> Tech > Prenez vos précautions

Prenez vos précautions

Tech - Par Renaud ROSSET - Publié le 24 juin 2010
email

Si vous êtes prêts à  faire régulièrement les vérifications qui s'imposent et à  mettre en oeuvre la politique d'audit nécessaire, vous pouvez détecter les modifications des journaux de sécurité. Tout d'abord, exigez que deux opérateurs soient présents lorsque quelqu'un reboote le système et conservez une trace écrite et signée des

Prenez vos précautions

raisons de
chaque réinitialisation. Ensuite, mettez en oeuvre une combinaison de taille maximum du fichier de journalisation, de réduction des journaux d’événements et d’archivage
automatique pour rendre inutiles les suppressions manuelles des fichiers de journalisation. Troisièmement, activez les catégories de changement de politiques dans vos
audits. Enfin, vérifiez régulièrement les h²journaux de sécurité pour détecter les événements ID 512, 517 et 612. Observez les occurrences des événements ID 512 ne
correspondant à  aucune ligne du registre écrit des opérations et menez votre enquête quant aux raisons de cette réinitialisation non autorisée. Fouillez dans le journal des
événements pour repérer les laps de temps sans aucun événements, et comparez ces blancs avec le registre des entrées/sorties en salle des machines si vous disposez
d’un tel registre. Méfiez-vous en particulier des événements 517 et 612 car le fait d’effacer le journal ou de changer la politique d’audit n’est que très rarement – voire jamais –
nécessaire. Vérifiez régulièrement que la politique d’audit actuelle du système correspond à  la configuration officielle. Méfiez-vous de toute irrégularité et faites immédiatement
une enquête.
Les catégories d’audit d’événements de sécurité de Windows NT permettent de surveiller tous les aspects des activités en cours sur le système. On peut regrouper
différents événements appartenant à  des catégories différentes pour créer un audit détaillé. On peut même identifier lorsque quelqu’un essaye de bidouiller le journal des
événements en automatisant la surveillance des journaux. Un excellent sujet pour un prochain article.

Téléchargez cette ressource

Guide inmac wstore pour l’équipement IT de l’entreprise

Guide inmac wstore pour l’équipement IT de l’entreprise

Découvrez toutes nos actualités à travers des interviews, avis d'experts et témoignages clients et ainsi, retrouvez les dernières tendances et solutions IT autour de nos 4 univers produits : Poste de travail, Affichage et collaboration, Impression et capture et Infrastructure.

Tech - Par Renaud ROSSET - Publié le 24 juin 2010

A lire aussi sur le site

Revue Smart DSI

La Revue du Décideur IT