Si vous êtes prêts à faire régulièrement les vérifications qui s'imposent et à mettre en oeuvre la politique d'audit nécessaire, vous pouvez détecter les modifications des journaux de sécurité. Tout d'abord, exigez que deux opérateurs soient présents lorsque quelqu'un reboote le système et conservez une trace écrite et signée des
Prenez vos précautions
raisons de
chaque réinitialisation. Ensuite, mettez en oeuvre une combinaison de taille maximum du fichier de journalisation, de réduction des journaux d’événements et d’archivage
automatique pour rendre inutiles les suppressions manuelles des fichiers de journalisation. Troisièmement, activez les catégories de changement de politiques dans vos
audits. Enfin, vérifiez régulièrement les h²journaux de sécurité pour détecter les événements ID 512, 517 et 612. Observez les occurrences des événements ID 512 ne
correspondant à aucune ligne du registre écrit des opérations et menez votre enquête quant aux raisons de cette réinitialisation non autorisée. Fouillez dans le journal des
événements pour repérer les laps de temps sans aucun événements, et comparez ces blancs avec le registre des entrées/sorties en salle des machines si vous disposez
d’un tel registre. Méfiez-vous en particulier des événements 517 et 612 car le fait d’effacer le journal ou de changer la politique d’audit n’est que très rarement – voire jamais –
nécessaire. Vérifiez régulièrement que la politique d’audit actuelle du système correspond à la configuration officielle. Méfiez-vous de toute irrégularité et faites immédiatement
une enquête.
Les catégories d’audit d’événements de sécurité de Windows NT permettent de surveiller tous les aspects des activités en cours sur le système. On peut regrouper
différents événements appartenant à des catégories différentes pour créer un audit détaillé. On peut même identifier lorsque quelqu’un essaye de bidouiller le journal des
événements en automatisant la surveillance des journaux. Un excellent sujet pour un prochain article.
Téléchargez cette ressource
Mac en entreprise : le levier d’un poste de travail moderne
Ce livre blanc répond aux 9 questions clés des entreprises sur l’intégration du Mac : sécurité, compatibilité, gestion, productivité, coûts, attractivité talents, RSE et IA, et l’accompagnement sur mesure proposé par inmac wstore.
Les articles les plus consultés
A travers cette chaîne
A travers ITPro
- Activer la mise en veille prolongée dans Windows 10
- IBM i célèbre ses 25 ans
- Cybersécurité Active Directory et les attaques de nouvelle génération
- Partager vos images, vidéos, musique et imprimante avec le Groupe résidentiel
- N° 2 : Il faut supporter des langues multiples dans SharePoint Portal Server
Les plus consultés sur iTPro.fr
- L’IA sous contrôle : un impératif pour la souveraineté des entreprises
- CESIN : un baromètre qui mesure le risque cyber réel
- Face aux ransomwares, la résilience passe par les sauvegardes immuables
- L’IA, nouveau moteur des entreprises françaises d’ici 2030
Articles les + lus
CES 2026 : l’IA physique et la robotique redéfinissent le futur
Les 3 prédictions 2026 pour Java
Semi-conducteurs : comment l’Irlande veut contribuer à atténuer la pénurie mondiale de puces
Face à l’urgence écologique, l’IT doit faire sa révolution
D’ici 2030, jusqu’à 90 % du code pourrait être écrit par l’IA, pour les jeunes développeurs, l’aventure ne fait que commencer
À la une de la chaîne Tech
- CES 2026 : l’IA physique et la robotique redéfinissent le futur
- Les 3 prédictions 2026 pour Java
- Semi-conducteurs : comment l’Irlande veut contribuer à atténuer la pénurie mondiale de puces
- Face à l’urgence écologique, l’IT doit faire sa révolution
- D’ici 2030, jusqu’à 90 % du code pourrait être écrit par l’IA, pour les jeunes développeurs, l’aventure ne fait que commencer
