Stratégies de maintenance du journal des événements

vous interroger sur la durée jusqu’à  laquelle vous voulez pouvoir rechercher
en arrière dans vos journaux de sécurité afin de retrouver les méfaits commis
par des intrus sur une période indéterminée. Votre objectif doit être de pouvoir
documenter suffisamment leurs actions afin de les poursuivre.

On peut observer la croissance du fichier journal pour déterminer combien d’espace
de journal il faudra pour stocker un mois d’activité

Il existe plusieurs stratégies pour répondre à  vos besoins et au niveau de sécurité
que vous souhaitez. Une stratégie, généralement appropriée aux serveurs dans des
environnements de sécurité intermédiaires, stocke 12 mois d’audit contigu et ne
demande que peu de maintenance. On peut observer la croissance du fichier journal
pour déterminer combien d’espace de journal il faudra pour stocker un mois d’activité.
Par exemple, j’ai déterminé que 7 Mo suffisaient pour 30 jours d’activité moyenne
de journalisation d’un serveur, mais je n’ai pas de règle d’or pour déterminer
cette valeur. La quantité d’espace de journalisation dépend de la taille et de
l’activité de votre système, des catégories d’événements dont vous avez activé
l’audit et du niveau d’audit que vous utilisez sur les objets.
En général, je choisis la valeur maximum de 14 Mo pour la taille du fichier de
journalisation afin de couvrir un mois d’activité inhabituellement élevée. Je
réalise une sauvegarde complète chaque nuit avec une rotation sur 30 cartouches,
et le premier lundi de chaque mois, je fais une sauvegarde mensuelle sur une rotation
de 12 cartouches. Avant chaque sauvegarde, j’utilise le Planificateur de tâche
de Windows NT et Dumpel du Kit de ressource de Windows NT Server 4.0 pour archiver
le journal d’événements sur un répertoire du serveur.

Ensuite, l’outil de sauvegarde archive le répertoire sur bande. En stockant au
moins 30 jours d’activité en ligne et en archivant tous les mois, on peut conduire
une étude sur 12 mois d’activité et éviter de répéter des tâches manuelles. Si
l’on a besoin d’analyser un mois particulier d’activité, il suffit de restaurer
le fichier EVT et d’utiliser l’Observateur d’événements pour l’ouvrir. Cette méthode
ne répond pas à  tous les scénarios, mais vous pouvez utiliser la même fréquence
d’archivage et de rotation des bandes pour déterminer la méthode qui répond le
mieux à  vos propres besoins de sécurité.

Avant de développer votre stratégie de sécurité, vous devez vous souvenir de quelques
autres faits importants à  propos de la journalisation et de la sécurité. Lorsque
vous modifiez la taille maximum du journal des événements, le changement ne prend
effet immédiatement. Ce délai est particulièrement significatif lorsque l’on augmente
la taille du journal. Une fois que la taille est modifiée, le système vous propose
d’enregistrer le journal. Si vous ne videz pas alors le journal, NT ne bénéficiera
pas de l’espace nouvellement ajouté.

Il vous faudra également garder le secret sur la taille de votre fichier de journalisation,
vos règles d’écrasement de valeurs et votre processus d’archivage afin d’éviter
que des hackers ne saturent vos journaux.
Pour garder cette information confidentielle, je vous suggère de donner la valeur
1 à  la clé de Registre RestrictGuestAccess de type REG_DWORD dans

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\Nom_de_journal

pour restreindre l’accès des utilisateurs invités aux trois journaux d’événements.
Assurez-vous que les permissions des clés de Registre n’autorise que les administrateurs
à  fixer des valeurs. On peut également utiliser le Gestionnaire de configuration
de sécurité du SP4 pour gérer les paramètres de journalisation, comme dans l’écran
2, et pour restreindre l’accès aux journaux d’événements.

(Pour plus de détails sur le gestionnaire de configuration de sécurité, lisez
l’article TechNet de Microsoft  » Ms Security Configuration Manager for Windows
NT 4  » à  l’adresse http://technet.microsoft.com/cdonline/content/windows/winnt/winntas/technote/scmnt4.htm.)

On peut configurer Windows NT pour qu’il se plante immédiatement si le journal
se remplit soudainement. Mais cette procédure ne doit être utilisée que dans des
environnements extrêmement sécurisés. Pour redémarrer après le crash de Windows
NT, l’administrateur doit rebooter le système, archiver et vider le journal, modifier
la valeur d’un drapeau dans le Registre et rebooter une deuxième fois.

L’Observateur d’événement est le seul outil offert par Windows NT pour exploiter
les informations des journaux

Vous devez savoir une dernière chose à  propos du journal de sécurité de Windows
NT : l’Observateur d’événement est le seul outil offert par Windows NT pour exploiter
les informations des journaux. Cet outil est malheureusement inadapté à  l’analyse,
le pistage des intrus et les contrôles de sécurité automatiques. J’ai un petit
nombre d’utilitaires favoris pour cela, mais de nombreux outils existent pour
répondre à  ces besoins. Voir notamment sur ce sujet l’article  » Mettez un tigre
dans votre firewall  » de notre numéro de décembre 1999.