Modification du journal pendant les périodes d’inactivité de Windows NT

des
opérations ainsi que des raisons qui ont conduit à  l’arrêt. Avec une telle approche, on peut vérifier dans les journaux d’événements du système les redémarrage (autrement
dit les ID 512), chacun devant correspondre à  un événement enregistré dans le journal des opérations avec une explication des raisons qui y ont conduit. Un redémarrage
non expliqué peut signifier que quelqu’un a bidouillé le journal ou d’autres fichiers alors que Windows NT était arrêté (on peut décider d’utiliser un outil de surveillance pour
être alerté lorsque le système redémarre). On peut également consulter les registres d’entrée dans la salle des machines (ou les bandes vidéo de votre système de
télésurveillance si vous disposez d’une telle infrastructure) avec les dates et heures de ces redémarrages afin de déterminer qui était présent lors de ces
arrêts/redémarrage.
Outre l’événement ID 512, quatre événements du journal système de Windows NT peuvent vous aider à  pister les arrêts/redémarrages. Ces événements, disponibles
uniquement pour les systèmes sous Windows NT 4.0 SP4 ou ultérieur, peuvent vous aider à  reconnaître que quelqu’un a rebooté le système sans respecter la procédure
normale d’arrêt. L’événement système ID 6005 signifie que Windows NT a redémarré ; cet événement est équivalent à  l’événement de sécurité ID 512. L’événement ID 6006
signifie un arrêt propre, ce qui signifie que Windows NT n’a pas redémarré avant l’affichage du message Vous pouvez désormais éteindre votre ordinateur en toute sécurité.
L’événement ID 6008 signifie un arrêt sauvage, ce qui veut dire que le système a rebooté sans avoir été précédé par un arrêt en bonne et due forme. L’événement ID 6009,
qui ressemble à  l’événement ID 512, liste la version de l’OS, le numéro de build, le niveau de Service Pack ainsi que d’autres informations systèmes permanentes ; Windows
NT journalise cet événement à  chaque démarrage. On peut calculer le temps entre l’arrêt et le redémarrage pour déterminer pendant combien de temps le système était
vulnérable. Cependant, les hackers prévoyant peuvent changer l’heure système avant de redémarrer NT pour donner l’illusion que peu de temps s’est écoulé. Les intrus
peuvent également reculer l’heure avant d’éteindre NT, se donnant ainsi suffisamment de temps pour mener à  bien leur attaque sans laisser de vide révélateur dans le journal.
Recherchez l’événement ID 577, révélant les changements d’heure, associés à  l’événement ID 512.
Les intrus dotés de privilèges d’accès Administrateur peuvent également essayer de couvrir leurs traces en effaçant le journal des événements. Ceci sera visible comme le
nez au milieu de la figure si vous avez pris des mesures pour rendre les effacements manuels du journal des événements inutiles. Automatisez la maintenance et l’archivage
des journaux de sécurité. De plus, Windows NT journalise immédiatement l’événement ID 517 dans le journal vide, signalant que le journal d’audit a été effacé. Windows NT
journalise cet événement même si l’audit est désactivé.