Guide de planification de la surveillance de la sécurité et de la détection des attaques
Chapitre 4 - Conception de la solution
Dernière mise à jour le 23 mai 2005
Sur cette page
Introduction
Éléments requis
Détection des violations de stratégies
Identification des attaques externes
Mise en œuvre de recherches et d'analyses de preuves
Résumé
Introduction
La dernière étape dans la mise au point d'un plan de système de surveillance de la sécurité et de détection des attaques consiste à créer le concept de solution qui réunit les caractéristiques définies comme nécessaires. Le concept de solution doit cibler les défis des trois scénarios définis :
détection des violations de stratégies ;
identification des attaques externes ;
mise en œuvre de recherches et d'analyses de preuves.
Le but principal de la solution étant d'identifier et d'établir le profil des attaques, ce chapitre couvre en grande partie les événements susceptibles d'indiquer qu'une attaque est en cours. Ces profils d'attaque rejoignent les défis de sécurité de chacun des trois scénarios du chapitre 3, « Questions et besoins ». La mise en œuvre précise de cette solution variera en fonction de la topologie réseau de votre organisation.
Éléments requis
Le concept de solution utilise les mêmes composants de base pour les trois scénarios. Même si elle nécessite des ressources supplémentaires pour le stockage en ligne/hors connexion et l'archivage, la recherche et l'analyse de preuves a une architecture fort comparable à celle des deux autres implémentations.
Concept de la solution
Pour concevoir une solution de surveillance de la sécurité et de détection des attaques, vous devez examiner et planifier les niveaux adéquats d'audits de sécurité pour les éléments suivants :
actions liées à la gestion des comptes, comme la création d'utilisateurs ou l'ajout d'utilisateurs à des groupes ;
accès aux fichiers protégés ;
modifications des stratégies de sécurité ;
création ou suppression de relations d'approbation ;
utilisation de droits d'utilisateurs ;
redémarrages du système et modifications de l'horloge système ;
modifications des paramètres de registre ;
exécution de programmes inconnus.
Le système de surveillance de la sécurité et de détection des attaques collecte et centralise des informations à partir des journaux d'événements de sécurité. L'administrateur peut ensuite analyser ces données afin de détecter toute activité suspecte. Les informations peuvent aussi être stockées et archivées pour la recherche et l'analyse de preuves.
Une des principales capacités que votre solution doit avoir est la configuration de l'audit par utilisateur, une fonctionnalité par défaut de Microsoft® Windows Server™ 2003 avec Service Pack 1 (SP1) et de Microsoft Windows® XP avec Service Pack 2 (SP2). Les audits par utilisateur vous permettent de spécifier des niveaux d'audit différents pour chaque compte utilisateur, et donc de définir un niveau plus élevé pour les individus suspects ou les comptes sensibles.
Configuration requise pour la solution
Un système de surveillance de la sécurité et de détection des attaques doit avoir la configuration suivante :
Les serveurs doivent exécuter Windows Server 2003 SP1 ou version ultérieure dans un domaine de service d'annuaire Active Directory®.
Les ordinateurs clients doivent exécuter Windows XP Service Pack 2 ou version ultérieure au sein d'un domaine Active Directory.
Remarque : les ordinateurs d'un réseau de périmètre ne peuvent pas être configurés avec des paramètres de stratégie de groupe Active Directory étant donné qu'ils peuvent être membres d'un groupe de travail au lieu d'un domaine. Cependant, vous pouvez les configurer en utilisant des stratégies locales et des fichiers modèles.
Ce guide ne conseille pas de technologie précise pour la centralisation des événements de sécurité mais se concentre plutôt sur l'identification des signatures caractéristiques d'une attaque. Après avoir choisi un mécanisme de collecte adapté, vous pouvez utiliser les événements et les séquences d'événements décrites dans ce chapitre pour créer des requêtes qui identifient des attaques.
Planification de la solution
Avant d'implémenter un système de surveillance de la sécurité et de détection des attaques, vous devez :
dresser l'inventaire des paramètres d'audit de sécurité actuels ;
définir les rôles de l'administrateur et les tâches des utilisateurs ;
prendre connaissance des stratégies et des procédures de l'organisation ;
identifier les ordinateurs vulnérables ;
énumérer les ordinateurs sensibles ;
identifier les comptes sensibles ou suspects ;
dresser la liste des programmes autorisés.
Pour plus d'informations sur les besoins en stockage, consultez la section « Mise en œuvre de recherches et d'analyses de preuves », plus loin dans ce chapitre.
Inventaire des paramètres d'audit de sécurité actuels
Pour fournir une base aux modifications recommandées dans ce chapitre, les organisations doivent dresser l'inventaire de leurs paramètres actuels en matière d'audit de sécurité et d'enregistrement des événements de sécurité. Cet inventaire doit contenir les informations suivantes :
paramètres effectifs actuels d'audit de sécurité ;
niveau auquel ces paramètres s'appliquent (ordinateur local, site, domaine ou unité d'organisation) ;
paramètres actuels d'enregistrement des événements (taille du fichier journal, comportement en cas de dépassement de la taille maximale) ;
paramètres d'audit de sécurité supplémentaires d'application (ex. audit de l'utilisation des privilèges de sauvegarde et de restauration).
L'annexe B, « Implémentation des paramètres de stratégie de groupe », vous aide à identifier les paramètres que vous devez enregistrer. Pour plus d'informations sur les paramètres d'audit de sécurité, consultez le Guide de sécurité de Windows Server 2003 à l'adresse http://www.microsoft.com/downloads/details.aspx?FamilyId=8A2643C1-0685-4D89-B655-521EA6C7B4DB (en anglais).
Définition des rôles de l'administrateur et des tâches des utilisateurs
Pour mettre en œuvre une surveillance efficace de la sécurité, il est essentiel que vous connaissiez vos administrateurs, ainsi que les rôles et responsabilités qu'ils assument. Ainsi, la plupart des organisations incluent les administrateurs dans le groupe Administrateurs du domaine. Les administrateurs de domaine peuvent créer des nouveaux comptes utilisateur dans le domaine. Toutefois, une stratégie organisationnelle peut spécifier que seul le système de peuplement peut créer des nouveaux comptes. Dans cette situation, toute création d'un compte utilisateur par un administrateur doit immédiatement attirer l'attention.
L'évaluation des tâches des utilisateurs est plus simple parce qu'ils ont un accès beaucoup plus restreint aux ressources réseau. Par exemple, les utilisateurs n'ont généralement pas accès aux systèmes de fichiers d'ordinateurs situés sur le réseau de périmètre. Il sera donc improbable que vous deviez surveiller ces serveurs par souci d'y détecter une quelconque activité utilisateur.
Prise de connaissance des stratégies et des procédures de l'organisation
Prendre connaissance des procédures de votre organisation revient à définir les rôles et les responsabilités des administrateurs. Par exemple, l'ajout d'utilisateurs dans des groupes est un processus qui doit faire l'objet d'une analyse sérieuse. Les départements doivent établir des procédures pour les demandes de modifications et définir des méthodes pour la mise en œuvre de celles-ci. Tout ajout d'un utilisateur dans un groupe non conforme au processus approuvé devra donc faire l'objet d'une enquête.
Identification des ordinateurs vulnérables
Les ordinateurs vulnérables sont ceux qui sont les plus susceptibles d'être visés en premier lieu par un attaquant externe qui tente de pénétrer le réseau d'une organisation. Dans la plupart des scénarios d'attaque, ces ordinateurs font partie du réseau de périmètre.
Vous devez procéder à un examen complet de tous les ordinateurs vulnérables pour vérifier que :
vous avez appliqué tous les service packs et les mises à jour de sécurité ;
vous avez désactivé les services et les comptes utilisateur qui ne sont pas nécessaires ;
vous avez configuré les services de façon à ce qu'ils s'exécutent, si possible, sous des comptes de service réseau ou de service local ;
vous avez contrôlé les services qui s'exécutent au moyen d'informations d'identification d'utilisateur (en particulier s'ils sont associés à des droits d'administrateur) pour vérifier qu'ils nécessitent bel et bien des comptes utilisateur ;
vous avez appliqué des modèles de stratégies pour ordinateurs haute sécurité.
Remarque : ce processus de contrôle n'est pas exclusif aux ordinateurs vulnérables. Les pratiques conseillées en matière de sécurité recommandent l'application de ces contrôles à tous les ordinateurs du réseau.
Pour plus d'informations sur l'exécution sans danger de services, consultez le Guide de planification de la sécurité des services et comptes de service à l'adresse http://go.microsoft.com/fwlink/?LinkId=41311.
Énumération des ordinateurs sensibles
Bien que vous ayez sans doute déjà identifié vos ordinateurs sensibles, il peut être nécessaire de formaliser cet inventaire au sein d'une stratégie d'organisation en documentant les actifs et la protection requise pour chacun d'eux. Par exemple, il se peut que vous utilisiez déjà des listes de contrôle d'accès (ACL, access control list) et un mécanisme de chiffrement pour le stockage des données financières sur des partitions NTFS. Si tel est le cas, votre stratégie d'organisation doit également identifier ces enregistrements comme étant des fichiers protégés auxquels les utilisateurs ou administrateurs non autorisés ne peuvent pas tenter d'accéder. Cette restriction doit aussi être communiquée aux administrateurs.
Ensuite, votre organisation doit examiner toute modification concernant ces fichiers protégés dans la liste ACL. Les changements de propriété sont particulièrement importants car ils peuvent indiquer une tentative d'accès au fichier sans autorisation, par exemple par un attaquant externe. Les changements de propriété sont peu fréquents et donc faciles à détecter.
Identification des comptes sensibles ou suspects
L'identification des comptes nécessitant un niveau d'audit plus élevé fait partie des étapes importantes de votre plan de conception. Ces comptes regroupent le compte de l'administrateur par défaut, les comptes des membres des groupes Administrateurs de l'entreprise, du schéma et du domaine et les comptes utilisés par des services pour ouvrir des sessions.
Lorsque vous remarquez qu'un compte est utilisé à des fins suspectes, votre stratégie de sécurité doit exiger la définition d'un niveau d'audit plus élevé pour son propriétaire. Pour plus d'informations sur la modification des niveaux d'audit pour les comptes utilisateur, consultez la section « Activation de l'audit sélectif », plus loin dans ce chapitre.
Liste des programmes autorisés
Pour collecter des informations sur votre réseau, un attaquant doit exécuter un programme. La limitation des programmes autorisés sur votre réseau permet donc de réduire considérablement la menace d'attaques externes. Pour cela, vous devez effectuer un audit de tous les programmes autorisés et considérer les programmes inconnus comme suspects. Microsoft Systems Management Server 2003 permet d'effectuer des audits logiciels dans des environnements d'entreprise de grande envergure.
Remarque : il est parfois nécessaire de prévoir des exceptions pour certains ordinateurs, comme les stations de travail de développement, étant donné que les fichiers exécutables créés par les développeurs ne figurent pas sur la liste approuvée. Pour éviter ce risque, vous pouvez aussi obliger les développeurs à développer et à tester leurs programmes sur des ordinateurs virtuels qui ne sont pas connectés au réseau d'entreprise.
Architecture de la solution
La solution de surveillance de la sécurité et de détection des attaques contient plusieurs composants qui interagissent pour générer les avertissements de sécurité. Ces composants sont les suivants :
Contrôleurs de domaine Active Directory
Infrastructure de corrélation des événements
Surveillance et analyse des stations de travail
Base de données de stockage en ligne
Support de sauvegarde
Archivage sur site à court terme
Archivage hors site à long terme
Les contrôleurs de domaine Active Directory ne sont pas indispensables parce que vous pouvez configurer les niveaux d'audit de sécurité au moyen de paramètres de sécurité locaux. Toutefois, la solution requiert Active Directory si vous voulez utiliser la stratégie de groupe pour faciliter la mise en œuvre des audits de sécurité.
Comment fonctionne la solution
Les composants de l'architecture de la solution fonctionnent de la façon suivante :
L'administrateur utilise les paramètres de la stratégie de groupe pour modifier les niveaux d'audit. Pour une liste des paramètres de stratégie de groupe recommandés, consultez l'annexe B, « Implémentation des paramètres de stratégie de groupe ».
La stratégie de groupe propage ces modifications sur les ordinateurs désignés.
L'administrateur applique les modifications nécessaires dans la stratégie de sécurité locale des ordinateurs qui ne font pas partie du domaine, comme ceux du réseau de périmètre.
Les journaux d'événements de sécurité enregistrent les événements en fonction des paramètres de la stratégie de groupe.
Le système de corrélation des événements analyse les journaux d'événements de sécurité à intervalles réguliers et enregistre ces résultats dans une base de données adéquate.
Un administrateur de la sécurité analyse les informations directement dans la base de données, ou au moyen d'utilitaires comme SysTrack 3 de Lakeside Software, afin d'identifier des activités suspectes.
Pour la recherche et l'analyse de preuves, les actions supplémentaires suivantes sont requises :
Le système de corrélation des événements extrait les entrées pertinentes à intervalles réguliers et les stocke dans la base de données en ligne.
Le système de sauvegarde de la base de données en ligne archive et supprime les enregistrements obsolètes à intervalles prédéterminés (souvent quotidiennement).
Le support de sauvegarde est conservé dans l'emplacement de stockage à court terme sur site pendant une période déterminée.
À intervalles réguliers (souvent chaque semaine), un coursier emmène les anciens supports de stockage dans l'emplacement de stockage à long terme hors site.
L'administrateur responsable des opérations de restauration effectue des essais chaque mois pour vérifier que les sauvegardes fonctionnent toujours.
Activation de l'audit sélectif
Grâce aux nouvelles fonctionnalités de Windows Server 2003 avec Service Pack 1, vous pouvez effectuer des audits sélectifs sur des comptes utilisateur. Par exemple, vous pouvez auditer les ouvertures et fermetures de session de tous les utilisateurs ou auditer toutes les activités d'un même utilisateur. Autrement, vous pouvez auditer toutes les activités de tous les comptes sauf un. Le niveau d'audit sélectif est également réglable, ce qui vous permet de réduire le nombre d'événements routiniers que vous devez filtrer ou de surveiller des individus suspects. L'audit sélectif n'est possible que sur les comptes utilisateur, et non pas sur les groupes de sécurité ou de distribution.
La mise en œuvre de niveaux d'audit sélectif se fait au moyen de l'utilitaire de ligne de commande auditusr.exe. Cet utilitaire est fourni par défaut avec Windows Server 2003 avec SP1 et Windows XP avec SP2. Pour plus d'informations sur la configuration d'audits par utilisateur, exécutez auditusr.exe /? à l'invite de commandes.
Remarque : dans un audit par utilisateur, vous ne pouvez pas exclure les membres du groupe Administrateurs présent par défaut.
Détection des violations de stratégies
Le chapitre 3, « Questions et besoins », explique que les plus graves menaces pour un réseau proviennent de l'intérieur d'une organisation. Même les institutions dotées des procédures de recrutement et de sélection les plus strictes ne peuvent se permettre de négliger la surveillance de leurs utilisateurs internes de confiance. Ce chapitre couvre la majeure partie des scénarios de menaces internes et explique comment les détecter.
Les erreurs non intentionnelles de configuration système ou réseau proviennent généralement des actions exécutées par les administrateurs. Prenons par exemple un administrateur qui suit le processus d'approbation avant d'implémenter un changement de configuration, puis utilise les bonnes informations d'identification pour ouvrir une session sur une station de travail visible pour les autres utilisateurs. Dans ce cas, l'administrateur n'a pas essayé de masquer ses actions. Le fait qu'un administrateur tente de masquer ses activités fait partie des facteurs qui permettent généralement de distinguer un sabotage délibéré d'une erreur de configuration accidentelle.
Remarque : la mise en œuvre de la surveillance de la sécurité est beaucoup plus efficace si vous avez déjà créé et mis en place un processus adéquat de gestion des modifications. En effet, sans ce processus, il est beaucoup plus difficile de vérifier que les modifications ont été apportées dans le respect des procédures établies, étant donné qu'il n'y a pas de base.
Le profilage des attaques s'appuie sur l'identification d'un événement ou d'une séquence d'événements révélateurs. Sur la base de ces informations, votre système de corrélation des événements peut rechercher d'éventuelles signatures d'attaques.
Les violations de stratégies englobent les actions suivantes :
accès aux ressources via la modification des autorisations d'accès aux fichiers ;
accès aux ressources via des réinitialisations de mots de passe ;
création, modification ou suppression des comptes utilisateur ;
affectation d'utilisateurs à des groupes ;
tentative d'utilisation de comptes non autorisés ;
ouverture de session interactive au moyen des informations d'identification d'un compte de service ;
exécution de programmes non autorisés ;
accès à des ressources non autorisées ;
dégradation de fichiers autorisés (hormis les corruptions provoquées par des erreurs de disque) ;
introduction de systèmes d'exploitation non autorisés ;
obtention des informations d'identification d'autres utilisateurs ;
tentative de contournement de l'audit ;
création ou suppression de relations d'approbation ;
modifications interdites d'une stratégie de sécurité.
Accès aux ressources via la modification des autorisations d'accès aux fichiers
Un administrateur peut afficher les fichiers qu'il n'est pas autorisé à lire en modifiant le propriétaire du fichier et en s'ajoutant ensuite à la liste d'utilisateurs qui disposent d'une autorisation de lecture sur ce fichier. S'il utilise Windows Server 2003 ou version ultérieure, il peut ensuite maquiller son action en rétablissant la propriété et les autorisations initiales.
Il serait totalement contre-productif de prévoir un audit d'accès sur tous les fichiers. Les éventuelles activités illicites se perdraient dans la masse d'événements. Toutefois, des niveaux d'audit de sécurité doivent être définis pour chaque accès et chaque modification apportée à un fichier sensible et au dossier qui le contient. Seules, les entrées de la liste ACL ne suffisent pas pour empêcher les accès non autorisés.
Pour contrecarrer efficacement les activités illégales, vous devez identifier les facteurs suivants pour tous les fichiers sensibles :
l'objet visé par la tentative d'accès ;
l'utilisateur à l'origine de la demande ,
les autorisations d'accès à l'objet visé ;
le type d'accès (lecture, écriture, liste, etc.) ayant fait l'objet de la tentative ;
la nature de l'événement selon l'audit (succès ou échec) ;
l'ordinateur ayant servi à la tentative d'accès.
Les paramètres de filtrage de l'Observateur d'événements n'étant pas suffisants, vous devez utiliser EventComb MT ou un autre utilitaire tiers pour effectuer cette analyse.
Le tableau suivant répertorie les événements d'audit déclenchés par la modification des autorisations d'accès aux fichiers. La catégorie d'audit est Accès aux objets.
Tableau 4.1 : événements déclenchés par la modification des autorisations d'accès aux fichiers
| ID d'événement | Occurrence | Commentaires |
|---|---|---|
| 560 | Accès octroyé à un objet existant | Ces événements montrent l'endroit où un objet a réussi à octroyer l'accès à une demande (liste, lecture, créer et supprimer). Vérifiez les champs Id. de session principale, Utilisateur client et Utilisateur principal pour détecter des tentatives de modification des autorisations de fichiers. Vérifiez le champ Accès pour identifier le type d'opération. Cet événement indique uniquement que l'accès a été demandé ou octroyé. Il ne signifie pas que l'accès a eu lieu. L'utilisateur incriminé est l'utilisateur client ou, à défaut, l'utilisateur principal. |
| 567 | Une autorisation associée à un handle a été utilisée | Cet événement a lieu sur la première instance d'un type d'accès (liste, lire, créer, etc.) à un objet. Pour le mettre en corrélation avec l'événement 560, comparez les champs ID du handle. |
| ID d'événement | Occurrence | Commentaires |
|---|---|---|
| 627 | Tentative de changement de mot de passe | Cet événement est déclenché par une demande de modification de mot de passe dans laquelle l'utilisateur fournit son mot de passe d'origine pour l'accès au compte. Comparez le champ Compte principal avec le champ Nom du compte cible pour déterminer si le demandeur est le propriétaire du compte ou quelqu'un d'autre. Si le champ Compte principal n'est pas identique au champ Nom du compte cible, cela signifie que la modification de mot de passe a été demandée par quelqu'un d'autre que le propriétaire du compte. Sur les ordinateurs Microsoft Windows Me ou Windows NT®, il est courant de voir Anonyme comme compte ayant demandé la modification. Cela est dû au fait que l'utilisateur n'a peut-être pas été authentifié. Cela dit, le demandeur doit fournir l'ancien mot de passe, ce qui réduit fortement l'importance du risque. |
| 628 | Initialisation ou réinitialisation du mot de passe d'un compte utilisateur | Enregistre toute réinitialisation de mot de passe effectuée par un utilisateur ou un processus au moyen d'une interface d'administration telle que Utilisateurs et ordinateurs Active Directory et non pas par le biais d'une modification de mot de passe. Ce processus doit être exécuté exclusivement par les personnes ou les processus autorisés, tels que les membres du service d'assistance ou le processus de réinitialisation du mot de passe par l'utilisateur. |
| 698 | Modification du mot de passe du mode Restauration des services d'annuaire | Enregistre toute tentative de modification du mot de passe du mode Restauration des services d'annuaire sur un contrôleur de domaine. Vérifiez les champs IP de la station de travail et Nom de compte et recherchez immédiatement l'origine de toute anomalie. |
| ID d'événement | Occurrence | Commentaires |
|---|---|---|
| 624 | Création d'un compte utilisateur | La création de comptes réseau doit être réservée exclusivement aux personnes et aux processus autorisés. Consultez le champ Utilisateur principal pour voir si un compte a été créé par une personne ou un processus autorisé. Cet événement détecte également toute création de compte non conforme à la stratégie de l'entreprise. |
| 630 | Suppression d'un compte utilisateur | La suppression des comptes réseau doit être réservée exclusivement aux personnes et aux processus autorisés. Recherchez ces événements et consultez le champ Compte principal pour voir si des comptes ont été supprimés par une personne non autorisée. |
| 642 | Modification d'un compte utilisateur | Cet événement enregistre les modifications apportées aux propriétés de sécurité des comptes utilisateur non couverts par les événements 627 à 630. |
| 685 | Modification d'un nom de compte | Vérifiez que le Compte principal correspond à une personne ou à un processus autorisé. |
| ID d'événement | Occurrence | Commentaires |
|---|---|---|
| De 631 à 634 | Modifications dans un groupe global de sécurité | Vérifiez que cet événement ne s'est pas produit pour les groupes qui ont des privilèges d'accès globaux ou élevés (par ex. le groupe Administrateurs du domaine). Des modifications pourraient avoir eu lieu au mépris des restrictions de la stratégie d'entreprise. Le nom du groupe est indiqué dans le champ Nom du compte cible. |
| De 635 à 638 | Modification dans un groupe local de sécurité | Vérifiez que cet événement ne s'est pas produit pour les groupes tels que Administrateurs, Opérateurs de serveur ou Opérateurs de sauvegarde. Des modifications pourraient avoir eu lieu au mépris des restrictions de la stratégie d'entreprise. Le nom du groupe est indiqué dans le champ Nom du compte cible. |
| 639 641 668 | Modifications dans un groupe de sécurité | Ces événements indiquent les modifications apportées dans un groupe hormis la création et la suppression d'un groupe ou l'ajout et la suppression de membres. Vérifiez que ces événements ne se sont pas produits dans des groupes jouissant de privilèges élevés. Des modifications pourraient avoir eu lieu au mépris des restrictions de la stratégie d'entreprise. Le nom du groupe est indiqué dans le champ Nom du compte cible. |
| De 659 à 662 | Modifications dans un groupe universel de sécurité | Vérifiez que cet événement ne s'est pas produit pour les groupes qui ont des privilèges d'accès élevés (par ex. le groupe Administrateurs d'entreprise ou du schéma). Des modifications pourraient avoir eu lieu au mépris des restrictions de la stratégie d'entreprise. Le nom du groupe est indiqué dans le champ Nom du compte cible. |
| ID d'événement | Occurrence | Commentaires |
|---|---|---|
| 528/540 | Ouverture de session réussie | Suspect lorsque le champ Nom du compte cible renseigne le compte d'administrateur par défaut. L'événement 528 est assez courant dans des conditions d'utilisation normales. |
| 529 | Échec d'ouverture de session — nom d'utilisateur ou mot de passe inconnu | Vérifiez la présence de tentatives où le champ Nom du compte cible correspond au compte d'administrateur actuel ou au compte d'administrateur par défaut renommé. Contrôlez les échecs d'ouverture de session répétés qui sont en dessous du seuil de verrouillage du compte. |
| 531 | Échec d'ouverture de session — compte désactivé | Toujours étudier cet événement. Vérifiez les champs Nom du compte cible et Station de travail. Cet événement peut signaler une tentative d'abus par un ancien utilisateur interne. |
| 532 | Échec d'ouverture de session — compte expiré | Toujours étudier cet événement. Vérifiez les champs Nom du compte cible et Station de travail. Cet événement peut signaler une tentative d'abus par un sous-traitant ou un utilisateur interne temporaire. |
| 576 | Privilèges spéciaux attribués à une nouvelle ouverture de session | Cet événement apparaît lorsqu'une nouvelle ouverture de session obtient des privilèges permettant un accès d'administrateur ou une falsification du journal d'audit. Pour le mettre en corrélation avec l'événement 528 ou 540, comparez les champs ID de connexion. L'événement 576 vous permet de voir rapidement si un compte a obtenu l'équivalence administrateur à l'ouverture de session. Cette approche est plus facile qu'essayer de déterminer les membres d'un groupe par calcul. |
| ID d'événement | Occurrence | Commentaires |
|---|---|---|
| 528 | Ouverture de session réussie – attaque par le biais de la console ou services Terminal Server | Si un journal d'événements enregistre l'événement 528 pour un compte de service ou pour le système local avec un type de session 2, cela veut dire qu'une attaque est en cours, que l'attaquant a obtenu le mot de passe du compte de service et a ouvert une session sur la console. Si un journal d'événements enregistre un type de session 10, cela signifie qu'un attaquant a utilisé les services Terminal Server pour ouvrir une session. Dans un cas comme dans l'autre, vous devez immédiatement rechercher l'origine de l'attaque. |
| 534 | Échec d'ouverture de session — type de connexion non autorisé | Vérifiez les champs Nom du compte cible, Station de travail et type de session. Cet événement signale l'échec d'une tentative d'ouverture de session interactive au moyen des informations d'identification d'un compte de service lorsque la stratégie de groupe l'interdit. |
| 600 | Un jeton principal a été attribué à un processus | Cet événement se produit lorsqu'un service utilise un compte nommé pour ouvrir une session sur un ordinateur qui exécute Windows XP ou version ultérieure. Mettez cet événement en corrélation avec les événements 672, 673, 528 et 592. |
| 601 | Un utilisateur a tenté d'installer un service | Cet événement ne doit se produire que très rarement parce que l'installation de services n'est pas une opération quotidienne. Chaque occurrence (que la tentative ait abouti ou échoué) doit donner lieu à une enquête. |
| ID d'événement | Occurrence | Commentaires |
|---|---|---|
| 592 | Création d'un nouveau processus | Vérifiez les champs Nom du fichier image et Utilisateur pour détecter de nouveaux processus. Tous les processus devraient figurer dans la liste de programmes autorisés. |
| 602 | Création d'un travail planifié | Vérifiez le champ Nom de cible pour voir si l'exécution de processus planifiés est autorisée et le champ Heure de la tâche pour mettre l'événement en corrélation avec des planifications de tâches connues. |
| ID d'événement | Occurrence | Commentaires |
|---|---|---|
| 560 | Accès refusé à un objet existant | Recherchez les échecs d'audit. Consultez le champ Nom de l'objet pour connaître la ressource visée. Mettez en corrélation les champs Utilisateur principal et Domaine principal ou les champs Utilisateur du client et Domaine du client. |
| 568 | Tentative de création d'une liaison forte avec un fichier audité | Cet événement se produit lorsqu'un utilisateur ou un programme tente de créer une liaison fixe avec un fichier ou un objet. En créant une liaison fixe avec un fichier, un utilisateur peut manipuler celui-ci (dans les limites des droits de l'utilisateur propriétaire) sans qu'un journal d'audit ne soit créé. |
| ID d'événement | Occurrence | Commentaires |
|---|---|---|
| 529 | Échec d'ouverture de session — nom d'utilisateur ou mot de passe inconnu | Vérifiez la présence de tentatives où le champ Nom du compte cible correspond à l'administrateur et où le champ Nom de domaine est vide ou le champ Nom du compte cible correspond à la racine. |
| 592 | Création d'un nouveau processus | Vérifiez les champs Nom du fichier image et Utilisateur pour détecter de nouveaux processus. Tous les processus devraient être des programmes autorisés. |
| ID d'événement | Occurrence | Commentaires |
|---|---|---|
| 512 | Démarrage de Windows | Apparaît généralement après l'événement 513. Examinez tout redémarrage inattendu. |
| 513 | Fermeture de Windows | Apparaît généralement avant l'événement 512. Les personnes autorisées doivent redémarrer les ordinateurs sensibles conformément aux règles établies. Lorsque cet événement se produit sur un serveur, recherchez-en immédiatement la cause. |
| 516 | Échec d'audit | Cet événement peut se produire lorsque la mémoire tampon du journal des événements est saturée en raison du nombre d'événements de sécurité. Limitez le nombre d'événements audités. Cet événement peut également se produire lorsque le journal de sécurité est configuré pour empêcher toute réécriture. Les ordinateurs situés dans des zones qui exigent un niveau élevé d'audit doivent faire l'objet d'une surveillance rapprochée. En fonction des paramètres de sécurité, certains ordinateurs s'éteignent lorsque les journaux de sécurité sont pleins. Surveillez l'événement 516 sur tous les ordinateurs qui requièrent une sécurité accrue. |
| 517 | Suppression du contenu des journaux des événements de sécurité | Les administrateurs ne doivent pas vider les journaux des événements de sécurité sans autorisation. Vérifiez les champs Utilisateur du client et Domaine du client, puis mettez-les en corrélation avec la liste de personnes autorisées. |
| 520 | Modification de l'heure du système | Cette pratique peut tromper la recherche et l'analyse de preuves ou fournir un faux alibi à l'attaquant. Le nom de processus est %windir %\system32\svchost.exe. Vérifiez les champs Utilisateur du client et Domaine du client, puis mettez-les en corrélation avec la liste de personnes autorisées. |
| 521 | Impossible d'enregistrer les événements | Windows ne peut pas enregistrer d'événements dans le journal des événements de sécurité. Si cet événement se produit sur un ordinateur sensible, vous devez en rechercher la cause immédiatement. |
| 608 | Un privilège de compte utilisateur a été attribué | Cette action octroie un nouveau privilège à un compte utilisateur. Le journal des événements enregistre cette action en combinaison avec l'identificateur de sécurité (SID, security identifier) du compte utilisateur et non pas son nom. |
| 609 | Un privilège de compte utilisateur a été supprimé | Cette action supprime un privilège d'un compte utilisateur. Le journal des événements enregistre cette action en combinaison avec l'identificateur de sécurité du compte utilisateur et non pas son nom. |
| 612 | Modification de la stratégie d'audit | Cet événement n'indique pas nécessairement un problème. Cela dit, il pourrait révéler une tentative d'attaque contre un système informatique. Vous devez surveiller cet événement sur les ordinateurs sensibles et les contrôleurs de domaine. |
| 621 | L'accès au système a été accordé à un compte | Un utilisateur a obtenu l'accès à un système. Vérifiez les champs Utilisateur et Compte modifié, en particulier si l'autorisation d'accès est interactive. |
| 622 | L'accès au système a été supprimé d'un compte | Cet événement peut indiquer qu'un attaquant a supprimé des preuves de l'événement 621, ou essaie de refuser le service à d'autres comptes. |
| 643 | Modifications de la stratégie de sécurité du domaine | Cet événement révèle une tentative de modification des stratégies de mots de passe ou d'autres paramètres de la stratégie de sécurité du domaine. Vérifiez le nom d'utilisateur du sujet et comparez-le avec les autorisations. |
| ID d'événement | Occurrence | Commentaires |
|---|---|---|
| 610 611 620 | Création, suppression ou modification d'une relation d'approbation avec un autre domaine | Ces événements apparaissent sur le contrôleur de domaine sur lequel l'objet Domaine approuvé a été créé. Ils doivent générer une alerte et donner lieu à une enquête immédiate. Vérifiez le champ Utilisateur pour le sujet qui a effectué l'opération d'approbation. |
| ID d'événement | Occurrence | Commentaires |
|---|---|---|
| 612 | Modification de la stratégie d'audit | Identifie toute modification au niveau de la stratégie d'audit. Mettez cet événement en corrélation avec les modifications apportées à la stratégie système par le personnel autorisé. |
| 613 614 615 | Modification de la stratégie IPSec | Surveillez ces événements et recherchez leur origine s'ils ne se sont pas produits pendant un démarrage système. |
| 618 | Stratégie de récupération des données chiffrées | Si une stratégie de récupération des données chiffrées est utilisée, surveillez cet événement et examinez toutes les occurrences non conformes. |
| ID d'événement | Occurrence | Commentaires |
|---|---|---|
| 529 | Échec d'ouverture de session — nom d'utilisateur ou mot de passe inconnu | Vérifiez la présence de tentatives où le champ Nom du compte cible correspond au compte d'administrateur actuel ou au compte d'administrateur par défaut renommé. Contrôlez les échecs d'ouverture de session répétés qui sont en dessous du seuil de verrouillage du compte. Cet événement peut révéler la présence d'un individu non autorisé qui essaie de deviner le mot de passe de l'administrateur local. Mettez les événements 529 et 539 en corrélation afin d'identifier une suite de verrouillages de comptes récurrents. |
| 534 | Échec d'ouverture de session — type de connexion non autorisé | Tentative d'ouverture de session d'un type non autorisé, par exemple réseau, interactive, par fichier de commande, ou à un service. Vérifiez les champs Nom du compte cible, Station de travail et type de session. |
| 539 | Compte verrouillé | Un utilisateur a essayé d'ouvrir une session avec un compte déjà verrouillé. Mettez cet événement en corrélation avec l'événement 529 afin d'identifier une suite de verrouillages de comptes récurrents. |
| 553 | Attaque par reproduction détectée | Cet événement se produit lorsque le progiciel d'identification (souvent Kerberos) détecte une tentative d'ouverture de session par reproduction des informations d'identification d'un utilisateur. Investiguez immédiatement. Attention, cet événement peut être un signe d'une configuration réseau incorrecte. |
| 627 | Tentative de changement de mot de passe | Comparez le champ Compte principal avec le champ Nom du compte cible pour déterminer si la tentative de modification du mot de passe émane du propriétaire du compte ou de quelqu'un d'autre. Si le champ Compte principal n'est pas identique au champ Nom du compte cible, cela signifie que la tentative n'émane pas du propriétaire du compte, mais de quelqu'un d'autre. |
| 628 | Initialisation ou réinitialisation du mot de passe d'un compte utilisateur | Ce processus doit être exécuté exclusivement par les personnes ou les processus autorisés, tels que les membres du service d'assistance ou le processus de réinitialisation du mot de passe par l'utilisateur. Si ce n'est pas le cas, recherchez immédiatement l'origine de cet événement. |
| 644 | Verrouillage automatique du compte utilisateur | Un compte utilisateur s'est automatiquement verrouillé parce que le nombre d'échecs d'ouverture de session séquentiels a dépassé la limite établie. Mettez cet événement en corrélation avec les événements 529, 675, 676 (Windows 2000 Server uniquement) et 681. Reportez-vous aussi à l'entrée concernant l'événement 12294 dans ce même tableau. |
| 675 | Échec de la pré-authentification | Mettez cet événement en corrélation avec l'événement 529 pour connaître la cause supplémentaire de l'échec d'ouverture de session. Il pourrait s'agir d'un problème de synchronisation horaire ou de comptes d'ordinateur incorrectement inscrits dans le domaine. |
| 12294 | Tentative de verrouillage de compte | Cet événement peut indiquer une attaque par la force contre le compte d'administrateur par défaut. Étant donné que ce compte n'est jamais verrouillé, les journaux d'événements système enregistrent l'événement SAM 12294 à la place. Chaque occurrence de cet événement doit immédiatement faire l'objet d'une enquête car il peut également signaler la présence d'un système d'exploitation non autorisé. Vérifiez que le champ Nom de domaine renseigne un domaine connu. |
| ID d'événement | Occurrence | Commentaires |
|---|---|---|
| 528 538 | Ouverture et fermeture de session locale | Les ouvertures de session locales sont normalement très rares sur les ordinateurs du réseau de périmètre. Regardez le champ ID de connexion. Investiguez en cas de valeur inattendue dans les champs Nom du compte d'utilisateur, Heure, ou Station de travail. |
| 576 | Ouverture de session avec privilèges | DansWindows Server 2003 avec SP1 ou version ultérieure, cet événement révèle une ouverture de session « administrateur » : une ouverture de session disposant de privilèges suffisants pour accéder à la Trusted Computing Base (TCB) ou prendre le contrôle de l'ordinateur. Dans les versions antérieures de Windows, cet événement n'a d'intérêt que s'il contient un privilège sensible comme SeSecurityPrivilege ou SeDebugPrivilege. |
| ID d'événement | Occurrence | Commentaires |
|---|---|---|
| 592 | Création d'un nouveau processus | Vérifiez les champs Nom du fichier image et Utilisateur pour détecter de nouveaux processus. Tous les processus devraient être des programmes autorisés. |
| ID d'événement | Occurrence | Commentaires |
|---|---|---|
| 528 | Ouverture de session réussie | Vérifiez le Nom de la station de travail et le Nom du compte d'utilisateur. Vérifiez que l'adresse réseau source est comprise dans la plage d'adresses IP de l'entreprise. |
| 530 | Échec d'ouverture de session — limitation horaire d'utilisation | Cet événement révèle une tentative d'ouverture de session en dehors des horaires prévus. Vérifiez les champs Nom du compte d'utilisateur et Nom de la station de travail. |