Si vous êtes prêts à faire régulièrement les vérifications qui s'imposent et à mettre en oeuvre la politique d'audit nécessaire, vous pouvez détecter les modifications des journaux de sécurité. Tout d'abord, exigez que deux opérateurs soient présents lorsque quelqu'un reboote le système et conservez une trace écrite et signée des
Prenez vos précautions
raisons de
chaque réinitialisation. Ensuite, mettez en oeuvre une combinaison de taille maximum du fichier de journalisation, de réduction des journaux d’événements et d’archivage
automatique pour rendre inutiles les suppressions manuelles des fichiers de journalisation. Troisièmement, activez les catégories de changement de politiques dans vos
audits. Enfin, vérifiez régulièrement les h²journaux de sécurité pour détecter les événements ID 512, 517 et 612. Observez les occurrences des événements ID 512 ne
correspondant à aucune ligne du registre écrit des opérations et menez votre enquête quant aux raisons de cette réinitialisation non autorisée. Fouillez dans le journal des
événements pour repérer les laps de temps sans aucun événements, et comparez ces blancs avec le registre des entrées/sorties en salle des machines si vous disposez
d’un tel registre. Méfiez-vous en particulier des événements 517 et 612 car le fait d’effacer le journal ou de changer la politique d’audit n’est que très rarement – voire jamais –
nécessaire. Vérifiez régulièrement que la politique d’audit actuelle du système correspond à la configuration officielle. Méfiez-vous de toute irrégularité et faites immédiatement
une enquête.
Les catégories d’audit d’événements de sécurité de Windows NT permettent de surveiller tous les aspects des activités en cours sur le système. On peut regrouper
différents événements appartenant à des catégories différentes pour créer un audit détaillé. On peut même identifier lorsque quelqu’un essaye de bidouiller le journal des
événements en automatisant la surveillance des journaux. Un excellent sujet pour un prochain article.
Téléchargez cette ressource
Mac en entreprise : le levier d’un poste de travail moderne
Ce livre blanc répond aux 9 questions clés des entreprises sur l’intégration du Mac : sécurité, compatibilité, gestion, productivité, coûts, attractivité talents, RSE et IA, et l’accompagnement sur mesure proposé par inmac wstore.
Les articles les plus consultés
A travers cette chaîne
A travers ITPro
- Afficher les icônes cachées dans la barre de notification
- Partager vos images, vidéos, musique et imprimante avec le Groupe résidentiel
- N° 2 : Il faut supporter des langues multiples dans SharePoint Portal Server
- Cybersécurité Active Directory et les attaques de nouvelle génération
- IBM i célèbre ses 25 ans
Les plus consultés sur iTPro.fr
- Adapter la sécurité OT aux réalités de l’industrie
- Les applications financières sont le terrain privilégié de la fraude
- Compromission des identités numériques : la panne invisible qui met les entreprises à l’arrêt
- Tendances Supply Chain : investir dans la technologie pour répondre aux nouvelles attentes clients
Articles les + lus
DevX Summit EMEA : les développeurs au cœur de la révolution de l’IA
Adapter la sécurité OT aux réalités de l’industrie
Coder vite, mais coder juste : trouver l’équilibre à l’ère de l’IA
Mixité dans la Tech : en 2026, un choix de souveraineté stratégique
Analyse Patch Tuesday Mars 2026
À la une de la chaîne Tech
- DevX Summit EMEA : les développeurs au cœur de la révolution de l’IA
- Adapter la sécurité OT aux réalités de l’industrie
- Coder vite, mais coder juste : trouver l’équilibre à l’ère de l’IA
- Mixité dans la Tech : en 2026, un choix de souveraineté stratégique
- Analyse Patch Tuesday Mars 2026
