Dans de précédents articles de ce magazine, on a pu voir comment exploiter l'utilisation des privilèges et des catégories d'audit d'administration des comptes pour surveiller l'activité des utilisateurs ayant des privilèges d'administrateur. Mais que faire si les intrus essayent de dissimuler leurs traces en modifiant le journal de sécurité de Windows NT ? On peut utiliser les événements systèmes et les changements de politiques pour détecter de telles attaques.
Protéger le journal de sécurité de Windows NT
Les catégories événements systèmes et changements de politique du journal de sécurité peuvent être d’une grande aide pour identifier les signes d’attaques par intrusion
physique ou modification des journaux. La catégorie événements systèmes comprend l’événement ID 512 (redémarrage du système) et l’événement 517 (effacement du
journal de sécurité). Windows NT journalise l’événement ID 512 à chaque démarrage et l’événement ID 517 lorsqu’un administrateur, ou quiconque doté des droits de gestion
du journal d’audit et de sécurité, efface le journal de sécurité. La catégorie changement de politique comprend l’événement 612 (audit des changement de politique), qui vous
prévient que quelqu’un, doté de privilèges d’administration, a changé la politique d’audit du système dans la boîte de dialogue d’audit des politiques (Démarrer, Programmes,
Outils d’administration, Gestionnaire des utilisateurs, Politiques, Audit).
Les hackers ont des méthodes limitées (comme par exemple les tactiques de remplissage du journal) pour effacer leurs traces dans le journal de sécurité. Le fichier de
journalisation (à savoir %systemroot%\system32\config\secevent.evt) est protégé tant que Windows NT est opérationnel car on ne peut ouvrir ce fichier que depuis
l’observateur d’événements. Cette restriction évite que des intrus ne modifient ou effacent le fichier journal tant que l’OS est actif, à moins d’utiliser des techniques
particulièrement sophistiquées (par exemple en injectant du code malicieux dans le processus de journalisation des événements). Cependant, si un hacker a accès
physiquement à la machine, le fichier journal est vulnérable lorsque l’OS est arrêté. Même si l’unité de boot est en NTFS, un hacker peut booter sous DOS depuis une disquette
3.5″ et utiliser NTFSDOS de Winternals Software pour effacer ou remplacer le fichier journal. (NTFSDOS permet d’obtenir un accès en lecture et écriture aux partitions NTFS
depuis DOS, quelque soient les permissions sur les fichiers et les répertoires). Les hackers de systèmes UNIX modifient couramment le journal dy²u système pour masquer
leurs activités. Même si, théoriquement, les hackers peuvent modifier les fichiers du journal de sécurité lorsque NT est arrêté, le format des fichiers de journalisation de
Windows NT est plus compliqué que ceux d’UNIX (et pourtant, je suis un familier des outils qui peuvent fabriquer des enregistrements ou effacer des parties spécifiques des
fichiers de journalisation. Ainsi, on peut penser que les hackers sont susceptibles d’effacer complètement le fichier du journal de sécurité – ou de le remplacer par une copie
faite avant l’intrusion – et de manipuler les politiques d’audit pour déguiser leurs actions. Heureusement, on peut utiliser les catégories d’événements systèmes et de
changements de politiques pour détecter une telle activité.
Téléchargez cette ressource
Microsoft 365 Tenant Resilience
Face aux failles de résilience des tenants M365 (configurations, privilèges, sauvegarde). Découvrez 5 piliers pour durcir, segmenter et surveiller vos environnements afin de limiter l’impact des attaques. Prioriser vos chantiers cyber et améliorer la résilience de vos tenants Microsoft 365.
Les articles les plus consultés
A travers cette chaîne
A travers ITPro
- Cybersécurité Active Directory et les attaques de nouvelle génération
- Partager vos images, vidéos, musique et imprimante avec le Groupe résidentiel
- Activer la mise en veille prolongée dans Windows 10
- N° 2 : Il faut supporter des langues multiples dans SharePoint Portal Server
- Et si les clients n’avaient plus le choix ?
Les plus consultés sur iTPro.fr
- Fuites de données : la France, 2ème pays le plus touché au monde début 2026
- Nomios accélère sur la cybersécurité industrielle avec un SOC renforcé et une Factory OT immersive
- Femmes et métiers de la tech : une attractivité réelle freinée par des stéréotypes persistants
- Reprendre le contrôle de son SI : la clé d’un numérique à la fois souverain et responsable
Articles les + lus
Femmes et métiers de la tech : une attractivité réelle freinée par des stéréotypes persistants
Moderniser le développement logiciel : de la fragmentation à l’intégration
Analyse Patch Tuesday Mars 2026
Une nouvelle ère de la modernisation du mainframe
Communes, entreprises ? Non, face au RGAA 5, l’IA seule ne rendra pas vos sites accessibles
À la une de la chaîne Tech
- Femmes et métiers de la tech : une attractivité réelle freinée par des stéréotypes persistants
- Moderniser le développement logiciel : de la fragmentation à l’intégration
- Analyse Patch Tuesday Mars 2026
- Une nouvelle ère de la modernisation du mainframe
- Communes, entreprises ? Non, face au RGAA 5, l’IA seule ne rendra pas vos sites accessibles
