> Tech > Suivre l’exécution des programmes

Suivre l’exécution des programmes

Tech - Par iTPro - Publié le 24 juin 2010
email

La catégorie Detailed Tracking permet de suivre chaque programme en train de s’exécuter sur le système Windows supervisé. Sur les stations de travail, on peut voir toutes les applications que l’utilisateur démarre (event ID 592) et ferme (event ID 593). On peut lier entre eux les deux événements en utilisant

Suivre l’exécution des programmes

le process ID trouvé dans leurs deux descriptions. On peut utiliser le suivi de processus avec l’audit Logon/Logoff et l’audit file open/close pour voir d’un seul coup d’oeil quand un utilisateur s’est connecté, quels programmes il a exécutés et à quels fichiers il a accédé avec eux.

Nouveau dans Windows 2003 : Windows 2003 ajoute deux nouveaux événements à Detailed Tracking. Event ID 601 indique quand un nouveau service est installé. C’est utile pour surveiller les nouveaux services installés sur des serveurs ou des stations de travail, de manière légitime ou abusive. Mais sachez que cet événement ne s’applique qu’aux services système et pas aux applications utilisateur ouvertes à partir du poste de travail. Cet événement ne vous aidera pas non plus à attraper les chevaux de Troie ou les programmes par porte dérobée, parce qu’ils ne s’installent pas généralement eux-mêmes comme un service. Le nouvel event ID 602 vous informe quand une tâche planifiée est créée ; mais il n’y a pas d’événement pour signaler quand quelqu’un modifie, supprime ou tente d’exécuter une tâche planifiée. Nous devrions avoir la possibilité d’auditer tous ces événements, et aussi de planifier les événements à distance.

Téléchargez gratuitement cette ressource

Endpoint Security : Guide de Mise en œuvre

Endpoint Security : Guide de Mise en œuvre

Détournement d’applications légitimes, élévation de privilèges, logiciels malveillants furtifs : comment les solutions de Endpoint Security permettent elles de faire face aux nouvelles techniques d'attaques complexes ? Découvrez, dans ce Guide Endpoint Security, les perspectives associées à leur mise en œuvre.

Tech - Par iTPro - Publié le 24 juin 2010