Si vous êtes prêts à faire régulièrement les vérifications qui s'imposent et à mettre en oeuvre la politique d'audit nécessaire, vous pouvez détecter les modifications des journaux de sécurité. Tout d'abord, exigez que deux opérateurs soient présents lorsque quelqu'un reboote le système et conservez une trace écrite et signée des
Prenez vos précautions
raisons de
chaque réinitialisation. Ensuite, mettez en oeuvre une combinaison de taille maximum du fichier de journalisation, de réduction des journaux d’événements et d’archivage
automatique pour rendre inutiles les suppressions manuelles des fichiers de journalisation. Troisièmement, activez les catégories de changement de politiques dans vos
audits. Enfin, vérifiez régulièrement les h²journaux de sécurité pour détecter les événements ID 512, 517 et 612. Observez les occurrences des événements ID 512 ne
correspondant à aucune ligne du registre écrit des opérations et menez votre enquête quant aux raisons de cette réinitialisation non autorisée. Fouillez dans le journal des
événements pour repérer les laps de temps sans aucun événements, et comparez ces blancs avec le registre des entrées/sorties en salle des machines si vous disposez
d’un tel registre. Méfiez-vous en particulier des événements 517 et 612 car le fait d’effacer le journal ou de changer la politique d’audit n’est que très rarement – voire jamais –
nécessaire. Vérifiez régulièrement que la politique d’audit actuelle du système correspond à la configuration officielle. Méfiez-vous de toute irrégularité et faites immédiatement
une enquête.
Les catégories d’audit d’événements de sécurité de Windows NT permettent de surveiller tous les aspects des activités en cours sur le système. On peut regrouper
différents événements appartenant à des catégories différentes pour créer un audit détaillé. On peut même identifier lorsque quelqu’un essaye de bidouiller le journal des
événements en automatisant la surveillance des journaux. Un excellent sujet pour un prochain article.
Téléchargez cette ressource
Mac en entreprise : le levier d’un poste de travail moderne
Ce livre blanc répond aux 9 questions clés des entreprises sur l’intégration du Mac : sécurité, compatibilité, gestion, productivité, coûts, attractivité talents, RSE et IA, et l’accompagnement sur mesure proposé par inmac wstore.
Les articles les plus consultés
A travers cette chaîne
A travers ITPro
Les plus consultés sur iTPro.fr
- Mythos révèle les limites d’un Zero Trust centré sur le réseau
- Faire évoluer la souveraineté des données du statut d’ambition politique à son application opérationnelle
- Mythos et modèles-frontières : quel avenir pour la cybersécurité en France et en Europe face à l’IA ?
- IA agentique : des investissements massifs freinés par des données insuffisamment préparées
Articles les + lus
Analyse Patch Tuesday Mai 2026
Les coûts cachés des merge requests générées par l’IA
Femmes et métiers de la tech : une attractivité réelle freinée par des stéréotypes persistants
Moderniser le développement logiciel : de la fragmentation à l’intégration
Analyse Patch Tuesday Avril 2026
À la une de la chaîne Tech
- Analyse Patch Tuesday Mai 2026
- Les coûts cachés des merge requests générées par l’IA
- Femmes et métiers de la tech : une attractivité réelle freinée par des stéréotypes persistants
- Moderniser le développement logiciel : de la fragmentation à l’intégration
- Analyse Patch Tuesday Avril 2026
