Par défaut, NT n'effectue aucun audit de sécurité. Il faut donc l'activer pour pouvoir visualiser les événements dans le journal Sécurité. On ne peut auditer que si on utilise NTFS ; FAT n'a pas de fonction de sécurité et ne supporte donc pas l'audit.Ouvrez le Gestionnaire des utilisateurs pour les
Audit de sécurité
domaines et sélectionnez
Stratégies, Audit. Sélectionnez les événements que vous voulez auditer (par exemple
succès et échec des logons, accès aux fichiers et aux objets, utilisation des
droits d’utilisateurs, changements de stratégies de sécurité).
Si vous choisissez l’accès aux fichiers et aux objets, vous devez définir les
options d’audit pour les fichiers avec l’onglet Sécurité de la fenêtre Propriétés
du fichier, du répertoire ou du disque.
Il n’est pas nécessaire d’auditer tous les fichiers et les utilisateurs et de
filtrer ensuite les journaux. Vous pouvez auditer seulement certains utilisateurs
ou groupes, et seulement des fichiers ou des répertoires spécifiques.Dans le cas
d’un environnement extrêmement sécurisé, il peut être indispensable que le système
s’arrête dès que le journal Sécurité est plein. L’arrêt du système empêche un
pirate de remplir le journal Sécurité de faux événements, pour pouvoir le pénétrer
sans laisser de trace d’audit. Une fois le système arrêté, seul l’administrateur
systèmes peut s’y connecter. L’administrateur systèmes doit vider le journal avant
que quiconque puisse se connecter.
Pour configurer l’arrêt automatique, lorsque le jounal Sécurité est plein, ouvrez
un éditeur de Registre et allez à HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa.
(Avant d’éditer le Registre, mettez à jour votre disquette de réparation d’urgence.
Ajoutez le nom de valeur CrashOnAuditFail, le type de données REG_DWORD et entrez
la valeur 1. Lorsque le journal Sécurité est plein, la valeur de l’entrée du Registre
passe sur 2 et le système s’arrête. L’administrateur systèmes peut redémarrer
le journal Sécurité, le vider et remettre la valeur sur 1. Les utilisateurs ne
peuvent pas se connecter avant la réinitialisation du système.
Téléchargez cette ressource
Sécuriser Microsoft 365 avec une approche Zero-Trust
Découvrez comment renforcer la cyber-résilience de Microsoft 365 grâce à une approche Zero-Trust, une administration granulaire et une automatisation avancée. La technologie Virtual Tenant de CoreView permet de sécuriser et simplifier la gestion des environnements complexes, tout en complétant vos stratégies IAM, y compris dans les secteurs réglementés.
Les articles les plus consultés
Les plus consultés sur iTPro.fr
- Le futur de la cryptographie post-quantique
- Couchbase lance AI Data Plane pour industrialiser l’IA agentique
- Windows 11 : Microsoft généralise le point-in-time restore pour accélérer la remise en service des PC
- Deepfakes et IA : 64% des Français pensent savoir les détecter, mais la confiance reste fragile
Articles les + lus
Couchbase lance AI Data Plane pour industrialiser l’IA agentique
Windows 11 : Microsoft généralise le point-in-time restore pour accélérer la remise en service des PC
Computex 2026 : 5 signaux forts à retenir
La chaîne d’approvisionnement, point de rupture récurent du SI
Microsoft Build 2026 : contre-offensive des modèles maison face à OpenAI et Anthropic
À la une de la chaîne Tech
- Couchbase lance AI Data Plane pour industrialiser l’IA agentique
- Windows 11 : Microsoft généralise le point-in-time restore pour accélérer la remise en service des PC
- Computex 2026 : 5 signaux forts à retenir
- La chaîne d’approvisionnement, point de rupture récurent du SI
- Microsoft Build 2026 : contre-offensive des modèles maison face à OpenAI et Anthropic
