groupe local Invité l'accès au journal d'événements
Durée de stockage du journal d'événements
Méthode de conservation du journal d'événements
Délégation de l'accès aux journaux d'événements
S'applique à
Ce module s'applique aux produits et technologies suivants :
système d'exploitation Microsoft Windows® Server™ 2003 ;
service d'annuaire Microsoft Active Directory® ;
Microsoft Windows XP.
Comment utiliser ce module
Ce module a pour objectif de vous fournir un document de référence expliquant les paramètres de sécurité des journaux d'événements disponibles dans les versions actuelles des systèmes d'exploitation Microsoft Windows. C'est un guide associé à deux autres publications de Microsoft : le Guide sur la sécurité de Windows Server 2003 disponible à l'adresse : http://go.microsoft.com/fwlink/?LinkId=14845et le Guide sur la sécurité de Windows XP.
Ce module est organisé de façon à reprendre les principales sections qui apparaissent dans l'interface utilisateur de modification des stratégies de groupe. Il commence par une brève explication du sujet abordé, suivie de la liste des titres de sous-section. Les titres de sous-section correspondent à un paramètre ou à un groupe de paramètres. Chaque paramètre s'accompagne d'une brève explication de la contre-mesure, et contient trois autres sous-sections : vulnérabilité, contre-mesure et impact potentiel. La sous-section Vulnérabilité explique comment la contre-mesure pourrait être exploitée par un pirate si elle était configurée de façon moins sécurisée. La sous-section Contre-mesure indique comment mettre en œuvre la contre-mesure. La sous-section Impact potentiel explique l'impact négatif éventuel de la mise en œuvre de la contre-mesure.
Introduction
Le journal d'événements enregistre les événements sur le système. Le journal de sécurité enregistre les événements d'audit. Le conteneur du journal d'événements de la stratégie de groupe permet de définir les attributs associés aux journaux d'événements des applications, de sécurité et système, notamment la taille maximale des journaux, les droits d'accès à chaque journal, ainsi que les paramètres et les méthodes appliqués à la durée du stockage. Le classeur Microsoft Excel intitulé Windows Default Security and Services Configuration, fourni avec ce guide, explique les paramètres par défaut du journal d'événements. Cliquez ici pour le télécharger.
Les paramètres du journal d'événements peuvent être configurés à l'emplacement suivant dans l'éditeur d'objets Stratégie de groupe :
Configuration ordinateur\Paramètres Windows\Paramètres de sécurité\Journal d'événements\Paramètres des journaux d'événements
Taille maximale du journal d'événements
Le paramètre Taille maximale du journal d'événements indique la taille maximale des journaux d'événements des applications, de sécurité et système. Bien que les interfaces utilisateur de l'Éditeur d'objets de stratégie de groupe et du composant logiciel enfichable de l'Observateur d'événements autorisent des valeurs pouvant atteindre quatre giga-octets, certains facteurs réduisent considérablement la taille maximale de ces journaux.
Le service Journal d'événements utilise des fichiers mappés en mémoire et s'exécute sous le nom eventlog.dll parmi les services du processus services.exe. Lorsque des fichiers sont chargés de cette manière, l'intégralité du fichier est chargée dans la mémoire système. Toutes les versions actuelles de Microsoft Windows comportent une limitation intrinsèque des fichiers mappés en mémoire : aucun processus ne peut mobiliser plus d'un giga-octet de fichiers mappés en mémoire au total. Cela signifie que tous les services exécutés dans le processus services.exe doivent se partager ce pool d'un giga-octet. La mémoire est allouée sous la forme de blocs contigus de 64 kilo-octets. Des problèmes se poseront si le système ne peut pas allouer la mémoire supplémentaire requise pour étendre les fichiers mappés en mémoire.
Cela signifie que quelle que soit la taille qui a été définie pour le service Journal d'événements, les événements ne seront plus consignés si le système ne dispose plus de mémoire pour le fichier mappé en mémoire. Les messages d'erreur ne s'afficheront pas et les événements n'apparaîtront pas du tout dans le journal d'événements ou écraseront les événements consignés précédemment. La fragmentation des fichiers journaux en mémoire peut provoquer des problèmes de performances significatifs sur des systèmes chargés.
En raison de ces restrictions, même si la limite des fichiers mappés en mémoire vous permet en théorie de configurer jusqu'à un giga-octet pour tous les journaux d'événements, et bien que l'interface utilisateur conçue pour configurer les journaux d'événements par le biais de l'Observateur d'événements et de l'éditeur d'objets Stratégie de groupe vous permette de spécifier jusqu'à 4 Go par journal, Microsoft a constaté, qu'en pratique, la taille des fichiers journaux se limite à 300 Mo environ sur la plupart des serveurs. Cela représente 300 méga-octets pour l'ensemble des journaux d'événements réunis. Sur les serveurs membres et les serveurs autonomes Microsoft Windows XP, la taille globale des journaux d'événements des applications, de sécurité et système ne doit pas dépasser 300 Mo. Sur les contrôleurs de domaine, la taille globale de ces journaux, avec le système de nom de domaine (DNS) Microsoft Active Directory et les journaux de réplication, ne doit pas dépasser 300 méga-octets.
Ces limites provoquent des problèmes pour certains clients Microsoft, mais leur résolution nécessite de changer fondamentalement l'architecture permettant l'enregistrement d'événements système. Microsoft prévoit de résoudre ces problèmes dans la prochaine version de Windows en modifiant complètement la conception du système de consignation des événements.
S'il n'existe pas d'équation simple pour déterminer la taille de journal la mieux appropriée à un serveur particulier, vous pouvez déterminer une taille raisonnable en tenant compte des informations présentées ci-dessus — en sachant qu'un événement moyen dans chaque journal requiert environ 500 octets, et en ayant recours à un peu de tâtonnement. Étant donné qu'un événement moyen occupe environ 500 octets dans chaque journal et que la taille des fichiers journaux doit être un multiple de 64 Ko, et que vous pouvez évaluer le nombre moyen d'événements générés chaque jour pour chaque type de journal dans votre entreprise, vous pouvez définir une taille de journal raisonnable pour chaque type de fichier journal.
Par exemple, si votre serveur de fichiers génère quotidiennement 5 000 événements dans son journal de sécurité et que vous voulez vous assurer de disposer en permanence d'au moins 4 semaines de données, configurez la taille de ce journal sur environ 70 Mo. (500 octets * 5000 événements/jour * 28 jours = 70 000 000 octets.) Ensuite, vérifiez de temps en temps au cours des quatre semaines suivantes que les journaux conservent suffisamment d'événements. La taille du journal d'événements et sa présentation doivent être définies pour répondre aux exigences de sécurité que vous avez déterminées lors de la conception du programme de sécurité de l'entreprise.
Ce paramètre de stratégie de groupe peut prendre les valeurs suivantes :
- Valeur en kilo-octets spécifiée par l'utilisateur, comprise entre 64 et 4194240, multiple de 64.
Vulnérabilité
Si vous augmentez de façon significative le nombre d'objets à auditer dans l'entreprise, vous prenez le risque de saturer le journal de sécurité et donc d'entraîner l'arrêt du système. Si cela se produit, le système sera inutilisable jusqu'à ce qu'un administrateur efface le journal de sécurité. Pour éviter cela, désactivez le paramètre Audit : Arrêter immédiatement le système s'il n'est pas possible de se connecter aux audits de sécurité décrit dans le module « Options de sécurité » et augmentez la taille du journal de sécurité.
Contre-mesure
Des stratégies d'audit rationnelles doivent être activées sur tous les ordinateurs de votre organisation afin que les utilisateurs légitimes soient responsables de leurs actes, que toute activité non autorisée puisse être détectée et retracée et que les problèmes système puissent être détectés et diagnostiqués.
Impact potentiel
Lorsque les journaux d'événements sont remplis, il n'est plus possible d'y ajouter de nouvelles entrées à moins que la méthode de conservation de chacun d'entre eux prévoit le remplacement des entrées les plus anciennes par les plus récentes. Vous pouvez limiter le risque que les journaux d'événements ne contiennent que d'anciennes valeurs en définissant la méthode de conservation de telle sorte que les événements les plus anciens soient remplacés par les nouveaux si nécessaire.
Cette action a pour conséquence d'éliminer les événements les plus anciens des journaux. Les pirates peuvent en tirer parti pour masquer les preuves de leur attaque en générant un grand nombre d'autres événements.
Dans l'idéal, les événements faisant l'objet d'une surveillance particulière doivent être envoyés à un serveur à l'aide de Microsoft Operations Manager (MOM) ou d'un outil quelconque de contrôle automatisé. Cette mesure est très importante car dans l'hypothèse où un pirate réussirait à compromettre un serveur, il serait en mesure d'effacer le journal de sécurité. Si tous les événements sont envoyés à un serveur de contrôle, vous pourrez réunir les preuves des opérations menées par le pirate.
Interdire au groupe local Invité l'accès au journal d'événements
Le paramètre Interdire au groupe local Invité l'accès au journal d'événements détermine si l'accès aux journaux d'événements des applications, de sécurité et système est refusé aux invités.
Ce paramètre de stratégie de groupe peut prendre les valeurs suivantes :
Activé
Désactivé
Non défini
Remarque : ce paramètre ne figure pas dans l'objet Stratégie de l'ordinateur local.
Il concerne uniquement les ordinateurs sur Windows 2000 et ses versions ultérieures.
Vulnérabilité
Si un pirate parvient à se connecter à un ordinateur avec les privilèges du compte Invité, il pourrait obtenir des informations importantes sur le système en consultant les journaux d'événements. Ces informations pourraient ensuite lui servir à lancer d'autres attaques.
Contre-mesure
Activez le paramètre Interdire au groupe local Invité l'accès aux journaux d'événements dans les stratégies des trois journaux d'événements.
Impact potentiel
Aucun. Il s'agit du paramètre par défaut.
Durée de stockage du journal d'événements
Le paramètre Durée de stockage des journaux d'événements déterminer le nombre de jours durant lesquels conserver les événements dans les journaux d'applications, de sécurité et système si la méthode de conservation Par jours a été sélectionnée.
Ne définissez cette valeur que si le journal est archivé à intervalles réguliers et que la taille maximale du journal de sécurité est suffisante par rapport à l'intervalle défini.
Ce paramètre de stratégie de groupe peut prendre les valeurs suivantes :
Nombre de jours compris entre 0 et 365, spécifié par l'utilisateur.
Non défini.
Remarque : ce paramètre ne figure pas dans l'objet Stratégie de l'ordinateur local.
Un utilisateur doit disposer du droit Gérer le journal d'audit et de sécurité pour pouvoir accéder au journal de sécurité.
Vulnérabilité
Si vous archivez le journal à intervalles planifiés, indiquez le nombre de jours approprié dans le paramètre Durée de stockage du journal des applications et sélectionnez la méthode de conservation Remplacer les événements par jours dans la boîte de dialogue Propriétés de la stratégie. Assurez-vous également que la taille maximale du journal est suffisante par rapport à l'intervalle défini.
Contre-mesure
Configurez le paramètre Durée de stockage du journal sur Non défini dans les stratégies des trois journaux d'événements.
Impact potentiel
Aucun. Il s'agit du paramètre par défaut.
Méthode de conservation du journal d'événements
Le paramètre Méthode de conservation du journal d'événements détermine la méthode de présentation des journaux d'applications, de sécurité et système.
Si vous ne souhaitez pas archiver le journal des applications, activez la case à cocher Définir ce paramètre de stratégie et cliquez sur Remplacer les événements si nécessaire dans la boîte de dialogue Propriétés de cette stratégie.
Si vous souhaitez archiver le journal à intervalles planifiés, activez la case à cocher Définir ce paramètre de stratégie, cliquez sur Remplacer les événements par jours, puis indiquez le nombre de jours approprié dans le paramètre Durée de stockage du journal des applications, dans la boîte de dialogue Propriétés de cette stratégie. Assurez-vous que la taille maximale du journal est suffisante par rapport à l'intervalle défini.
Si vous devez conserver tous les événements dans le journal, activez la case à cocher Définir ce paramètre de stratégie et cliquez sur Ne pas remplacer les événements (nettoyage manuel du journal) dans la boîte de dialogue Propriétés de cette stratégie. Cette option signifie que le journal devra être nettoyé manuellement. Lorsque la taille maximale du journal est atteinte, les nouveaux événements cessent d'être consignés.
Ce paramètre de stratégie de groupe peut prendre les valeurs suivantes :
Remplacer les événements par jours.
Remplacer les événements si nécessaire.
Ne pas remplacer les événements (nettoyage manuel du journal).
Non défini.
Remarque : ce paramètre ne figure pas dans l'objet Stratégie de l'ordinateur local.
Vulnérabilité
Si vous augmentez de façon significative le nombre d'objets à auditer dans l'entreprise, vous prenez le risque de saturer le journal de sécurité et donc d'entraîner l'arrêt du système. Si cela se produit, le système sera inutilisable jusqu'à ce qu'un administrateur efface le journal de sécurité. Pour éviter cela, désactivez le paramètre Audit : Arrêter immédiatement le système s'il n'est pas possible de se connecter aux audits de sécurité décrit dans le module « Options de sécurité » et augmentez la taille du journal de sécurité.
La définition de la méthode de conservation des événements sur Nettoyage manuel ou sur Remplacer les événements par jours pourrait conduire à la non consignation d'importants événements survenus récemment ou exposer le système à une attaque par déni de service.
Contre-mesure
Définissez la méthode de conservation des trois journaux d'événements sur l'option Remplacer les événements si nécessaire. Certains recommandent de configurer ce paramètre sur Nettoyage manuel, mais cela induit une charge d'administration trop lourde pour la plupart des organisations.
Dans l'idéal, tous les événements significatifs doivent être envoyés à un serveur de contrôle à l'aide du gestionnaire MOM ou d'un autre outil de contrôle automatisé.
Impact potentiel
Lorsque les journaux d'événements sont remplis, il n'est plus possible d'y ajouter de nouvelles entrées à moins que la méthode de conservation de chacun d'entre eux prévoie le remplacement des entrées les plus anciennes par les plus récentes.
Délégation de l'accès aux journaux d'événements
Dans Microsoft Windows Server 2003, il est possible de personnaliser les autorisations de chaque journal d'événements d'un ordinateur. Cela n'était pas le cas dans les versions précédentes de Windows. Dans certaines organisations, il peut être utile d'accorder à certains membres de l'équipe informatique un accès en lecture seule à l'un ou plusieurs des journaux d'événements système. La liste de contrôle d'accès (ACL) est stockée sous la forme d'une chaîne SDDL (Security Descriptor Definition Language), dans une valeur REG_SZ appelée « CustomSD » pour chaque journal d'événements du Registre, comme dans l'exemple suivant :
HKEY_LOCAL_MACHINE \System\CurrentControlSet\Services\EventLog\CustomSD Create a REG_SZ registry value O:BAG:SYD:(D;;0xf0007;;;AN)(D;;0xf0007;;;BG)(A;;0xf0007;;;SY)(A;;0x7;;;BA)(A;;0x5;;;SO)(A;;0x1;;;IU)(A;;0x1;;;SU)(A;;0x1;;;S-1-5-3)(A;;0x2;;;LS)(A;;0x2;;;NS)
Modifiez cette valeur et redémarrez l'ordinateur pour que le nouveau paramètre prenne effet.
Attention : soyez très vigilant lorsque vous modifiez les valeurs du Registre car il n'est pas possible d'annuler une opération dans l'Éditeur de Registre. Si vous faites une erreur, vous devrez la corriger manuellement. Vous risquez également de configurer les listes de contrôle d'accès d'un journal d'événements de telle façon que personne ne puisse plus y accéder. Avant de procéder, vous devez être certain de bien comprendre SDDL et les autorisations par défaut du journal d'événements. N'oubliez pas de tester toute modification de manière approfondie avant de l'implémenter dans l'environnement de production.
Pour plus d'informations sur la configuration des journaux d'événements dans Windows Server 2003, consultez l'article « COMMENT FAIRE : Définir la sécurité du journal d'événements localement ou par le biais de la Stratégie de groupe dans Windows Server 2003 » disponible à l'adresse : http://support.microsoft.com/kb/323076.
Pour plus d'informations sur SDDL, consultez l'article « Security Descriptor Definition Language », disponible sur MSDN Online à l'adresse : http://msdn.microsoft.com/library/default.asp?url=/library/en-us/security/Security/security_descriptor_definition_language.asp.