> Tech > Audit par utilisateur

Audit par utilisateur

Tech - Par Roger A. Grimes - Publié le 24 juin 2010
email

L’audit Windows est tellement complet qu’il peut être une arme à double tranchant : les messages non critiques (ou parasites) submergent souvent les messages vraiment dignes d’attention. On ne saurait critiquer Microsoft pour le plupart des parasites d’audit. Le standard d’évaluation de sécurité Common Criteria, très réputé, exige des OS qu’ils soient capables d’auditer toute action constatée, et les administrateurs pousseraient les hauts cris si le journal d’audit ratait un seul événement qu’ils jugent important.Nul besoin, néanmoins, de capturer tous les événements. Vous pouvez réduire les parasites en réglant finement la structure d’audit pour les besoins particuliers de votre environnement. Le nouvel auditing par utilisateur de Windows peut vous aider dans cette tâche.

Pour affiner votre stratégie d’audit, il faut ne valider que la réussite et l’échec des catégories et des objets d’audit nécessaires. Dans Windows 2000 et versions ultérieures, les catégories de stratégie d’audit sont les suivantes :

• System Event
• Policy Change
• Logon/Logoff
• Account Management
• Object Access
• Directory Service Access
• Privilege Use
• Account Logon
•Detailed Tracking

Mais, dans Win2K, avec les exceptions notables de la catégorie Object Access (qui peut superviser l’accès ou la tentative d’accès à certains fichiers, dossiers, imprimantes et clés de registres) et de la catégorie Directory Service Access, les rapports d’audit sur l’activité impliquaient tous des principaux de sécurité (utilisateurs, groupes, ordinateurs, comptes de service, par exemple). Bien que vous souhaitiez peut-être ne signaler que les utilisateurs qui essaient de faire quelque chose d’interdit, comme ajouter d’autres utilisateurs à un groupe privilégié, l’audit Win2K signale aussi quand les utilisateurs autorisés effectuent des actions licites. Si l’on excepte Object Access et quelques autres exceptions, l’audit ignore la nuance : c’est tout ou rien.

Mais qu’advient-il si vous ne voulez auditer que quelques utilisateurs et pas d’autres ? Pour répondre à ce problème et pour répondre à d’autres attentes Common Criteria, Microsoft a introduit l’audit par utilisateur dans Windows XP Service Pack 2 (SP2) et l’a inclus dans Windows Server 2003, SP1. L’audit par utilisateur donne le moyen d’inclure ou d’exclure des catégories d’événements sur la base du principal par sécurité. Vous pouvez empêcher l’écriture de messages de journaux d’événements pour certains utilisateurs, et ne faire un rapport que sur certains utilisateurs. Par exemple, vous pouvez faire un rapport sur toutes les tentatives d’écriture sur des fichiers système Windows pour tous les principaux de sécurité, sauf pour le compte de service de votre produit antivirus et le compte System. Vous pouvez aussi désactiver l’audit Logon/Logoff globalement pour tous les utilisateurs mais enregistrer sélectivement les accès effectués par l’administrateur. Oui, vous avez bien lu : vous pouvez désactiver l’audit global et enregistrer néanmoins les événements de sécurité pour certains utilisateurs. (Remarque : Dans cet article, audit global fait référence aux paramètres de la stratégie d’audit que vous avez établis au moyen des stratégies de groupe ou Local Computer Policy.)

L’audit par utilisateur peut être instauré par compte utilisateur ou compte ordinateur, mais pas par groupe. Pour des raisons évidentes, vous ne pouvez pas empêcher les membres des groupes Administrators ou du compte System d’être inclus dans l’audit (si la catégorie d’audit est globament validée), mais vous pouvez les inclure dans une catégorie d’audit même quand tous les autres sont exclus. En fait, vous pouvez ajouter ces deux principaux de sécurité à la base de données de configuration d’audit par utilisateur (stockée dans HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Control\Lsa\Audit\PerUserAuditing), mais les paramètres seront ignorés.

Téléchargez gratuitement cette ressource

TOP 5 des Cybermenaces et Tendances 2021

TOP 5 des Cybermenaces et Tendances 2021

Découvrez dans ce nouveau rapport Acronis, fondé sur les données recueillies par plus de 100 000 terminaux dans le monde, les tendances majeures à surveiller en termes de cybersécurité et les meilleures recommandations pour rester protégé.

Tech - Par Roger A. Grimes - Publié le 24 juin 2010