Avant d'éteindre le système et d'effacer ou remplacer le fichier de journalisation, un hacker doté de privilèges d'administrateur peut désactiver l'audit pour éviter que Windows NT ne journalise l'événement ID 512. Mais l'audit restera désactivé lorsque le système redémarrera et l'absence de journaux d'événements vous alertera rapidement que l'audit est
Désactivation de la politique d’audit
désactivé – et donc que vous devez mener votre enquête. L’intrus peut donc être tenté de réactiver la politique officielle d’audit après avoir bidouillé le journal. Si vous
avez activé la catégorie des changements de politique dans votre politique officielle d’audit, l’action du hacker va générer un événement ID 612. Cet événement spécifie les
catégories que le hacker a activées ou désactivées, aussi bien en cas de succès que d’échec. Dans la description de l’événement ed la Figure 1, les signes moins (-)
montrent que quelqu’un a désactivé la catégorie et les signes plus (+) montrent qu’elle a été activée.
Téléchargez cette ressource
Rapport Forrester sur les services de réponse aux incidents de cybersécurité
Dans ce rapport, basé sur 25 critères, Forrester Consulting passe au crible les 14 principaux fournisseurs de services de réponse aux incidents de cybersécurité du marché. Cette analyse complète permet aux professionnels de la sécurité et de la gestion des risques d’évaluer et de sélectionner les solutions les plus adaptées à leurs besoins.
Les articles les plus consultés
A travers cette chaîne
A travers ITPro
