Suivre l’exécution des programmes

le process ID trouvé dans leurs deux descriptions. On peut utiliser le suivi de processus avec l’audit Logon/Logoff et l’audit file open/close pour voir d’un seul coup d’oeil quand un utilisateur s’est connecté, quels programmes il a exécutés et à quels fichiers il a accédé avec eux.

Nouveau dans Windows 2003 : Windows 2003 ajoute deux nouveaux événements à Detailed Tracking. Event ID 601 indique quand un nouveau service est installé. C’est utile pour surveiller les nouveaux services installés sur des serveurs ou des stations de travail, de manière légitime ou abusive. Mais sachez que cet événement ne s’applique qu’aux services système et pas aux applications utilisateur ouvertes à partir du poste de travail. Cet événement ne vous aidera pas non plus à attraper les chevaux de Troie ou les programmes par porte dérobée, parce qu’ils ne s’installent pas généralement eux-mêmes comme un service. Le nouvel event ID 602 vous informe quand une tâche planifiée est créée ; mais il n’y a pas d’événement pour signaler quand quelqu’un modifie, supprime ou tente d’exécuter une tâche planifiée. Nous devrions avoir la possibilité d’auditer tous ces événements, et aussi de planifier les événements à distance.