Certains événements Policy Change qui, selon la documentation Microsoft, sont journalisés, n’apparaissent jamais dans les journaux de Sécurité que je vois. De même, certains event ID associés à IP Security (IPSec) semblent ne jamais être journalisés (event ID 613, 614 et 616), alors que d’autres sont journalisés (event ID 615).
Changement de stratégies
Toutefois, la catégorie Changement de Stratégie journalise les autres changements associés à la configuration de la sécurité, y compris les changements apportés aux relations d’approbation, à la stratégie Kerberos, à EFS (Encrypting File System) et la qualité de service (QoS).
Nouveau dans Windows 2003 : Dans Win2K, event ID 615 est dans la catégorie Detailed Tracking. Dans Windows 2003, il passe dans la catégorie Policy Change. Ce n’est qu’un exemple des changements inutiles et déroutants que j’ai découverts en comparant les événements de Win2K et de Windows 2003.
Autre changement intéressant : la documentation indique que Windows journalise les event ID 608 et 609 quand un droit utilisateur est assigné ou révoqué, respectivement. En réalité, Win2K ne journalise pas du tout ces événements. Windows 2003 journalise les event ID 608 et 609 pour les changements apportés aux assignations de droits utilisateur, sauf pour les droits de logon comme Allow logon locally et Access this computer from the network. Windows 2003 journalise les changements à ces assignations de droits de logon avec les event ID 621 et 622 (accès à la sécurité système accordé et révoqué, respectivement) plutôt qu’avec les event ID 608 et 609 documentés. De tels changements inexplicables et non documentés sèment le trouble dans le logiciel de supervision et de reporting qui filtre et analyse les événements d’après la catégorie, l’event ID, ou la position prévue des champs dans la description.
Téléchargez cette ressource
Sécuriser Microsoft 365 avec une approche Zero-Trust
Découvrez comment renforcer la cyber-résilience de Microsoft 365 grâce à une approche Zero-Trust, une administration granulaire et une automatisation avancée. La technologie Virtual Tenant de CoreView permet de sécuriser et simplifier la gestion des environnements complexes, tout en complétant vos stratégies IAM, y compris dans les secteurs réglementés.
Les articles les plus consultés
A travers cette chaîne
A travers ITPro
Les plus consultés sur iTPro.fr
- Communication d’entreprise à l’ère de l’IA : fragmentation, Shadow AI et perte de contrôle
- Pourquoi les outils de sécurité ne suffisent plus face aux angles morts de la détection
- Rhea1 : SiPearl allume le CPU européen le plus ambitieux pour le HPC et l’IA souveraine
- L’analytique prédictive au service de la décarbonation en France
Articles les + lus
Microsoft Build 2026 : contre-offensive des modèles maison face à OpenAI et Anthropic
Rhea1 : SiPearl allume le CPU européen le plus ambitieux pour le HPC et l’IA souveraine
Analyse Patch Tuesday Mai 2026
Les coûts cachés des merge requests générées par l’IA
Femmes et métiers de la tech : une attractivité réelle freinée par des stéréotypes persistants
À la une de la chaîne Tech
- Microsoft Build 2026 : contre-offensive des modèles maison face à OpenAI et Anthropic
- Rhea1 : SiPearl allume le CPU européen le plus ambitieux pour le HPC et l’IA souveraine
- Analyse Patch Tuesday Mai 2026
- Les coûts cachés des merge requests générées par l’IA
- Femmes et métiers de la tech : une attractivité réelle freinée par des stéréotypes persistants
