Trouvez une mine d’informations dans vos journaux de sécurité
Les journaux de sécurité des ordinateurs Windows 2000 contiennent une masse d’informations. Ils fournissent des informations vitales sur l’activité de connexion, les événements importants au niveau système, la gestion des comptes et les événements d’accès aux fichiers. Ces informations, si l’on sait comment les trouver, permettent de détecter des activités douteuses et de surveiller des tâches administratives cruciales ...Un examen approfondi du journal d’événements consiste à rechercher non seulement des event ID particuliers mais aussi des types de station de travail ou de serveur, afin de pouvoir interpréter correctement certains event ID et codes dans les détails des événements. Les codes dans les événements peuvent impliquer des situations différentes selon que l’événement s’est produit sur une station de travail, un serveur, ou un DC (domain controller). En outre, Microsoft a changé quelques event ID entre les releases de Windows Server 2003 et Windows XP et la release de Win2K.
Superviser les événements de sécurité importants
La surveillance des tentatives de logon
est un bon moyen pour détecter des
attaques et une activité suspecte.
Win2K offre deux catégories de stratégies
d’audit : Audit logon events et
Audit account logon events. Il importante
de bien distinguer ces catégories.
Audit logon events génère des logon
events sur le système local sur lequel le
logon se produit, tandis que Audit account
logon events génère des événements
quand quelqu’un essaie de s’authentifier
avec un compte qui est
stocké sur l’ordinateur sur lequel le logon
event est enregistré. Win2K suit les
deux types de logons : compte de domaine
et compte SAM local.
Quand quelqu’un se connecte à
votre station de travail avec un compte
de domaine, cette personne fait deux
choses : elle se connecte à votre station
de travail mais elle s’authentifie aussi
en utilisant un compte qui est stocké
sur le DC. Par conséquent, Audit logon
events génèrera des événements dans
le journal de sécurité de votre station
de travail et Audit account logon
events génèrera des événements sur le
journal de sécurité du DC. Quelques
secondes après que quelqu’un se soit
connecté à votre station de travail,
Audit logon events génèrera des événements
sur le DC parce que votre station
de travail se connectera comme si
c’était vous au DC pour appliquer des
Stratégies de groupe au niveau utilisateur.
Audit logon events génèrera aussi
des événements sur les serveurs
membres parce que votre station de
travail, au fur et à mesure qu’elle traite
votre logon script et vos mappings de
drive persistents, se connectera comme
si c’était vous aux divers serveurs
membres afin de pouvoir associer les
lecteurs aux dossiers partagés. De la
même manière, Audit logon events génèrera
des événements sur un serveur
quand quelqu’un se connectera à la
console du serveur ou accèdera au serveur
sur le réseau en utilisant soit un
compte de domaine soit un compte local
dans le SAM du serveur. Mais vous
ne verrez l’activité Audit account logon
events que quand quelqu’un se
connectera au serveur (interactive-ment ou sur le réseau) en utilisant un
compte local dans le SAM du serveur
plutôt qu’un compte de domaine.
Quand on examine des événements
que Audit logon events génère
sur les DC, il faut se souvenir que ces
événements reflètent les logons interactifs
au DC ainsi que les logons qui se
produisent sur le réseau. Les ordinateurs
membres dans le domaine accèdent
régulièrement aux DC pour rafraîchir
Group Policy, à la fois comme
compte ordinateur et comme l’utilisateur
actuellement connecté. L’examen
des événements que Audit account logon
events génère sur vos DC révèlera
toute tentative de connexion avec un
compte de domaine à partir de n’importe
quel ordinateur du réseau, y
compris les logons aux stations de travail,
les connexions aux serveurs
membres, et les logons et connexions
au DC lui-même.
Téléchargez cette ressource
Préparer l’entreprise aux technologies interconnectées
Avec la « quatrième révolution industrielle », les environnements hyperconnectés entraînent de nouveaux risques en matière de sécurité. Découvrez, dans ce guide Kaspersky, comment faire face à cette nouvelle ère de vulnérabilité.
