Si des intrus peuvent modifier des fichiers log, ils peuvent effacer toute trace d'activité illégale. Si des intrus compromettent un système et ont la permission de modifier des fichiers log, il est difficile de prouver que les journaux sont la preuve valide d'une intrusion. Même si les intrus ne modifient
Fichiers log
pas les logs, ces
fichiers peuvent contenir des informations
permettant de nuire à d’autres systèmes.
Il faut donc prendre des précautions
supplémentaires pour protéger les
fichiers log.
Il n’est pas simple de sécuriser les fichiers
log. Vous voulez que le compte
System – le contexte utilisateur d’IIS –
soit capable d’écrire des logs Web, de
leur ajouter des données et de créer de
nouveaux répertoires log quand vous
ajoutez des sites Web. Le compte System
est le seul compte qui devrait avoir un
accès Write à ces répertoires et seul l’administrateur
ou l’utilisateur chargé de
gérer les fichiers log ou d’exécuter les
programmes statistiques du Web devrait
pouvoir lire les logs du Web.
Le compte System devrait pouvoir
créer des fichiers et des répertoires
mais pas modifier les fichiers existants.
Pour cela, définissez deux paramètres
ACL pour le répertoire LogFiles – un
pour les sous-répertoires (conteneurs)
et un pour les fichiers (objets).
Tout d’abord, faites un clic droit sur
le répertoire des fichiers log, sélectionnez
Properties puis l’onglet Security.
Enlevez l’option Allow inheritable permissions
from parent to propagate to
this object, puis cliquez sur Remove
pour travailler avec une situation
propre et nette. Cliquez sur Advanced,
cliquez sur Add, puis sélectionnez le
compte System dans la liste. Une boîte
de dialogue vous invitera à définir les
permissions. Dans la liste déroulante
Apply onto, sélectionnez Files Only
puis cochez la case pour les permissions
suivantes : Read Attributes, Create
Folders/Append Data, Write Attributes,
et Read Permissions.
Cliquez sur OK puis sur Add.
Sélectionnez le compte System à nouveau
et cliquez sur OK. Quand la boîte
de dialogue des permissions apparaît,
sélectionnez This folder and subfolders
dans la liste déroulante Apply
onto. Sélectionnez les permissions suivantes
: List Folder, Read Attribute,
Create Files/Write Data, Create
Folders/Append Data, Write Attributes
et Read Permissions.
Téléchargez cette ressource
Plan de sécurité Microsoft 365
Les attaquants savent comment prendre le contrôle de votre tenant Microsoft 365, et vous, savez-vous comment le reprendre en main ?
Les articles les plus consultés
Les plus consultés sur iTPro.fr
- Cybersécurité française 2026 : explosion des startups, ralentissement des scale-ups et virage stratégique de l’IA
- Le Cercle de l’Innovation décerne le Prix de l’Innovation du Public 2026
- Avec l’IA agentique, la robustesse des SI redevient stratégique
- Les erreurs du secteur bancaire dans son approche IA
Articles les + lus
Couchbase lance AI Data Plane pour industrialiser l’IA agentique
Windows 11 : Microsoft généralise le point-in-time restore pour accélérer la remise en service des PC
Computex 2026 : 5 signaux forts à retenir
La chaîne d’approvisionnement, point de rupture récurent du SI
Microsoft Build 2026 : contre-offensive des modèles maison face à OpenAI et Anthropic
À la une de la chaîne Tech
- Couchbase lance AI Data Plane pour industrialiser l’IA agentique
- Windows 11 : Microsoft généralise le point-in-time restore pour accélérer la remise en service des PC
- Computex 2026 : 5 signaux forts à retenir
- La chaîne d’approvisionnement, point de rupture récurent du SI
- Microsoft Build 2026 : contre-offensive des modèles maison face à OpenAI et Anthropic
