Eviter l’abus des droits utilisateur

vos utilisateurs. En choisissant d’auditer la mauvaise utilisation (c’est-à -dire, l’échec) de Use of User Rights, vous pouvez débusquer les utilisateurs qui ont essayé d’en faire mauvais usage. Cependant, cette fonction d’audit ne peut pas vérifier tous les droits utilisateur parce que certains peuvent générer des milliers d’entrées. Prenons le cas du droit Back up files and directories. Si un utilisateur qui possède ce droit devait sauvegarder un serveur, et si vous aviez activé l’audit pour la bonne utilisation de Use of User Rights, une entrée pour chaque fichier sauvegardé apparaîtrait dans le journal. Aucun administrateur n’a envie de se plonger dans une telle quantité d’entrées de journal non pertinentes.

  Vous pouvez activer l’audit des droits Back up files and directories et Restore files and directories en modifiant la sousclé de registre HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa. Créez ou modifiez la sous-clé FullPrivilegeAuditing, de type REG_BINARY, avec une valeur de 1. Réinitialisez le système pour valider la modification, et mettez à  jour votre ERD (Emergency Repair Disk). Même si vous décidez de modifier le registre de cette manière, le système n’auditera pas pour autant ces droits: Bypass traverse checking, Create a token object, Debug programs et Generate security audits. Le seul audit que le système effectue sur ces quatre droits se produit quand vous les attribuez pour la première fois à  un utilisateur ou à  un groupe. Pour plus d’informations sur l’audit des droits utilisateur, voir l’article Microsoft « Auditing User Right Assignment Changes » (http://support.microsoft.com/support/kb/articles/q163/9/05.asp.)