La catégorie Detailed Tracking permet de suivre chaque programme en train de s’exécuter sur le système Windows supervisé. Sur les stations de travail, on peut voir toutes les applications que l’utilisateur démarre (event ID 592) et ferme (event ID 593). On peut lier entre eux les deux événements en utilisant
Suivre l’exécution des programmes
le process ID trouvé dans leurs deux descriptions. On peut utiliser le suivi de processus avec l’audit Logon/Logoff et l’audit file open/close pour voir d’un seul coup d’oeil quand un utilisateur s’est connecté, quels programmes il a exécutés et à quels fichiers il a accédé avec eux.
Nouveau dans Windows 2003 : Windows 2003 ajoute deux nouveaux événements à Detailed Tracking. Event ID 601 indique quand un nouveau service est installé. C’est utile pour surveiller les nouveaux services installés sur des serveurs ou des stations de travail, de manière légitime ou abusive. Mais sachez que cet événement ne s’applique qu’aux services système et pas aux applications utilisateur ouvertes à partir du poste de travail. Cet événement ne vous aidera pas non plus à attraper les chevaux de Troie ou les programmes par porte dérobée, parce qu’ils ne s’installent pas généralement eux-mêmes comme un service. Le nouvel event ID 602 vous informe quand une tâche planifiée est créée ; mais il n’y a pas d’événement pour signaler quand quelqu’un modifie, supprime ou tente d’exécuter une tâche planifiée. Nous devrions avoir la possibilité d’auditer tous ces événements, et aussi de planifier les événements à distance.
Téléchargez cette ressource
Plan de sécurité Microsoft 365
Les attaquants savent comment prendre le contrôle de votre tenant Microsoft 365, et vous, savez-vous comment le reprendre en main ?
Les articles les plus consultés
Les plus consultés sur iTPro.fr
- Réforme de la facturation électronique : une préparation largement théorique
- Le futur de la cryptographie post-quantique
- Couchbase lance AI Data Plane pour industrialiser l’IA agentique
- Windows 11 : Microsoft généralise le point-in-time restore pour accélérer la remise en service des PC
Articles les + lus
Couchbase lance AI Data Plane pour industrialiser l’IA agentique
Windows 11 : Microsoft généralise le point-in-time restore pour accélérer la remise en service des PC
Computex 2026 : 5 signaux forts à retenir
La chaîne d’approvisionnement, point de rupture récurent du SI
Microsoft Build 2026 : contre-offensive des modèles maison face à OpenAI et Anthropic
À la une de la chaîne Tech
- Couchbase lance AI Data Plane pour industrialiser l’IA agentique
- Windows 11 : Microsoft généralise le point-in-time restore pour accélérer la remise en service des PC
- Computex 2026 : 5 signaux forts à retenir
- La chaîne d’approvisionnement, point de rupture récurent du SI
- Microsoft Build 2026 : contre-offensive des modèles maison face à OpenAI et Anthropic
