Exporter (0) Imprimer
Développer tout
6 sur 9 ont trouvé cela utile - Évaluez ce sujet

Nouveautés de l’audit de sécurité Windows

Mis à jour: mars 2010

S'applique à: Windows Server 2008 R2

Quels sont les principaux changements ?

Plusieurs améliorations ont été apportées à Windows Server® 2008 R2 et Windows® 7, qui augmentent le niveau de détail des journaux d’audit de sécurité et simplifient le déploiement et la gestion des stratégies d’audit. Ces améliorations sont les suivantes :

  • Audit global de l’accès aux objets. Dans Windows Server 2008 R2 et Windows 7, les administrateurs peuvent définir des listes de contrôle d’accès système (SACL) pour le système de fichiers ou le Registre. La liste SACL spécifiée est ensuite appliquée automatiquement à chaque objet de ce type. Cette amélioration peut être utile pour vérifier que tous les paramètres critiques du Registre, des fichiers et des dossiers sont protégés, ainsi que pour identifier le moment où un problème survient avec une ressource système.

  • Création de rapports « Raison de l’accès ». Cette liste d’entrées ACE (access control entries) contient les privilèges à partir desquels la décision d’accorder ou non l’accès à l’objet est prise. Cette amélioration est utile pour documenter les autorisations, telles que l’appartenance à un groupe, qui autorisent ou empêchent l’occurrence d’un événement particulier qui peut être audité.

  • Paramètres avancés de la stratégie d’audit. Ces 53 nouveaux paramètres peuvent être utilisés à la place des neuf paramètres de base d’audit sous Stratégies locales\Stratégie d’audit pour permettre aux administrateurs de cibler de manière plus spécifique les types d’activités qu’ils souhaitent auditer et éliminer activités d’audit superflues qui peuvent rendre les journaux d’audit difficiles à gérer et à déchiffrer.

Les sections suivantes décrivent ces améliorations plus en détail.

À quoi servent les améliorations apportées aux audits ?

Dans Windows XP, les administrateurs disposent de neuf catégories d’événements d’audit de sécurité dont ils peuvent surveiller la réussite, l’échec ou les deux. Ces événements ont une portée relativement étendue et peuvent être déclenchés par diverses actions similaires, dont certaines peuvent générer un grand nombre d’entrées dans le journal des événements.

Dans Windows Vista® et Windows Server 2008, le nombre d’événements à auditer est augmenté de 9 à 53, ce qui permet à un administrateur d’être plus sélectif concernant le nombre et le type d’événements à auditer. Cependant, contrairement aux neuf événements Windows XP de base, ces nouveaux événements d’audit ne sont pas intégrés à la stratégie de groupe et ne peuvent être déployés que par des scripts d’ouverture de session générés à l’aide de l’outil en ligne de commande Auditpol.exe.

Dans Windows Server 2008 R2 et Windows 7, toutes les nouvelles fonctionnalités d’audit ont été intégrées à la stratégie de groupe. Ainsi, les administrateurs ont la possibilité de configurer, déployer et gérer ces paramètres dans la Console de gestion des stratégies de groupe (GPMC) ou le composant logiciel enfichable Stratégie de sécurité locale pour un domaine, un site ou une unité d’organisation (OU). Windows Server 2008 R2 et Windows 7 permettent aux professionnels de l’informatique de suivre facilement le moment où des activités précises et importantes surviennent sur le réseau.

Les améliorations apportées à la stratégie d’audit dans Windows Server 2008 R2 et Windows 7 permettent aux administrateurs de lier règles de travail et stratégies d’audit. Par exemple, appliquer des paramètres de stratégie d’audit à un niveau de domaine ou d’unité d’organisation permet aux administrateurs de documenter la conformité à des règles telles que :

  • Suivre toutes les activités d’un administrateur de groupe sur des serveurs comportant des informations financières.

  • Suivre tous les fichiers auxquels accèdent des groupes d’employés particuliers.

  • S’assurer que la liste de contrôle d’accès système (SACL) correcte est bien appliquée à chaque fichier, dossier et clé de Registre au moment de l’accès.

À qui cette fonctionnalité s’adresse-t-elle ?

Les améliorations apportées aux audits dans Windows Server 2008 R2 et Windows 7 tiennent compte des besoins des informaticiens chargés de l’implémentation, de la gestion et de la surveillance de la sécurité au quotidien des ressources physiques et des informations d’une organisation.

Ces paramètres peuvent aider les administrateurs à répondre à des questions de ce genre :

  • Qui accède à nos ressources ?

  • À quel type de ressources accèdent-ils ?

  • Quand et où y ont-ils accédé ?

  • Comment y ont-ils accédé ?

Le fait de se préoccuper de la sécurité et la volonté de suivre une méthode d’investigation sont des motivations importantes derrière ces questions. La qualité de ces informations est essentielle et elle est évaluée par des auditeurs dans un nombre croissant d’organisations.

Existe-t-il des considérations particulières ?

Plusieurs considérations particulières s’appliquent à différentes tâches relatives aux améliorations de l’audit dans Windows Server 2008 R2 et Windows 7 :

  • Création d’une stratégie d’audit. Pour créer une stratégie d’audit de sécurité Windows performante, vous devez utiliser le composant logiciel enfichable Stratégie de sécurité locale de la console GPMC sur un ordinateur exécutant Windows Server 2008 R2 ou Windows 7. (Vous pouvez utiliser la console GPMC sur un ordinateur exécutant Windows 7 après l’installation des Outils d’administration de serveur distant.)

  • Application des paramètres de la stratégie d’audit. Si vous utilisez la stratégie de groupe pour appliquer les paramètres de la stratégie d’audit avancée et les paramètres globaux d’accès aux objets, les ordinateurs clients doivent exécuter Windows Server 2008 R2 ou Windows 7. En outre, seuls les ordinateurs exécutant Windows Server 2008 R2 ou Windows 7 peuvent fournir des données de rapport « raison de l’accès ».

  • Développement d’un modèle de stratégie d’audit. Pour planifier des paramètres avancés d’audit de sécurité et des paramètres globaux d’accès aux objets, vous devez utiliser la console GPMC ciblant un contrôleur de domaine exécutant Windows Server 2008 R2.

  • Distribution de la stratégie d’audit. Une fois qu’un objet de stratégie de groupe (GPO) incluant des paramètres avancés d’audit de sécurité a été développé, il peut être distribué à l’aide de contrôleurs de domaine exécutant n’importe quel système d’exploitation serveur Windows. Toutefois, si vous ne pouvez pas placer des ordinateurs clients exécutant Windows 7 dans une OU distincte, utilisez le filtrage WMI (Windows Management Instrumentation) pour garantir que les paramètres de stratégie avancés sont appliqués uniquement aux ordinateurs clients exécutant Windows 7.

noteRemarque
Les paramètres avancés de stratégie d’audit peuvent également être appliqués à des ordinateurs clients exécutant Windows Vista. Toutefois, les stratégies d’audit relatives à ces ordinateurs clients doivent être créées et appliquées séparément en utilisant des scripts de connexion Auditpol.exe.

ImportantImportant
L’utilisation simultanée des paramètres de stratégie d’audit de base situés sous Stratégies locales\Stratégie d’audit et des paramètres avancés situés sous Configuration avancée de la stratégie d’audit peut produire des résultats inattendus. Par conséquent, ne combinez pas ces deux groupes de paramètres de stratégie d’audit. Si vous utilisez les paramètres de Configuration avancée de la stratégie d’audit, activez le paramètre Audit : force les paramètres de sous-catégorie de stratégie d’audit (Windows Vista ou version ultérieure) à se substituer aux paramètres de catégorie de stratégie d’audit sous Stratégies locales\Options de sécurité. Cela permettra d’éviter les conflits entre des paramètres analogues en ignorant systématiquement l’audit de sécurité de base.

En outre, pour planifier et déployer des stratégies d’audit d’événements de sécurité, les administrateurs doivent répondre à un certain nombre de questions stratégiques et fonctionnelles, dont :

  • Pourquoi avons-nous besoin d’une stratégie d’audit ?

  • Quelles activités et quels événements sont les plus importants pour notre organisation ?

  • Quels types d’événements d’audit pouvons-nous omettre dans notre stratégie d’audit ?

  • Combien de temps et de ressources réseau pensons-nous qu’un administrateur doive consacrer à la production, la collecte et le stockage des événements, et à l’analyse des données ?

Quelles éditions incluent cette fonctionnalité ?

Toutes les versions de Windows Server 2008 R2 et de Windows 7 capables de gérer une stratégie de groupe peuvent être configurées pour utiliser ces améliorations des audits de sécurité. Les versions de Windows Server 2008 R2 et de Windows 7 qui ne peuvent pas se joindre à un domaine n’ont pas accès à ces fonctions. Il n’y a pas de différence de prise en charge de l’audit de sécurité entre les versions 32 bits et 64 bits de Windows 7.

Quelles sont les nouveautés de cette fonctionnalité ?

Windows Server 2008 R2 et Windows 7 fournissent les nouvelles fonctionnalités suivantes : audit global d’accès aux objets, paramètres « raison de l’accès » et paramètres de stratégie d’audit de sécurité avancée.

Audit global de l’accès aux objets

Grâce à l’audit global d’accès aux objets, les administrateurs peuvent définir des listes de contrôle d’accès système (SACL) par type d’objet pour le système de fichiers ou le Registre. La liste SACL spécifiée est ensuite appliquée automatiquement à tous les objets de ce type.

Les auditeurs peuvent alors démontrer que toutes les ressources du système sont protégées par une stratégie d’audit simplement en affichant le contenu du paramètre de la stratégie d’audit global d’accès aux objets. Par exemple, un paramètre de stratégie « suivi de toutes les modifications effectuées par les administrateurs de groupe » suffit à montrer que cette stratégie est en vigueur.

Les listes SACL pour les ressources sont également utiles pour les diagnostics. Par exemple, la définition d’une stratégie d’audit global d’accès aux objets répertoriant toutes les activités d’un utilisateur spécifique et l’activation des stratégies d’audit des échecs d’accès dans une ressource (système de fichiers, Registre) permettent aux administrateurs d’identifier rapidement quel objet d’un système refuse un accès utilisateur.

noteRemarque
Si une liste SACL de fichier ou de dossier et une stratégie d’audit global d’accès aux objets (ou une simple liste SACL de paramètre de Registre et une stratégie d’audit global d’accès aux objets) sont configurées en même temps sur un ordinateur, la liste SACL effective est le produit de la combinaison de la liste SACL de fichier ou de dossier et de la stratégie d’audit global d’accès aux objets. Cela signifie qu’un événement d’audit est créé si une activité correspond soit à la liste SACL de fichier ou de dossier, soit à la stratégie d’audit global d’accès aux objets.

Paramètres « raison de l’accès »

Dans Windows, il existe plusieurs événements d’audit pour chaque succès ou échec d’une opération. Ces événements incluent généralement l’utilisateur, l’objet et l’opération, mais pas la raison pour laquelle l’opération a été autorisée ou refusée. Les scénarios d’analyse d’investigation et d’assistance sont améliorés dans Windows Server 2008 R2 et Windows 7 ; la raison pour laquelle une personne a accès aux ressources d’entreprise, en fonction d’autorisations spécifiques, est consignée.

Paramètres avancés de la stratégie d’audit

Dans Windows Server 2008 R2 et Windows 7, des stratégies d’audit améliorées peuvent être configurées et déployées à l’aide d’une stratégie de groupe de domaine, ce qui réduit les coûts de gestion et les tâches d’administration, et améliore considérablement la flexibilité et l’efficacité des audits de sécurité.

Les sections suivantes décrivent les nouveaux événements et les catégories d’événements disponibles dans le nœud Configuration avancée de la stratégie d’audit de la stratégie de groupe.

Événements d’ouverture de session de compte

Les événements de cette catégorie aident à documenter les tentatives du domaine pour authentifier les données des comptes, que ce soit auprès d’un contrôleur de domaine ou d’un gestionnaire de comptes de sécurité (SAM) local. Contrairement aux événements d’ouverture et de fermeture de session, qui suivent les tentatives d’accès à un ordinateur particulier, les événements de cette catégorie s’intéressent à la base de données de comptes utilisée.

 

Paramètre Description

Validation des informations d’identification

Événements d’audit produits par les tests de validation sur les informations d’identification d’ouverture de session de compte utilisateur.

Opérations de ticket de service Kerberos

Événements d’audit produits par les demandes de ticket de service Kerberos.

Autres événements d’ouverture de session de compte

Événements d’audit produits par les réponses aux demandes d’informations d’identification émises pour une ouverture de session de compte d’utilisateur, autres que la validation d’informations d’identification ou les tickets Kerberos.           

Service d’authentification Kerberos

Événements d’audit produits par les demandes TGT (Ticket-Granting Ticket) d’authentification Kerberos.

Événements de gestion des comptes

Les paramètres de cette catégorie peuvent servir à surveiller les modifications apportées aux comptes d’utilisateur et d’ordinateur et aux groupes.

 

Paramètre Description

Gestion des comptes d’utilisateur

Audit des modifications apportées aux comptes d’utilisateur.

Gestion des comptes d’ordinateur

Événements d’audit produits par les modifications apportées aux comptes d’ordinateur, par exemple au moment de la création, de la modification ou de la suppression d’un compte d’ordinateur.                                        

Gestion des groupes de sécurité

Événements d’audit produits par les modifications apportées aux groupes de sécurité.

Gestion des groupes de distribution

Événements d’audit produits par les modifications apportées aux groupes de distribution.

noteRemarque
Les événements de cette sous-catégorie sont consignés uniquement sur les contrôleurs de domaine.

Gestion des groupes d’applications

Événements d’audit produits par les modifications apportées aux groupes d’applications.

Autres événements de gestion des comptes

Événements d’audit produits par d’autres modifications de compte d’utilisateur, en dehors de cette catégorie.

Événements de suivi détaillés

Ces événements peuvent servir à surveiller les activités d’applications individuelles pour comprendre comment un ordinateur est utilisé et les activités des utilisateurs sur cet ordinateur.

 

Paramètre Description

Création du processus

Événements d’audit produits lors de la création ou du démarrage d’un processus. Le nom de l’application ou de l’utilisateur qui a créé le processus fait également l’objet d’un audit.

Fin du processus

Événements d’audit produits à la fin d’un processus.

Activité DPAPI

Événements d’audit produits lorsque des demandes de chiffrement ou de déchiffrement sont faites à l’interface DPAPI (Data Protection Application Interface). L’interface DPAPI est utilisée pour protéger des informations secrètes telles que des mots de passe et des clés. Pour plus d’informations sur l’interface DPAPI, voir Protection des données Windows (éventuellement en anglais).

Événements RPC

Audit des connexions d’appel de procédure distante (RPC) entrantes.

Événements d’accès DS

Ces événements fournissent une piste d’audit de bas niveau pour les tentatives d’accès et les modifications d’objets dans les services de domaine Active Directory® (AD DS). Ces événements ne sont consignés que sur les contrôleurs de domaine.

 

Paramètre Description

Accès au service d’annuaire

Événements d’audit produits lors d’un accès à un objet AD DS.

Seuls les objets AD DS disposant d’une liste SACL associée sont consignés.

Les événements de cette sous-catégorie sont analogues aux événements d’accès au service d’annuaire des versions précédentes de Windows.

Modification du service d’annuaire

Événements d’audit produits par les modifications apportées aux objets AD DS. Ces événements sont consignés lors de la création, de la suppression, de la modification, du déplacement ou de l’annulation de la suppression d’un objet.                                

Réplication du service d’annuaire

Audit de la réplication entre deux contrôleurs de domaine AD DS.

Réplication du service d’annuaire détaillée

Événements d’audit produits par une réplication AD DS détaillée entre des contrôleurs de domaine.

Événements d’ouverture/fermeture de session

Ces événements vous permettent de suivre les tentatives d’ouverture de session sur un ordinateur, que ce soit de manière interactive ou sur un réseau. Ils sont particulièrement utiles pour le suivi des activités de l’utilisateur et l’identification d’éventuels piratages visant les ressources du réseau.

 

Paramètre Description

Ouverture de session

Événements d’audit produits par des tentatives d’ouverture de session de compte d’utilisateur sur un ordinateur.

Fermeture de session

Événements d’audit produits par la fermeture d’une session ouverte. Ces événements se produisent sur l’ordinateur où a eu lieu l’accès. Pour une ouverture de session interactive, l’événement d’audit de sécurité est créé sur l’ordinateur où le compte d’utilisateur a ouvert une session.

Verrouillage de compte

Événements d’audit produits par l’échec d’une tentative d’ouverture de session avec un compte qui est verrouillé.

Mode principal IPsec

Événements d’audit produits par les protocoles IKE (Internet Key Exchange) et AuthIP (Authenticated Internet Protocol) pendant les négociations du mode principal.

Mode rapide IPsec

Événements d’audit produits par les protocoles IKE (Internet Key Exchange) et AuthIP (Authenticated Internet Protocol) pendant les négociations du mode rapide.

Mode étendu IPsec

Événements d’audit produits par les protocoles IKE (Internet Key Exchange) et AuthIP (Authenticated Internet Protocol) pendant les négociations du mode étendu.

Ouverture de session spéciale

Événements d’audit produits par les ouvertures de session spéciales.

Autres événements d’ouverture/fermeture de session

Autres événements d’audit liés aux ouvertures et fermetures de session n’entrant pas dans la catégorie d’ouverture/fermeture de session.

Serveur NPS (Network Policy Server)

Événements d’audit produits par des demandes d’accès utilisateur RADIUS (IAS) et NAP (Network Access Protection). Ces demandes peuvent être Accorder, Refuser, Ignorer, Quarantaine, Verrouiller et Déverrouiller.

Événements d’accès à l’objet

Ces événements vous permettent de suivre les tentatives d’accès à des objets spécifiques ou à des types d’objets sur un réseau ou un ordinateur. Pour auditer un fichier, un répertoire, une clé de Registre ou n’importe quel objet, vous devez activer la catégorie Accès à l’objet pour les événements de succès et d’échec. Par exemple, la sous-catégorie Système de fichiers doit être activée pour auditer les opérations sur les fichiers, et la sous-catégorie Registre doit être activée pour auditer les accès au Registre.

Il est difficile de prouver à un auditeur externe que cette stratégie est en vigueur. Il n’existe aucun moyen simple de vérifier que les listes SACL adéquates sont définies sur tous les objets hérités.

 

Paramètre Description

Système de fichiers

Audit sur les tentatives de l’utilisateur d’accéder aux objets du système de fichiers. Un événement d’audit de sécurité est créé uniquement pour les objets dotés de listes SACL et seulement si le type d’accès demandé, par exemple en lecture, écriture ou modification, et si le compte à l’origine de la demande correspondent aux paramètres de la liste SACL.

Registre

Audit des tentatives d’accès aux objets du Registre. Un événement d’audit de sécurité est créé uniquement pour les objets dotés de listes SACL et seulement si le type d’accès demandé, par exemple en lecture, écriture ou modification, et si le compte à l’origine de la demande correspondent aux paramètres de la liste SACL.

Objet de noyau

Audit des tentatives d’accès au noyau du système, ce qui inclut les mutex et les sémaphores. Seuls les objets de noyau avec une liste SACL correspondante produisent des événements d’audit de sécurité.

noteRemarque
Le paramètre de stratégie Audit :auditer l’accès des objets système globaux contrôle la liste SACL par défaut des objets du noyau.

SAM

Événements d’audit produits par les tentatives d’accès aux objets SAM (Security Accounts Manager).

Services de certification

Audit des opérations liées aux services de certificats Active Directory (AD CS).

Généré par application

Audit des applications qui produisent des événements à l’aide des API d’audit Windows. Les applications conçues pour utiliser une API d’audit Windows utilisent cette sous-catégorie pour consigner les événements d’audit liés à leur utilisation.

Manipulation de handle

Événements d’audit produits lors de l’ouverture ou de la fermeture d’un handle sur un objet. Seuls les objets avec une liste SACL correspondante produisent des événements d’audit de sécurité.

Partage de fichiers

Audit des tentatives d’accès à un dossier partagé. Toutefois, aucun événement d’audit de sécurité n’est créé lors de la création ou de la suppression d’un dossier, ou de la modification de ses autorisations de partage.

Partage de fichiers détaillé

Audit des tentatives d’accès aux fichiers et aux dossiers d’un dossier partagé. Le paramètre Partage de fichiers détaillé consigne un événement à chaque accès à un fichier ou dossier, alors que le paramètre Partage de fichiers ne consigne qu’un seul événement pour toute connexion établie entre un client et un partage de fichiers. Les événements d’audit Partage de fichiers détaillé incluent des informations détaillées sur les autorisations ou d’autres critères utilisés pour accorder ou refuser l’accès.

Rejet de paquet par la plateforme de filtrage

Audit des paquets qui sont rejetés par la plateforme de filtrage Windows (WFP).

Connexion de la plateforme de filtrage

Audit des connexions qui sont autorisées ou bloquées par la plateforme WFP.

Autres événements d’accès aux objets

Événements d’audit produits par la gestion des tâches du Planificateur de tâches ou des objets COM+.

Événements de modification de stratégie

Ces événements vous permettent de suivre les modifications apportées aux stratégies de sécurité importantes sur un système local ou sur le réseau. Étant donné que les stratégies sont généralement établies par les administrateurs pour mieux sécuriser les ressources du réseau, toute modification ou tentative de modification de ces stratégies peut être un aspect important de la gestion de la sécurité pour un réseau.

 

Paramètre Description

Auditer les modifications de stratégie

Audit des modifications apportées aux paramètres de stratégie d’audit de sécurité.

Modification de la stratégie d’authentification

Événements d’audit produits par les modifications apportées à la stratégie d’authentification.

Modification de la stratégie d’autorisation

Événements d’audit produits par les modifications apportées à la stratégie d’autorisation.

Modification de la stratégie de niveau règle MPSSVC

Événements d’audit produits par les modifications apportées aux règles de stratégie utilisées par le pare-feu Windows.

Modification de la stratégie de plateforme de filtrage

Événements d’audit produits par les modifications apportées à la plateforme WFP.

Autres événements de modification de stratégie

Événements d’audit produits par d’autres modifications de stratégie de sécurité qui ne sont pas auditées dans la catégorie Changement de stratégie.                                                       

Événements d’utilisation de privilèges

Sur un réseau, les privilèges sont accordés pour les utilisateurs ou les ordinateurs pour des tâches définies. Les événements d’utilisation des privilèges vous permettent de suivre l’utilisation de certains privilèges sur un ou plusieurs ordinateurs.

 

Paramètre Description

Utilisation de privilèges sensibles

Événements d’audit produits par l’utilisation de privilèges sensibles (droits d’utilisateur), tels que l’intervention en tant que composante du système d’exploitation, la sauvegarde de fichiers et de répertoires, l’emprunt de l’identité d’un ordinateur client ou la production d’audits de sécurité.

Utilisation de privilèges non sensibles

Événements d’audit produits par l’utilisation de privilèges non sensibles (droits d’utilisateur), tels que la journalisation en local ou avec une connexion Bureau à distance, la modification de l’heure système ou le retrait d’un ordinateur de la station d’accueil.

Autres événements d’utilisation de privilèges

Non utilisé.

Événements système

Les événements système vous permettent de suivre les modifications de haut niveau effectuées sur un ordinateur et qui ne sont pas incluses dans les autres catégories, et qui peuvent avoir des implications au niveau de la sécurité.

 

Paramètre Description

Modification de l’état de la sécurité

Événements d’audit produits par des modifications apportées à l’état de la sécurité de l’ordinateur.

Extension du système de sécurité

Événements d’audit liés aux services ou extensions du système de sécurité.                                                                    

Intégrité du système

Événements d’audit qui violent l’intégrité du système de sécurité.

Pilote IPSEC

Événements d’audit produits par le pilote de filtre IPsec.

Autres événements système

Audit des événements suivants :

  • démarrage et arrêt du pare-feu Windows ;

  • traitement de la stratégie de sécurité par le pare-feu Windows ;

  • Opérations de migration et de fichier de clé de chiffrement.

Cela vous a-t-il été utile ?
(1500 caractères restants)
Merci pour vos suggestions.

Ajouts de la communauté

AJOUTER
Afficher:
© 2014 Microsoft. Tous droits réservés.