Activer l'audit du Registre de mot de passe Microsoft Windows NT Server

Traductions disponibles Traductions disponibles
Numéro d'article: 186374 - Voir les produits auxquels s'applique cet article
Cet article a été archivé. Il est proposé « en l'état » et ne sera plus mis à jour.
Agrandir tout | Réduire tout

Résumé

Système d'exploitation Microsoft Windows NT Server inclut les fonctions d'audit intégrées. Cela permet aux administrateurs de suivre le compte d'utilisateur a été utilisé pour tentent d'accéder aux fichiers ou autres objets dans une application. L'audit peut également servir pour effectuer le suivi des tentatives d'ouverture de session, arrêts ou redémarrages du système et des événements similaires.

Plus d'informations

Windows NT Server comporte des fonctionnalités d'audit complètes et des fonctionnalités de journalisation, certains d'entre eux ne sont pas activés par défaut. Les instructions suivantes qui permet aux utilisateurs d'activer la journalisation pour l'accès aux bases de données de mot de passe.

  1. Vérifiez que l'audit est activé. Pour ce faire :

    1. Dans le menu de stratégies du Gestionnaire des utilisateurs, cliquez sur audit.
    2. Cliquez sur Auditer ces événements, puis cliquez sur Fermer.
    L'audit peut ajouter performances surcharge à votre système ; par conséquent, vous devez soigneusement déterminer quels doivent être audités et quels utilisateurs et/ou groupes à auditer. Pour une discussion détaillée sur le sujet, reportez-vous au livre «Instructions de Windows NT 3.5 pour la sécurité, d'audit et contrôle».
  2. L'aide de l'outil Services dans le panneau de configuration, démarrez le service de Planificateur et vous assurer que les paramètres de démarrage de Planificateur permettent le service qui doit être démarré en tant que système.
  3. Ouvrez une invite de commande et tapez le texte suivant :

    à <time>/interactive "regedt32.exe"

    où, <time>est remplacé à l'heure actuelle, plus environ une minute pour prendre en charge de votre commande en tapant temps.
  4. À <time>, Éditeur du Registre (Regedt32.exe) s'affiche sur votre bureau. Cette exécution de Regedt32.exe exécutera dans le contexte de sécurité du système. En tant que tel, elle permet de qu'accéder à la totalité du Registre, y compris les ruches SAM et SECURITY. Par conséquent, apporter des modifications très soigneusement. Notez que cela ne fonctionnera pas contre un Registre distant ; vous devez le faire localement sur le système que vous souhaitez modifier.
  5. L'objectif est d'activer l'audit sur certaines parties du Registre. Par conséquent, cliquez sur la fenêtre HKEY_LOCAL_MACHINE dans l'Éditeur du Registre.
  6. Cliquez sur la clé SAM et dans le menu sécurité, cliquez sur audit.
  7. Cliquez sur Ajouter, puis cliquez sur Montrer les utilisateurs.
  8. Ajouter SYSTEM, Admins du domaine, administrateur, opérateurs de sauvegarde et d'autres groupes qui ont les droits utilisateur suivants, puis cliquez sur OK :

    • S'approprier des fichiers ou d'autres objets
    • Sauvegarder des fichiers et répertoires
    • Gérer le journal d'audit et de sécurité
    • Restaurer les fichiers et répertoires
    • Ajouter des stations de travail au domaine
    • Remplacer un jeton de niveau processus
  9. Activez la case à cocher «Audit d'autorisation sur les sous-clés existantes».
  10. Sélectionnez ensuite les cases à cocher Réussite et échec des entrées suivantes

    • Valeur de requête
    • Définir la valeur
    • Écrire DAC
    • Lecture du contrôle
  11. Cliquez sur OK, puis cliquez sur Oui.
  12. Répétez les étapes 7 à 11 pour la clé de sécurité. (Cela n'est pas nécessaire si vous souhaitez simplement auditer les clés de mot de passe, mais vous suivre les autres modifications pertinentes sécurité sur le système).
  13. Quittez l'Éditeur du Registre.
  14. Arrêter le service du Planificateur. Si vous souhaitez que le service du planificateur en cours d'exécution, l'exécuter sous un autre utilisateur. Si nécessaire, créez un compte d'utilisateur à cet effet et autoriser le compte possède seulement ouverture de session du service de droits (pas «Ouvrir une session localement» ou "Accéder à cet ordinateur à partir du réseau").
Avoir sera désormais appliqué l'audit au SAM ensemble garantissant que vous serez averti par le biais du journal des événements de tout accès réussie ou à vos informations sensibles par les seuls comptes qui ont la possibilité d'accéder aux informations telles. Partie d'une bonne stratégie de sécurité est une stratégie d'audit approprié, qui devrait définir comment les journaux des événements sont examinés, comment le système vérifie les informations et quelles actions à effectuer pour chaque événement possible.

Cela va activer l'audit du SAM entière. Vous pouvez maintenant utiliser l'Observateur d'événements pour afficher réussie ou non accès à vos informations sensibles par les comptes que vous avez spécifiés. Notez que cela peut générer un grand nombre d'audits le sous-système de sécurité accéder à ces touches pour effectuer des ouvertures de session normale et ainsi de suite. Par conséquent, vous devez passer en revue périodiquement et à archiver ces pistes d'audit.

Toutefois, vous ne devez pas oublier qu'exécutant des programmes non approuvés à partir de ces comptes puissants signifie que ces programmes non approuvés peuvent concevoir les attaques sophistiquées qui utilisera les compétences de ces comptes pour supprimer toute trace de ce contact. Par conséquent, la meilleure solution consiste encore que vous n'utilisez pas de comptes administratifs pour exécuter du code non approuvé et les utilisateurs qui ont accès à des comptes administratifs sont eux-mêmes approuvé.

Propriétés

Numéro d'article: 186374 - Dernière mise à jour: mardi 11 février 2014 - Version: 1.2
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft Windows NT Server 4.0 Standard Edition
  • Microsoft Windows NT Workstation 4.0 Édition Développeur
  • Microsoft Windows NT Server 4.0 Édition Entreprise
Mots-clés : 
kbnosurvey kbarchive kbmt kbhowto KB186374 KbMtfr
Traduction automatique
IMPORTANT : Cet article est issu du système de traduction automatique mis au point par Microsoft (http://support.microsoft.com/gp/mtdetails). Un certain nombre d?articles obtenus par traduction automatique sont en effet mis à votre disposition en complément des articles traduits en langue française par des traducteurs professionnels. Cela vous permet d?avoir accès, dans votre propre langue, à l?ensemble des articles de la base de connaissances rédigés originellement en langue anglaise. Les articles traduits automatiquement ne sont pas toujours parfaits et peuvent comporter des erreurs de vocabulaire, de syntaxe ou de grammaire (probablement semblables aux erreurs que ferait une personne étrangère s?exprimant dans votre langue !). Néanmoins, mis à part ces imperfections, ces articles devraient suffire à vous orienter et à vous aider à résoudre votre problème. Microsoft s?efforce aussi continuellement de faire évoluer son système de traduction automatique.
La version anglaise de cet article est la suivante: 186374
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com