> Tech > Tout sur Security Log !

Tout sur Security Log !

Tech - Par Randy Franklin Smith - Publié le 24 juin 2010
email

Des descriptions d’événements plus homogènes et un Event Viewer plus puissant enrichissent Windows 2008 et Vista ...

L’audit de Windows Server et le journal d’événements Security (Security Event log) ont réellement changé dans Windows Server 2008 et dans Windows Vista. Pour ma part, je juge bons la plupart des changements. Le Journal de sécurité est plus net et plus intelligible mais, pour vraiment le maîtriser, il faut encore bien connaître la sécurité Windows et les arcanes du décodage. J’ai passé ces dix dernières années dans les entrailles de la sécurité et de l’audit Windows et, dernièrement, je me suis concentré sur Windows 2008 et Vista. Je peux donc vous aider à découvrir la numérotation modifiée des ID événements, la nouvelle manière plus granulaire dont la stratégie d’audit est traitée dans Windows 2008 et Vista, le format log.XML et les améliorations apportées au snap-in Microsoft Management Console (MMC) Event Viewer.


 

Tout sur Security Log !









Si vous êtes déjà familiarisés avec le Security log Windows, la première chose que vous remarquerez en ouvrant Event Viewer dans Windows 2008 est qu’aucun des anciens event ID n’apparaît. Absolument ! Juste au moment où vous pensiez percevoir la différence entre event ID 528 et event ID 529, Microsoft décide de changer les ID. En réalité, Microsoft a conservé bon nombre des événements de Windows Server 2003, mais a ajouté 4 096 à l’event ID. Par exemple, event ID 528 dans Windows 2003 est event ID 4624 dans Windows 2008. En fait, je suis heureux que Microsoft ait changé tous les event ID, parce qu’elle a aussi complètement rénové les champs dans la description de chaque événement. Dans Windows 2003, Microsoft a gardé les event ID de Windows 2000 Server, mais a changé les événements qu’ils suivent, a combiné de multiples event ID en un, et a changé l’ordre des champs dans les descriptions. De quoi semer la pagaille dans le logiciel d’analyse de journaux automatisé. La nouvelle numérotation vous permet d’ajouter des systèmes Windows 2008 à votre environnement et de commencer à collecter des logs sans mettre au rebut vos définitions de filtres, d’alertes et de reporting existantes. Il vous faudra ajouter de nouvelles définitions pour les nouveaux event ID.




Téléchargez cette ressource

Guide de réponse aux incidents de cybersécurité

Guide de réponse aux incidents de cybersécurité

Le National Institute of Standards and Technology (NIST) propose un guide complet pour mettre en place un plan de réponse aux incidents de cybersécurité, nous en avons extrait et détaillé les points essentiels dans ce guide. Découvrez les 6 étapes clés d'un plan de réponse efficace aux incidents de cybersécurité.

Tech - Par Randy Franklin Smith - Publié le 24 juin 2010