Audit par utilisateur

Pour affiner votre stratégie d’audit, il faut ne valider que la réussite et l’échec des catégories et des objets d’audit nécessaires. Dans Windows 2000 et versions ultérieures, les catégories de stratégie d’audit sont les suivantes :

• System Event
• Policy Change
• Logon/Logoff
• Account Management
• Object Access
• Directory Service Access
• Privilege Use
• Account Logon
•Detailed Tracking

Mais, dans Win2K, avec les exceptions notables de la catégorie Object Access (qui peut superviser l’accès ou la tentative d’accès à certains fichiers, dossiers, imprimantes et clés de registres) et de la catégorie Directory Service Access, les rapports d’audit sur l’activité impliquaient tous des principaux de sécurité (utilisateurs, groupes, ordinateurs, comptes de service, par exemple). Bien que vous souhaitiez peut-être ne signaler que les utilisateurs qui essaient de faire quelque chose d’interdit, comme ajouter d’autres utilisateurs à un groupe privilégié, l’audit Win2K signale aussi quand les utilisateurs autorisés effectuent des actions licites. Si l’on excepte Object Access et quelques autres exceptions, l’audit ignore la nuance : c’est tout ou rien.

Mais qu’advient-il si vous ne voulez auditer que quelques utilisateurs et pas d’autres ? Pour répondre à ce problème et pour répondre à d’autres attentes Common Criteria, Microsoft a introduit l’audit par utilisateur dans Windows XP Service Pack 2 (SP2) et l’a inclus dans Windows Server 2003, SP1. L’audit par utilisateur donne le moyen d’inclure ou d’exclure des catégories d’événements sur la base du principal par sécurité. Vous pouvez empêcher l’écriture de messages de journaux d’événements pour certains utilisateurs, et ne faire un rapport que sur certains utilisateurs. Par exemple, vous pouvez faire un rapport sur toutes les tentatives d’écriture sur des fichiers système Windows pour tous les principaux de sécurité, sauf pour le compte de service de votre produit antivirus et le compte System. Vous pouvez aussi désactiver l’audit Logon/Logoff globalement pour tous les utilisateurs mais enregistrer sélectivement les accès effectués par l’administrateur. Oui, vous avez bien lu : vous pouvez désactiver l’audit global et enregistrer néanmoins les événements de sécurité pour certains utilisateurs. (Remarque : Dans cet article, audit global fait référence aux paramètres de la stratégie d’audit que vous avez établis au moyen des stratégies de groupe ou Local Computer Policy.)

L’audit par utilisateur peut être instauré par compte utilisateur ou compte ordinateur, mais pas par groupe. Pour des raisons évidentes, vous ne pouvez pas empêcher les membres des groupes Administrators ou du compte System d’être inclus dans l’audit (si la catégorie d’audit est globament validée), mais vous pouvez les inclure dans une catégorie d’audit même quand tous les autres sont exclus. En fait, vous pouvez ajouter ces deux principaux de sécurité à la base de données de configuration d’audit par utilisateur (stockée dans HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Control\Lsa\Audit\PerUserAuditing), mais les paramètres seront ignorés.