Guide de planification de la surveillance de la sécurité et de la détection des attaques
Annexe B - Implémentation des paramètres de stratégie de groupe
Dernière mise à jour le 23 mai 2005
Pour configurer correctement les paramètres d'audit de sécurité de la stratégie de groupe, appliquez les paramètres énumérés dans le tableau suivant. Ce tableau inclut également d'autres paramètres qui concernent la surveillance de la sécurité et la détection des attaques. Utilisez ce tableau pour vérifier les paramètres actuels de votre environnement.
Tableau B.1 : paramètres d'audit de sécurité de la stratégie de groupe
| Chemin d'accès de la stratégie | Stratégie | Paramètre et commentaires |
|---|---|---|
| Stratégies locales/ Stratégie d'audit | Auditer les événements de connexion aux comptes | Activez la réussite de l'audit pour tous les ordinateurs puisque cet événement enregistre qui a accédé à l'ordinateur. Activez l'échec de l'audit avec prudence car un attaquant ayant accès au réseau mais n'ayant pas d'informations d'identification pourrait lancer une attaque par refus de service (DoS, denial of service) en profitant du fait que l'ordinateur consomme des ressources pour générer ces événements. Activez la réussite de l'audit avec prudence car ce paramètre peut causer des attaques par refus de service si les ordinateurs s'éteignent lorsque les journaux d'audit sont saturés. Mettez les ouvertures de session d'administrateurs en corrélation avec toute autre entrée suspecte. |
| Stratégies locales/ Stratégie d'audit | Auditer la gestion des comptes | Activez la réussite et l'échec de l'audit. Mettez toutes les entrées d'audit réussi en corrélation avec les autorisations des administrateurs. Considérez tous les échecs comme suspects. |
| Stratégies locales/ Stratégie d'audit | Auditer l'accès au service d'annuaire | La stratégie de groupe Contrôleurs de domaine par défaut active ce paramètre par défaut. Configurez les paramètres d'audit sur les objets d'annuaire sensibles en utilisant les listes de contrôle d'accès système (SACL, system access control list) dans Utilisateurs et ordinateurs Active Directory ou dans l'éditeur de l'interface des services Active Directory (ADSI Edit). Vous devez planifier votre mise en œuvre SACL et tester vos SACL dans un environnement réaliste avant de les déployer en production. Cette approche permet d'éviter toute surcharge des journaux de sécurité en données. |
| Stratégies locales/ Stratégie d'audit | Auditer les événements de connexion | Activez la réussite de l'audit pour tous les ordinateurs puisque cet événement enregistre qui a accédé à l'ordinateur. Activez l'échec de l'audit avec prudence car un attaquant ayant accès au réseau mais n'ayant pas d'informations d'identification pourrait quand même contraindre votre ordinateur à utiliser des ressources pour générer ces événements. |
| Stratégies locales/ Stratégie d'audit | Auditer l'accès aux objets | Soyez prudent lors de l'activation de ce paramètre car il peut entraîner un volume d'audit très important. Configurez des paramètres d'audit uniquement sur les dossiers importants par le biais de SACL et auditez uniquement le nombre minimal de types d'accès qui vous intéressent. Auditez les écritures uniquement (et pas les accès en lecture) si votre modèle de menace vous le permet. |
| Stratégies locales/ Stratégie d'audit | Auditer les modifications de stratégie | Activez l'audit des événements de réussite et d'échec. Vérifiez toute réussite par rapport aux autorisations des administrateurs. Considérez tous les échecs comme suspects. |
| Stratégies locales/ Stratégie d'audit | Auditer l'utilisation des privilèges | N'activez pas l'audit pour les utilisations de privilèges car cela générerait un grand volume d'événements. |
| Stratégies locales/ Stratégie d'audit | Auditer le suivi des processus | N'activez pas ce paramètre sur les serveurs Web CGI (Common Gateway Interface), les ordinateurs de test et les serveurs qui exécutent des processus en lots, ni sur les stations de travail de développement. Activez ce paramètre sur les ordinateurs vulnérables et prenez immédiatement des mesures en cas d'activité inattendue de la part d'une application, en allant jusqu'à isoler l'ordinateur physiquement si nécessaire. Ce paramètre peut entraîner la saturation des journaux d'événements. |
| Stratégies locales/ Stratégie d'audit | Auditer les événements système | Activez l'audit des événements de réussite et d'échec. |
| Stratégies locales/ Attribution des droits utilisateur | Générer des audits de sécurité | Ce paramètre est attribué par défaut au système local, au service local et au service réseau. Ce droit doit s'appliquer exclusivement aux comptes de services. Un attaquant peut utiliser ce paramètre pour générer des événements fallacieux ou imprécis dans le journal de sécurité. |
| Stratégies locales/ Attribution des droits utilisateur | Gérer le journal d'audit et de sécurité | Utilisez ce paramètre pour limiter le nombre d'administrateurs autorisés à modifier les paramètres d'audit des fichiers, dossiers et paramètres du Registre. Par exemple, créez un groupe de sécurité regroupant les administrateurs habilités à modifier les paramètres d'audit et supprimez-le des paramètres de la stratégie de sécurité locale. Seuls les membres de ce nouveau groupe de sécurité devraient pouvoir configurer l'audit. |
| Stratégies locales/Options de sécurité | Audit : auditer l'accès des objets système globaux | Ce paramètre ajoute des listes SACL pour des objets système nommés tels que les mutex (événements qui s'excluent mutuellement), les sémaphores et les périphériques MS-DOS. Dans Windows Server 2003, cette option n'est pas activée par défaut. N'activez pas ce paramètre car il génère un volume très élevé d'événements. |
| Stratégies locales/Options de sécurité | Audit : auditer l'utilisation des privilèges de sauvegarde et de restauration | Les opérations de sauvegarde et de restauration offrent la possibilité de voler des données protégées par les listes ACL. N'activez pas ce paramètre car il génère un volume très élevé d'événements. |
| Stratégies locales/Options de sécurité | Audit : arrêter immédiatement le système s'il n'est pas possible de se connecter aux audits de sécurité | Activez ce paramètre après un examen approfondi et uniquement sur les ordinateurs très importants car un attaquant pourrait utiliser cette fonctionnalité pour lancer des attaques par refus de service. |
| Journal des événements | Taille maximale du journal de sécurité | La taille maximale du journal de sécurité doit être un multiple de 64 ko. La taille moyenne du journal est de 0,5 ko. Le choix des paramètres dépend des volumes d'événements projetés et des paramètres de conservation des journaux de sécurité. Pour les environnements à hauts volumes d'événements, choisissez une taille de fichier élevée (max. 250 Mo). Ensemble, les journaux d'événements ne peuvent pas dépasser 300 Mo. N'essayez pas d'aller au-delà. |
| Journal des événements | Empêcher le groupe d'invités locaux d'accéder au journal de sécurité | Ce paramètre est activé par défaut dans Windows Server 2003. Ne le modifiez pas. |
| Journal des événements | Durée de stockage du journal de sécurité | Activez ce paramètre uniquement si vous avez opté pour la méthode de conservation « Remplacer les événements par jour ». Si vous utilisez un système de mise en corrélation des événements par sondage, vérifiez que le nombre de jours est au minimum trois fois supérieur à la fréquence de sondage pour garantir que les cycles de sondage qui ont échoué sont inclus. |
| Journal des événements | Méthode de conservation du journal de sécurité | Pour les environnements de haute sécurité, activez le paramètre Ne pas remplacer les événements. Dans ce cas, mettez en place des procédures pour vider et archiver régulièrement les fichiers journaux, en particulier si l'ordinateur s'éteint lorsque le journal de sécurité est plein. |