Aucune société n'envisagerait de mener ses activités à partir d'un site mal protégé, sans serrures, sans système d'alarme, sans caméras de surveillance, sans clôtures, voire sans agents de sécurité. Pourtant, nombreuses sont les entreprises qui découvrent seulement maintenant la nécessité de prendre des mesures de sécurité identiques pour protéger leurs ressources réseau contre les attaques externes et les intrusions internes.
Un système de sécurité (caméras, détecteurs de mouvements, etc.) est une manière utile de détecter les tentatives d'accès à un bâtiment ou à une zone contrôlée. Mais les organisations doivent aussi implémenter des systèmes qui surveillent les ressources réseau et détectent les attaquants. La surveillance de la sécurité est donc un élément essentiel d'une stratégie de sécurité réseau efficace.
En août 2004, les services secrets des États-Unis ont publié un livre blanc coécrit par le centre de coordination CERT du Carnegie Mellon University Software Engineering Institute. Ce document répertorie les institutions dont la vulnérabilité face aux fraudes massives commises par leurs propres utilisateurs a été démontrée. Pour plus d'informations, reportez-vous au livre blanc « Insider Threat Study: Illicit Cyber Activity in the Banking and Finance Sector » (Les menaces internes : une étude sur les cyberactivités illégales dans les secteurs bancaire et financier » à l'adresse http://www.secretservice.gov/ntac/its\_report\_040820.pdf). Ce rapport est rédigé en langue anglaise.
L'enquête sur la criminalité électronique de 2004 ne fait qu'étayer cette menace. Le panel de répondants était composé de représentants du gouvernement et d'organisations actives dans les secteurs de l'information, des télécommunications, de la banque et de la finance. Selon les résultats du sondage, 43 pour cent des répondants ont constaté une augmentation de la criminalité électronique et des intrusions. Soixante-dix pour cent des répondants ont pu citer au moins un crime électronique perpétré au cours de l'année précédente. Le coût total des crimes électroniques rapportés par les répondants dépasse les 600 millions de dollars américains. Pour plus d'informations sur ce sondage, consultez le communiqué de presse 2004 E-Crime Watch Survey Shows Significant Increase in Electronic Crimes (L'édition 2004 du sondage sur la surveillance de la criminalité électronique montre une importante augmentation du nombre de crimes électroniques) à l'adresse http://www.cert.org/archive/pdf/2004eCrimeWatchSummary.pdf (en anglais).
Le renforcement des réglementations et une meilleure connaissance des menaces posées par les attaquants externes et internes ont mené les entreprises à envisager la mise en œuvre de systèmes de surveillance efficaces. Pour planifier une surveillance efficace de la sécurité, vous devez savoir quelles sont les technologies disponibles pour l'implémentation de votre solution. Ce chapitre décrit les technologies Microsoft qui permettent la surveillance de la sécurité et mettent les journaux de sécurité en corrélation à des fins d'analyse et d'archivage.
Remarque: ce document distingue les attaques internes des attaques externes. Une attaque interne est commise par un salarié, habituellement un administrateur. Une attaque externe est lancée depuis l'extérieur de l'organisation. Bien que des technologies de plus en plus populaires telles que les réseaux sans fil permettent aux attaquants externes de programmer des attaques qui démarrent à l'intérieur du périmètre réseau, celles-ci sont toujours considérées comme des attaques externes.
Vous pouvez enregistrer des événements de sécurité au moyen du fichier journal d'événements de sécurité intégré dans toutes les versions de Microsoft® Windows® depuis Microsoft Windows NT® version 3.1 et ultérieures. Ce fichier journal constitue la base de la surveillance de la sécurité sur les réseaux Windows. D'autres utilitaires et programmes mettent en corrélation les événements enregistrés au sein d'un référentiel centralisé.
Le journal d'événements de sécurité enregistre les données de surveillance en utilisant un format de base de données personnalisé. Certaines parties de ce fichier, comme les noms des ordinateurs et leurs adresses IP, peuvent être lues dans un éditeur de texte. Cependant, un programme adéquat est nécessaire pour afficher le contenu intégral des journaux. La console Observateur d'événements en est un exemple. Le fichier journal d'événements de sécurité (SecEvent.evt) se trouve dans le répertoire %systemroot%\System32\config. Contrairement aux journaux d'applications ou aux journaux système, ce fichier est uniquement accessible aux membres du groupe des administrateurs et du compte système en raison des autorisations par défaut du système de fichiers NTFS.
Le journal d'événements de sécurité enregistre deux types d'événements : les audits de succès et les audits d'échec. Un audit de succès indique qu'une opération exécutée par un utilisateur, un service ou un programme a réussi. Un audit d'échec indique que cette même opération a échoué. Par exemple, si vous activez les audits de connexion pour les événements d'échec, le journal d'événements de sécurité enregistre les tentatives de connexion qui échouent.
Remarque: Microsoft Windows Server™ 2003 avec Service Pack 1 offre la possibilité de configurer des niveaux d'audit de sécurité différents pour des utilisateurs différents. Pour plus d'informations sur cette fonctionnalité, consultez le chapitre 4, « Conception de la solution ».
Le tableau suivant énumère les différentes catégories d'événements de sécurité et les événements qu'elles enregistrent.
Tableau 2.1 : catégories d'audit des événements de sécurité
Catégorie
Effet
Événements de connexion de compte
Surveille les tentatives de connexion au compte local d'un ordinateur. Si le compte utilisateur est un compte de domaine, cet événement est également enregistré par le contrôleur de domaine.
Gestion des comptes
Surveille la création, la modification et la suppression de comptes d'utilisateur et de groupes, ainsi que les modifications et les réinitialisations de mots de passe.
Accès au service d'annuaire
Surveille l'accès aux objets du service d'annuaire Active Directory®.
Événements de connexion
Surveille les tentatives de connexion aux stations de travail et aux serveurs membres.
Accès aux objets
Surveille les tentatives d'accès aux objets, tels qu'un fichier, un dossier, une clé de registre ou une imprimante, dont la liste de contrôle d'accès système (SACL, system access control list) contient des paramètres d'audit définis.
Modifications de stratégie
Audite toutes les modifications apportées aux stratégies d'attribution des droits, d'audit, des comptes ou de confiance.
Utilisation des privilèges
Vérifie l'exercice des droits d'utilisateur tels que la modification de l'horloge système.
Suivi des processus
Vérifie le comportement des applications (démarrage, arrêt, etc.)
Événements système
Audite les événements système tels que le démarrage et l'arrêt de l'ordinateur, et les événements qui ont une influence sur la sécurité du système ou le journal de sécurité.
Le paramètre de stratégie de groupe Stratégie d'audit détermine les événements qui créent des entrées dans les journaux de sécurité. Le chemin d'accès de ces paramètres est le suivant : Configuration ordinateur\\Paramètres Windows\\Paramètres de sécurité\\Stratégies locales. Vous pouvez configurer les paramètres de la stratégie d'audit soit au moyen de la console Paramètres de sécurité locaux, soit au niveau du site, du domaine ou de l'unité d'organisation par le biais de la stratégie de groupe en combinaison avec Active Directory.
Les journaux de sécurité constituent une excellente base pour une surveillance intégrale de la sécurité. Les paramètres de la stratégie de groupe permettent une configuration centralisée des niveaux d'audit des journaux de sécurité. De plus, en raison des paramètres de sécurité par défaut, ces journaux sont uniquement accessibles aux administrateurs. Toutefois, la détection d'attaques distribuées et la mise en œuvre d'analyses des preuves requièrent un système de surveillance capable de mettre les événements d'audit en corrélation, et ce, de manière centralisée.
[](#mainsection)[Haut de page](#mainsection)
### Mise en corrélation des événements d'audit de sécurité
Pour pouvoir mettre des événements d'audit de sécurité en corrélation, le système doit collecter des événements de plusieurs ordinateurs et les stocker dans un emplacement centralisé. Le personnel de sécurité pourra alors analyser ce référentiel central afin d'identifier les possibles violations de stratégies ou de détecter des attaques externes. Le référentiel peut également servir de base à la recherche et à l'analyse de preuves. Cette section présente les produits et utilitaires Microsoft qui sont capables de mettre en corrélation plusieurs journaux d'événements de sécurité. Plusieurs produits tiers offrent également cette fonctionnalité.
#### Event Comb MT
Event Comb MT (multithread) est un composant du guide de sécurité Windows Server 2003 qui vous permet d'analyser et de collecter des événements dans des journaux d'événements situés sur des ordinateurs différents. Event Comb MT est une application multithread, ce qui vous permet de spécifier de nombreux paramètres d'analyse, tels que :
- les ID d'événements (individuels ou multiples) ;
- les plages d'ID d'événements ;
- les sources d'événements ;
- le texte d'un événement ;
- l'âge de l'événement en minutes, heures ou jours.
Event Comb propose certaines catégories de recherche prédéfinies, comme les verrouillages de comptes, qui contiennent les événements suivants :
- 529 — échec de connexion (nom d'utilisateur ou mot de passe incorrects)
- 644 — verrouillage automatique d'un compte utilisateur
- 675 — échec de la pré-authentification sur un contrôleur de domaine (mot de passe incorrect)
- 676 — échec de la demande de ticket d'authentification
- 681 — échec de connexion
Pour rechercher les attaques contre le compte Administrateur par défaut, vous pouvez ajouter l'événement 12294 (dépassement du seuil de verrouillage du compte) du journal système. Cet événement est particulièrement important parce que le nombre maximal de verrouillages ne s'applique pas au compte Administrateur par défaut. Cela permet à un attaquant d'essayer plusieurs fois d'atteindre le compte Administrateur par défaut sans déclencher le mécanisme de verrouillage.
**Remarque** **:** l'événement 12294 apparaît comme un événement SAM (Security Accounts Manager) dans le journal système, pas dans le journal de sécurité.
Event Comb MT peut enregistrer des événements dans une table de base de données Microsoft SQL Server™, utile pour le stockage à long terme et l'analyse. Les tables SQL Server sont accessibles au moyen de divers programmes clients, tels que SQL Query Analyzer, Microsoft Visual Studio® .NET ou bien d'autres utilitaires tiers.
Event Comb MT v10.0 intègre également des options de ligne de commande qui vous permettent de créer des scripts afin d'automatiser la collecte régulière d'événements dans les journaux de sécurité. Cependant, Event Comb MT ne convient pas à tous les scénarios car il ne fournit aucune forme d'agent de collecte client et ne transfère pas automatiquement les événements dans un référentiel central.
Event Comb MT peut être téléchargé gratuitement sur le site Web [Account Lockout and Management Tools](http://www.microsoft.com/downloads/details.aspx?displaylang=en&familyid=7af2e69c-91f3-4e63-8629-b999adde0b9e) (Outils de verrouillage et de gestion des comptes) à l'adresse http://www.microsoft.com/downloads/details.aspx?displaylang=en&familyid=7af2e69c-91f3-4e63-8629-b999adde0b9e (en anglais).
Le [Guide de sécurité de Windows 2003](http://www.microsoft.com/downloads/details.aspx?familyid=8a2643c1-0685-4d89-b655-521ea6c7b4db) est disponible à l'adresse http://www.microsoft.com/downloads/details.aspx?FamilyId=8A2643C1-0685-4D89-B655-521EA6C7B4DB (en anglais).
#### Microsoft Operations Manager 2005
Microsoft Operations Manager (MOM) permet de surveiller plusieurs serveurs dans un environnement d'entreprise. L'agent MOM collecte des événements à partir des journaux et les transmet au serveur de gestion MOM. Le serveur de gestion MOM place ensuite ces événements dans la base de données MOM. MOM 2005 et versions ultérieures sont capables de collecter des événements à partir d'ordinateurs qui n'exécutent pas d'agents MOM.
MOM utilise ses règles de gestion pour identifier des problèmes touchant l'efficacité opérationnelle des serveurs. Vous pouvez cependant définir des règles supplémentaires afin de rechercher d'autres événements et, lorsque ceux-ci se produisent, d'envoyer instantanément des notifications par courrier électronique, sous la forme de messages contextuels ou vers des récepteurs de radiomessagerie.
Bien que MOM intègre de nombreuses fonctions utiles pour la surveillance de la sécurité et la détection des attaques, il n'a pas été conçu à cet effet. Les prochaines versions de MOM proposeront certainement des options plus complètes pour le classement de journaux de sécurité.
[](#mainsection)[Haut de page](#mainsection)
### Solutions d'éditeurs indépendants
Même combinés, les produits Microsoft ne couvrent pas tous les aspects de la surveillance de la sécurité. Les lacunes actuelles sont les suivantes :
- Alarmes de journaux d'événements en temps réel
- Systèmes de collecte sécurisée de journaux d'événements
Les partenaires de Microsoft offrent des produits (voir liste alphabétique ci-dessous) qui comblent ces lacunes :
- **EventReporter de Adiscon.** EventReporter permet aux administrateurs de combiner les fonctions de rapport et d'alerte des journaux d'événements UNIX et Windows au sein d'un environnement unique. Il prend en charge le protocole syslog UNIX standard pour l'intégration avec les systèmes UNIX et le protocole SMTP (Simple Mail Transfer Protocol) pour le transfert des alertes. EventReporter intègre un agent que vous pouvez configurer pour collecter des événements de sécurité à partir de plusieurs ordinateurs, les filtrer et les placer dans une base de données. En fonction de l'événement de sécurité, vous pouvez ensuite transférer ces événements par courrier électronique, démarrer des applications, créer des messages réseau, etc. Pour plus d'informations sur EventReporter de Adiscon, reportez-vous au site Web [EventReporter](http://www.eventreporter.com/) à l'adresse www.eventreporter.com (en anglais).
- **GFI LANguard Security Event Log Monitor de GFI.** LANguard Security Event Log Monitor permet de gérer les journaux d'événements sur l'ensemble du réseau et d'utiliser ceux-ci pour la détection. Il archive et analyse les journaux d'événements de tous les ordinateurs reliés au réseau et alerte l'administrateur en temps réel en cas de problème de sécurité, d'attaque ou d'événement grave. Le Security Event Log Monitor permet d'archiver des journaux d'événements dans une base de données centrale et fournit une série de règles et de rapports spécifiques à la recherche et l'analyse de preuves. Pour plus d'informations, reportez-vous au site Web [GFI LANguard Security Event Log Monitor](http://www.gfi.com/lanselm/) à l'adresse www.gfi.com/lanselm (en anglais).
- **Systrack 3 de Lakeside Software, Inc.** Systrack 3 fournit des alarmes en temps réel liées aux journaux d'événements par le biais de son Event Log Monitor. Event Log Monitor inspecte périodiquement tous les journaux d'événements d'un ordinateur afin d'y déceler toute nouveauté depuis la dernière inspection. Systrack 3 isole les événements nouveaux et lance les actions nécessaires. Les paramètres de filtrage sont soit les paramètres par défaut, soit les paramètres définis par l'utilisateur, soit une combinaison des deux. Toute chaîne de caractère spécifiée (nom de la station de travail, nom de l'utilisateur, etc.) peut déclencher une alarme lorsqu'elle est détectée dans les propriétés d'un des événements. Un événement peut également exécuter un script ou redémarrer l'ordinateur. Les filtres peuvent également générer des interruptions SNMP (Simple Network Management Protocol), des messages contextuels Windows, ou des alertes envoyées par courrier électronique. Pour plus d'informations sur Systrack 3, reportez-vous au site Web [Lakeside Software](http://www.lakesidesoftware.com/) à l'adresse www.lakesidesoftware.com (en anglais).
##### Téléchargez
[.gif)Guide de planification de la surveillance de la sécurité et de la détection des attaques](http://go.microsoft.com/fwlink/?linkid=41310)
[](#mainsection)[Haut de page](#mainsection)