Dans Windows Server 2003, le Security event log (journal d’événements touchant à la sécurité) a plus d’informations que jamais auparavant. Mais il reste sombre et est plein d’event ID et de codes mystérieux et de documentation inexacte. En matière de reporting, d’archivage, d’alerte et de consolidation, nous sommes confrontés aux mêmes difficultés que depuis Windows NT Server. Et le penchant de Microsoft pour changer la signification de nombreux event ID d’une version à la suivante ne fait qu’aggraver la situation. Pourtant, si l’on possède les bons outils et si l’on sait ce que l’on recherche, le journal de Sécurité peut fournir beaucoup d’informations intéressantes.Dans cet article, le premier d’une série prévue sur le journal de Sécurité Windows 2003, je donne un aperçu général de la stratégie d’audit et du journal de Sécurité pour les débutants. Il y a aussi les fins limiers du journal de Sécurité. Je les invite à consulter le sous-titre « Nouveau dans Windows 2003 » pour chaque catégorie du journal de Sécurité ; ils prendront ainsi connaissance des principales modifications qu’apporte Windows 2003 en la matière. Windows divise tous les événements de sécurité en neuf catégories d’audit, comme l’illustre la figure 1 qui montre l’onglet Filter de la boîte de dialogue Security Properties de l’Event Viewer. Dans de futurs articles, j’examinerai les catégories du journal de Sécurité plus en détail et nous verrons comment tirer le maximum de cette importante ressource.
Windows 2003 Security log !
On visualise le journal de Sécurité avec le snap-in Microsoft Management Console (MMC) Event Viewer. Tous les event ID partagent quelques champs standard et chaque event ID a une description unique. Les champs standard sont event ID, date, time, username, computer name, source, category et type. Pour de nombreux event ID, l’architecture de sécurité Windows rend le username inutile et il faut alors examiner les champs associés à l’utilisateur dans la description d’événements. Le nom de l’ordinateur correspond toujours à l’ordinateur local : il n’est utile que quand on regroupe dans une même base de données les journaux provenant de plusieurs systèmes. Le champ source a pour rôle d’indiquer quelle partie du système ou de l’application a signalé l’événement, mais tous les événements du journal de Sécurité ont Security comme source. Le champ category correspond aux neuf catégories d’audit et le type est toujours Success Audit ou Failure Audit, ce qui permet de séparer les événements, comme les logons réussis, de ceux qui ont échoué. La description est une combinaison de texte statique dans votre langue et d’une liste variable de chaînes dynamiques insérées dans ce texte, dans des positions prédéfinies. Les chaînes de description contiennent l’information la plus précieuse sur de nombreux événements et il existe des outils qui vous aideront à analyser ces détails et à en faire le compte-rendu.
Event Viewer a quelques possibilités de recherche et de filtrage, mais plutôt limitées. Avec Event Viewer, on peut aussi archiver et/ou nettoyer un journal de Sécurité. Quand on archive un journal (en faisant un clic dessus et en sélectionnant Save Event Log As), on peut opter pour trois modes de sauvegarde : format .evt natif, format CSV (comma-separated value) ou format tabulaire.
Event Viewer permet de consulter les journaux archivés et les journaux actifs sur les systèmes à distance, et il donne généralement satisfaction. Mais les choses risquent de se compliquer si l’on visualise un journal de Sécurité provenant d’un système utilisant une autre langue ou une autre version de Windows : il se peut alors que, quand vous essaierez de visualiser les détails d’un événement, la description ne contienne pas le texte statique et se limite aux chaînes d’insertion dynamiques. Par ailleurs, la consultation d’un vaste Event log sur une connexion WAN peut être très lente et, si de nouveaux événements sont insérés pendant la consultation du journal, un message d’erreur viendra vous signaler cette insertion.
C’est aussi dans Event Viewer que l’on configure la taille maximale octroyée au journal de Sécurité et ce que Windows doit faire quand cette limite supérieure est atteinte. Pour visualiser ces paramètres, faites un clic droit sur le journal et sélectionnez Properties. On peut configurer Windows pour plusieurs types d’actions : remplacer les événements les plus anciens si nécessaire, stopper la journalisation et attendre que quelqu’un efface le journal, ou effacer les événements plus anciens que le nombre de jours spécifié. Dans le dernier cas, Windows cesse momentanément de journaliser les événements quand le log est plein et qu’il n’y a pas d’événements plus anciens que le nombre de jours défini.
Téléchargez cette ressource
Guide de Sécurité IA et IoT
Compte tenu de l'ampleur des changements que l'IA est susceptible d'entraîner, les organisations doivent élaborer une stratégie pour se préparer à adopter et à sécuriser l'IA. Découvrez dans ce Livre blanc Kaspersky quatre stratégies efficaces pour sécuriser l'IA et l'IoT.
Les articles les plus consultés
Les plus consultés sur iTPro.fr
- L’IA comme levier d’évangélisation du COMEX à la cybersécurité
- Intégration et utilisation de l’IA en 3 conseils clés
- CRM : quand l’IA fait dans le détail
- Baromètre cybersécurité 2023 : Top 7 des enseignements
- Sauvegarde : Comment protéger les données contre les menaces de ransomware en constante évolution ?
