Les Audits 3kernels.free.fr 1 / 10
Introduction 3 3kernels.free.fr 2 / 10
Introduction Pour une observation des événements les Audits sont utiles. Il fait l historique, des faits que l on a décidé de surveiller. Cela peut nous aider à voir qui c est connecter, les logiciel soliciter etc Pour l observation d un poste savoir les utilitaires les plus utilisés les utilisateurs les plus connectée etc Mettre un Audit Pour enclencher un audit, il faut aller dans le panneau de configuration. Avec le raccourci clavier + r, on obtient la console Executé, puis entrer la commande control admintools.. Dans le panneau des outils d administration et puis sélectionner l icône de sécurité locale. Stratégie de 3kernels.free.fr 3 / 10
Choisir l Audit Pour choisir un Audit on développe ainsi le nœud Stratégie d audit Stratégie d audit Auditer la gestion des comptes Ce paramètre de sécurité détermine s il convient d auditer chaque événement de gestion des comptes sur un ordinateur. Exemples d événements de gestion des comptes : Un compte ou un groupe d utilisateurs est créé, modifié ou supprimé. Un compte d utilisateur est renommé, désactivé ou activé. Un mot de passe est défini ou changé. Si vous définissez ce paramètre de stratégie, vous pouvez spécifier s il convient d auditer les réussites, les échecs, ou de ne pas du tout auditer le type d événement. Les audits de réussite génèrent une entrée d audit lorsqu un événement de gestion de compte réussit. Les audits d échec génèrent une entrée d audit lorsqu un événement de gestion de compte échoue. Pour définir cette valeur à Pas d audit, dans la boîte de dialogue Propriétés de ce paramètre de stratégie, activez la case à cocher Définir ces paramètres de stratégie et désactivez les cases à cocher Réussite et Échec. 3kernels.free.fr 4 / 10
Auditer l accès au service d annuaire Ce paramètre de stratégie détermine s il convient d auditer l événement d un accès utilisateur à un objet Active Directory dont la propre liste de contrôle d accès système (SACL) est spécifiée. Par défaut, cette valeur est définie à Pas d audit dans l objet de stratégie de groupe (GPO) du contrôleur de domaine par défaut, et reste non définie pour les stations de travail et les serveurs où elle n est pas significative. Si vous définissez ce paramètre de stratégie, vous pouvez spécifier s il convient d auditer les réussites, d auditer les échecs, ou de ne pas du tout auditer le type d événement. Les audits de réussite génèrent une entrée d audit lorsqu un utilisateur accède à un objet Active Directory pour lequel une liste SACL a été spécifiée. Les audits d échecs génèrent une entrée d audit lorsqu un utilisateur effectue une tentative infructueuse d accès à un objet Active Directory pour lequel une liste SACL a été spécifiée. Pour définir cette valeur à Pas d audit, dans la boîte de dialogue Propriétés pour ce paramètre de stratégie, activez la case à cocher Définir ces paramètres de stratégie et désactivez les cases à cocher Réussite et Échec. Notez que vous pouvez définir une liste SACL sur un objet Active Directory en utilisant l onglet Sécurité dans la boîte de dialogue Propriétés de cet objet. Cette opération est identique à un accès à un objet Audit, sauf qu elle s applique uniquement aux objets Active Directory et non aux objets du système de fichiers et du Registre. 3kernels.free.fr 5 / 10
Auditer l accès aux objets Ce paramètre de sécurité détermine s il convient d auditer l événement d accès à un objet par un utilisateur, par exemple, un fichier, un dossier, une clé de Registre, une imprimante, etc., dont la propre liste de contrôle d accès système (SACL) est spécifiée. Si vous définissez ce paramètre de stratégie, vous pouvez spécifier s il convient d auditer les réussites, d auditer les échecs, ou de ne pas du tout auditer le type d événement. Les audits de réussite génèrent une entrée d audit lorsqu un utilisateur réussit à accéder à un objet pour lequel une liste SACL appropriée est spécifiée. Les audits d échec génèrent une entrée d audit lorsqu un utilisateur tente en vain d accéder à un objet pour lequel une liste SACL est spécifiée. Pour définir cette valeur à Pas d audit, dans la boîte de dialogue Propriétés de ce paramètre de stratégie, activez la case à cocher Définir ces paramètres de stratégie et désactivez les cases à cocher Réussite et Échec. Notez que vous pouvez définir une liste SACL sur un objet de système de fichiers en utilisant l onglet Sécurité dans la boîte de dialogue Propriétés de cet objet. 3kernels.free.fr 6 / 10
Auditer le suivi des processus Ce paramètre de sécurité détermine s il convient d auditer les informations de suivi détaillé pour des événements tels que l activation d un programme, la fin d un processus, la duplication d un descripteur et l accès indirect à un objet. Si vous définissez ce paramètre de stratégie, vous pouvez spécifier s il convient d auditer les réussites, d auditer les échecs, ou de ne pas du tout auditer le type d événement. Les audits de réussite génèrent une entrée d audit lorsque le processus suivi réussit. Les audits d échec génèrent une entrée d audit lorsque le processus suivi échoue. Pour définir cette valeur à Pas d audit, dans la boîte de dialogue Propriétés de ce paramètre de stratégie, activez la case à cocher Définir ces paramètres de stratégie et désactivez les cases à cocher Réussite et Échec. Auditer les événements de connexion Ce paramètre de sécurité détermine s il convient d auditer chaque instance d une ouverture ou d une fermeture de session par un utilisateur sur un ordinateur. Les événements de connexion à un compte sont générés sur les contrôleurs de domaine pour une activité de compte de domaine et sur les ordinateurs locaux pour une activité de compte local. Si les catégories de connexion à un compte et de stratégie d audit de connexion sont toutes deux activées, les connexions qui utilisent un compte de domaine génèrent un événement d ouverture de session ou de fermeture de session sur la station de travail ou le serveur, et elles génèrent un événement de connexion à un compte sur le contrôleur de domaine. En outre, les connexions interactives à un serveur membre ou à une station de travail qui utilisent un compte de domaine génèrent un événement de connexion sur le contrôleur de domaine car les scripts et stratégies de connexion sont récupérés lorsqu un utilisateur se connecte. Pour plus d informations sur les événements de connexion à un compte, voir Auditer les événements de connexion aux comptes. 3kernels.free.fr 7 / 10
Auditer les événements de connexion aux comptes Ce paramètre de stratégie détermine s il convient d auditer chaque instance d ouverture ou de fermeture de session sur un autre ordinateur dans laquelle cet ordinateur est utilisé pour valider le compte. Des événements d ouverture de session de compte sont générés lorsqu un compte d utilisateur de domaine est authentifié sur un contrôleur de domaine. L événement est enregistré dans le journal de sécurité du contrôleur de domaine. Des événements d ouverture de session sont générés lorsqu un utilisateur local est authentifié sur un ordinateur local. L événement est enregistré dans le journal de sécurité local. Aucun événement de fermeture de session de compte n est généré. Si vous définissez ce paramètre de stratégie, vous pouvez spécifier s il convient d auditer les réussites, d auditer les échecs, ou de ne pas du tout auditer le type d événement. Les audits de réussite génèrent une entrée d audit lorsqu une ouverture de session de comptes aboutit. Les audits d échec génèrent une entrée d audit lors de l échec d une ouverture de session de compte. Pour définir cette valeur à Pas d audit, dans la boîte de dialogue Propriétés de ce paramètre de stratégie, activez la case à cocher Définir ces paramètres de stratégie et désactivez les cases à cocher Réussite et Échec. Si l audit de réussite des événements d ouverture de session de compte est activé sur un contrôleur de domaine, une entrée est enregistrée pour chaque utilisateur qui est validé sur ce contrôleur de domaine, même si l utilisateur est actuellement connecté sur une station de travail qui est jointe au domaine. 3kernels.free.fr 8 / 10
Auditer les événements système Ce paramètre de sécurité détermine s il convient d auditer lorsqu un utilisateur redémarre ou arrête l ordinateur ou lorsqu un l événement qui se produit affecte la sécurité du système ou le journal de sécurité. Si vous définissez ce paramètre de stratégie, vous pouvez spécifier s il convient d auditer les réussites, d auditer les échecs, ou de ne pas du tout auditer le type d événement. Les audits de réussite génèrent une entrée d audit lorsqu un événement système est exécuté avec succès. Les audits d échec génèrent une entrée d audit lorsqu un événement système est tenté sans succès. Pour définir cette valeur à Pas d audit, dans la boîte de dialogue Propriétés de ce paramètre de stratégie, activez la case à cocher Définir ces paramètres de stratégie et désactivez les cases à cocher Réussite et Échec. Auditer les modifications de stratégie Ce paramètre de stratégie détermine s il convient d auditer chaque incident d une modification aux stratégies d affectation de droits de l utilisateur, aux stratégies d audit ou aux stratégies d approbation. Si vous définissez ce paramètre de stratégie, vous pouvez spécifier s il convient d auditer les réussites, d auditer les échecs, ou de ne pas du tout auditer le type d événement. Les audits de réussite génèrent une entrée d audit lorsqu une modification aux stratégies d affectation de droits de l utilisateur, aux stratégies d audit ou aux stratégies d approbation aboutit. Les audits d échec génèrent une entrée d audit lorsqu une modification aux stratégies d affectation de droits de l utilisateur, aux stratégies d audit ou aux stratégies d approbation échoue. Pour définir cette valeur à Pas d audit, dans la boîte de dialogue Propriétés de ce paramètre de stratégie, activez la case à cocher Définir ces paramètres de stratégie et désactivez les cases à cocher Réussite et Échec. 3kernels.free.fr 9 / 10
Auditer l utilisation des privilèges Des audits ne sont pas générés pour l utilisation des droits de l utilisateur suivants, même si des audits de réussite ou des audits d échec sont spécifiés pour Auditer l utilisation des privilèges. L activation de l audit de ces droits de l utilisateur tend à générer de nombreux événements dans le journal de sécurité, ce qui peut compromettre les performances de votre ordinateur. Pour auditer les droits de l utilisateur suivants, activez la clé de Registre FullPrivilegeAuditing. Contourner la vérification de parcours Déboguer les programmes Créer un objet-jeton Remplacer un jeton de niveau processus Générer des audits de sécurité Sauvegarder les fichiers et les répertoires Restaurer les fichiers et les répertoires Attention Ce paramètre de sécurité détermine s il convient d auditer chaque instance d un utilisateur exerçant un droit de l utilisateur. Si vous définissez ce paramètre de stratégie, vous pouvez spécifier s il convient d auditer les réussites, d auditer les échecs, ou de ne pas du tout auditer le type d événement. Les audits de réussite génèrent une entrée d audit lorsque l exercice d un droit de l utilisateur réussit. Les audits d échec génèrent une entrée d audit lorsque l exercice d un droit de l utilisateur Échoue. Pour définir cette valeur à Pas d audit, dans la boîte de dialogue Propriétés de ce paramètre de stratégie, activez la case à cocher Définir ces paramètres de stratégie et désactivez les cases à cocher Réussite et Échec. Valeur par défaut : Pas d audit. Une modification incorrecte du Registre peut gravement endommager le système. Avant d apporter des modifications au Registre, il convient de sauvegarder toutes les données importantes de l ordinateur. 3kernels.free.fr 10 / 10