Serveur d'impression

L'audit de Windows expliqué – Bien choisir son serveur d impression

Le 17 mars 2020 - 9 minutes de lecture

L'audit en continu de l'activité de votre réseau est l'une des meilleures pratiques de sécurité les plus critiques, car elle vous aide à détecter une activité potentiellement malveillante suffisamment tôt pour prendre des mesures et prévenir les violations de données, les temps d'arrêt du système et les échecs de conformité. Les principales méthodes d'audit Windows comprennent:

  • Journaux des événements et transfert du journal des événements
  • Audit et audit avancé
  • Services de collecte d'audit
  • Journalisation de Windows PowerShell

Journaux des événements et transfert du journal des événements

Les journaux d'événements enregistrent l'activité sur un ordinateur particulier. Lorsque vous configurez l'audit correctement,

presque tous les événements qui ont une importance pour la sécurité sont enregistrés dans l'Observateur d'événements. Cela fait des journaux d'événements la première chose à regarder pendant les enquêtes de sécurité informatique. Voici deux conseils importants:

  • Configurez la taille du journal des événements au maximum (4 Go) pour minimiser les risques d'écrasement des événements car le journal est plein.
  • Archivez vos journaux d'événements, donc si vous détectez une attaque, vous pouvez consulter les journaux d'événements plus anciens pour savoir exactement quand et comment les attaquants ont pu compromettre le système.

Transfert du journal des événements

Vous devez également déplacer régulièrement les journaux d'événements de vos ordinateurs, car les attaquants nettoient souvent les journaux d'événements pour échapper à la détection. La fonction de transfert du journal des événements Windows vous permet de transférer automatiquement les journaux des événements de tous vos ordinateurs vers une machine désignée (le collecteur d'événements) qui les stocke tous en toute sécurité. Il existe deux types d'abonnement aux événements:

  • Abonnements initiés par la source vous permet de définir un abonnement aux événements sur l'ordinateur du collecteur d'événements sans définir les ordinateurs source. Ensuite, vous utilisez la stratégie de groupe pour contrôler les ordinateurs source qui transfèrent les événements au collecteur d'événements.
  • Abonnements initiés par le collecteur vous permet de créer un abonnement aux événements qui spécifie les ordinateurs source qui transmettront les journaux des événements.

Vous pouvez en savoir plus sur la configuration de la transmission du journal des événements en lisant cet article.

Audit et audit avancé

Les stratégies d'audit vous permettent d'enregistrer diverses activités dans le journal de sécurité Windows. Vous pouvez ensuite examiner ces journaux d'audit pour identifier les problèmes qui nécessitent une enquête plus approfondie. L'audit des activités réussies fournit une documentation des modifications afin que vous puissiez dépanner les modifications qui ont conduit à un échec ou à une violation. La journalisation des tentatives infructueuses peut repérer des pirates malveillants ou des utilisateurs non autorisés à accéder aux ressources de l'entreprise.

Votre stratégie d'audit spécifie les catégories d'événements liés à la sécurité que vous souhaitez auditer. Pour configurer les paramètres de stratégie, accédez à Configuration de l'ordinateur de stratégie de groupe -> Stratégies -> Paramètres Windows -> Paramètres de sécurité -> Stratégies locales -> Stratégie d'audit. Voici les paramètres de base et ce qui se passe si vous les activez:

  • Connexion au compte d'audit événements – Crée un événement lorsqu'un utilisateur ou un ordinateur tente d'utiliser un compte Active Directory pour s'authentifier.
  • Audit de la gestion des comptes – Audite des événements tels que la création, la suppression ou la modification d'un compte d'utilisateur, de groupe ou d'ordinateur et la réinitialisation des mots de passe des utilisateurs.
  • Service d'annuaire d'audit accès – Audite les événements spécifiés dans la liste de contrôle d'accès système, tels que les autorisations.
  • Auditer les événements de connexion – Crée un événement lorsqu'un utilisateur se connecte à un ordinateur de manière interactive (localement) ou sur le réseau (à distance).
  • Audit de l'accès aux objets – Audite l'accès aux objets tels que les fichiers, les dossiers, les clés de registre et les imprimantes qui ont leurs propres SACL.
  • Politique d'audit changement – Audite les modifications apportées aux stratégies d'attribution des droits utilisateur, aux stratégies d'audit et aux stratégies d'approbation.
  • Utilisation des privilèges d'audit – Audits tente d'utiliser des autorisations ou des droits d'utilisateur. Vous pouvez choisir d'auditer les tentatives réussies, les tentatives échouées ou les deux.
  • Suivi du processus d'audit – Audite les événements liés au processus, tels que la création de processus, la fin du processus, la duplication de gestion et l'accès indirect aux objets.
  • Événements du système d'audit – Audite les redémarrages et arrêts du système et les modifications qui affectent le système ou les journaux de sécurité.

Politique d'audit avancée

Les administrateurs peuvent auditer des événements plus spécifiques à l'aide des paramètres de stratégie d'audit avancés situés dans Configuration de l'ordinateur de stratégie de groupe -> Stratégies -> Paramètres Windows -> Paramètres de sécurité -> Configuration de stratégie d'audit avancée -> Stratégies d'audit. Les catégories suivantes sont disponibles:

  • Connexion au compte – Ces paramètres contrôlent l'audit de la validation des informations d'identification et d'autres événements d'authentification et d'opération de ticket spécifiques à Kerberos.
  • Gestion de compte – Ces paramètres de stratégie sont liés à la modification des comptes d'utilisateurs, des comptes d'ordinateurs, des changements d'appartenance à un groupe et à la journalisation des événements de changement de mot de passe.
  • Suivi détaillé – Ces paramètres contrôlent l'audit des événements de chiffrement, les événements de création et d'arrêt de processus Windows et les événements d'appel de procédure distante (RPC).
  • Accès DS – Ces paramètres de stratégie déterminent s'il faut suivre l'accès à AD, les modifications AD et la réplication.
  • Ouverture / fermeture de session – Ce groupe de paramètres contrôle l'audit des événements de connexion et de déconnexion standard.
  • Accès aux objets – Ces paramètres couvrent l'accès à AD, au registre, aux applications et au stockage de fichiers.
  • Changement de politique – Ces paramètres contrôlent le suivi des modifications apportées aux paramètres de stratégie.
  • Utilisation des privilèges – Ces paramètres déterminent s'il faut auditer les tentatives d'utilisation des privilèges dans l'environnement Windows.
  • Système. Ces paramètres sont utilisés pour auditer les modifications de l'état du sous-système de sécurité.
  • Audit d'accès global aux objets. Ces paramètres permettent de contrôler les paramètres SACL pour tous les objets sur un ou plusieurs ordinateurs.

Vous pouvez apprendre comment configurer correctement l'audit de Windows Server en lisant les meilleures pratiques de stratégie d'audit.

Services de collecte d'audit

Windows fournit un outil pour extraire les journaux de sécurité des serveurs exécutant Windows Server vers un emplacement centralisé afin de simplifier l'audit de sécurité et l'analyse des journaux – Audit Collection Services (ACS). ACS est un utilitaire basé sur un agent qui regroupe les journaux dans une base de données Microsoft SQL Server.

Par défaut, lorsqu'une stratégie d'audit est implémentée sur un ordinateur Windows, cet ordinateur enregistre automatiquement tous les événements générés par la stratégie d'audit dans son journal de sécurité local. À l'aide d'ACS, les organisations peuvent consolider tous ces journaux de sécurité individuels dans une base de données gérée de manière centralisée, puis filtrer et analyser les événements à l'aide des outils d'analyse de données et de génération de rapports dans Microsoft SQL Server.

Journalisation de Windows PowerShell

Les administrateurs peuvent utiliser Windows PowerShell pour activer ou désactiver la journalisation au niveau du module Windows PowerShell. Par défaut, toute la journalisation dans Windows PowerShell est désactivée. Vous pouvez l'activer en définissant la propriété «LogPipelineExecutionDetails» sur «$ true»; pour le désactiver à nouveau, redéfinissez la propriété sur «$ false».

Windows PowerShell propose également une fonctionnalité de suivi de script détaillée qui permet d'activer le suivi et l'analyse détaillés de l'utilisation des scripts Windows PowerShell sur un système. Si vous activez le suivi de script détaillé, Windows PowerShell enregistre tous les blocs de script dans le journal des événements de suivi d'événements pour Windows (ETW) dans le chemin d'accès «Microsoft-Windows-PowerShell / Operational».

Sommaire

L'activation de l'audit Windows est essentielle pour enquêter sur les incidents de sécurité, résoudre les problèmes et optimiser l'environnement informatique. Assurez-vous de le configurer conformément aux meilleures pratiques pour réduire le volume de données de journal inutiles.

Les outils tiers peuvent améliorer la qualité de l'audit Windows et automatiser de nombreuses tâches d'audit. Par exemple, Netwrix Auditor pour Windows Server offre une visibilité complète sur ce qui se passe dans votre environnement Windows Server.

Commentaires

Laisser un commentaire

Votre commentaire sera révisé par les administrateurs si besoin.