COMMENT FAIRE : Activation et application de l'audit de sécurité de Windows

Traductions disponibles Traductions disponibles
Numéro d'article: 300549 - Voir les produits auxquels s'applique cet article
Ancien nº de publication de cet article : F300549
Agrandir tout | Réduire tout

Sommaire

Résumé

Cette instruction étape par étape décrit comment activer et appliquer l'audit de sécurité de Windows.

Activation de l'audit de sécurité de Windows

Il est crucial de protéger vos ressources d'informations et de services des personnes qui ne doivent pas y avoir accès, tout en rendant ces ressources disponibles pour les utilisateurs autorisés. Cet article décrit comment utiliser les fonctions de sécurité de Windows 2000 pour auditer l'accès aux ressources.

Vous pouvez configurer les journaux de sécurité afin d'enregistrer des informations concernant l'accès à un répertoire ou à un fichier ou des événements de serveur. Vous pouvez définir ce niveau d'audit à l'aide des Stratégies d'audit dans Microsoft Management Console (MMC). Ces événements sont consignés dans le journal de Sécurité Windows. Le journal Sécurité peut enregistrer les événements de sécurité, par exemple les tentatives de connexion valides et non valides, ainsi que les événements liés à l'utilisation des ressources, tels que la création, l'ouverture ou la suppression de fichiers. Vous devez vous connecter en tant qu'administrateur pour contrôler quels événements font l'objet d'un audit et sont affichés dans le journal Sécurité.

IMPORTANT : Pour que Windows 2000 puisse auditer l'accès aux fichiers et aux dossiers, vous devez utiliser au préalable le composant logiciel enfichable Stratégie de groupe afin d'activer le paramètre Auditer l'accès aux objets dans la Stratégie d'audit. Si vous ne le faites pas, vous recevez un message d'erreur lorsque vous paramétrez l'audit de vos fichiers et dossiers et aucun fichier ou dossier ne sera audité. Après avoir activé l'audit dans Stratégie de groupe, affichez le journal Sécurité dans l'Observateur d'événements pour examiner les tentatives, ayant réussi ou échoué, d'accès aux fichiers et dossiers faisant l'objet de l'audit.

Pour activer l'audit de sécurité locale de Windows :
  1. Ouvrez une session Windows 2000 avec un compte doté de droits Administrateur. Si vous souhaitez accorder à d'autres utilisateurs les droits nécessaires pour configurer un audit, reportez-vous à " Autorisation d'un autre compte à configurer l'audit " de la section " Référence " de cet article.
  2. Assurez-vous que le composant logiciel enfichable Stratégie de groupe est installé. S'il ne l'est pas, suivez les instructions de la section " Installation du composant logiciel enfichable Stratégie de groupe " de la section " Références " de cet article pour l'installer.
  3. Cliquez sur Démarrer, pointez sur Paramètres, puis cliquez sur Panneau de configuration.
  4. Double-cliquez sur Outils d'administration.
  5. Double-cliquez sur Stratégie de sécurité locale pour démarrer le composant MMC Paramètres de sécurité locaux.
  6. Double-cliquez sur Stratégies locales pour développer le n?ud, puis double-cliquez sur Stratégie d'audit.
  7. Dans le volet droit, cliquez sur la stratégie que vous souhaitez activer ou désactiver.
  8. Cliquez sur les cases à cocher Succès (Une tentative d'accès sécurisé avec audit qui réussit) et Échec (Une tentative d'accès sécurisé avec audit qui échoue) pour la connexion et la déconnexion. Par exemple, grâce à ce paramètre, une tentative réussie de se connecter au système est enregistrée en tant qu'événement Audit des succès. Si un utilisateur essaie d'accéder à un lecteur du réseau et échoue, la tentative est enregistrée en tant qu'événement Audit des échecs.
  9. Si vous configurez l'audit pour un serveur Web exécutant Microsoft Internet Information Services (IIS) version 5.0, reportez-vous à " Recommandations pour l'audit sur un serveur Web exécutant Windows 2000 et Internet Information Services 5.0 " à la section " Références " de cet article pour obtenir une liste de propositions d'audits.
REMARQUE : Si vous êtes membre d'un domaine et qu'une stratégie est configurée au niveau du domaine, les paramètres définis au niveau du domaine écrasent les paramètres de stratégie locaux.

Si l'administrateur a activé Active Directory, il peut contrôler l'accès à Active Directory. Ainsi, les tentatives faisant l'objet d'un audit et qui ont échoué ou réussi sont enregistrées dans le journal d'événements Service d'annuaire. Ce journal d'événements n'existe que dans les contrôleurs de domaine Windows 2000.

Pour activer l'audit de Active Directory :
  1. Ouvrez une session Windows 2000 avec un compte doté de droits Administrateur, si vous souhaitez accorder à d'autres personnes des droits de configuration d'audit, consultez la section " Référence " ci-dessous.
  2. Assurez-vous que le composant logiciel enfichable Stratégie de groupe est installé. S'il ne l'est pas, suivez les instructions de la section suivante pour l'installer
  3. Démarrez le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory : cliquez sur Démarrer, pointez sur Programmes, puis pointez sur Outils d'administration.
  4. Dans le menu Affichage, cliquez sur Fonctionnalités avancées.
  5. Cliquez avec le bouton droit sur le conteneur Contrôleurs de domaine, puis cliquez sur Propriétés.
  6. Cliquez sur l'onglet Stratégie de groupe.
  7. Cliquez sur Stratégie de contrôleur de domaine par défaut, puis cliquez sur Modifier.
  8. Double-cliquez sur les éléments suivants pour les ouvrir :Configuration de l'ordinateur, Paramètres Windows, Paramètres de sécurité, Stratégies locales, Stratégie d'audit.
  9. Dans le volet droit, ouvrez Auditer l'accès au service d'annuaire.
  10. Cliquez sur les options voulues : Auditer les accès réussis, Auditer les accès échoués ou les deux.
  11. Si vous configurez l'audit pour un serveur Web IIS version 5.0, reportez-vous à " Recommandations pour l'audit sur un serveur Web exécutant Windows 2000 et Internet Information Services 5.0 " à la section " Références " de cet article pour obtenir une liste de propositions d'audits.
REMARQUE : Dans Windows 2000, une recherche de modifications de stratégies est effectuée toutes les cinq minutes sur les contrôleurs de domaine. Les autres contrôleurs de domaine de l'entreprise reçoivent les modifications à ce même intervalle plus la durée de la réplication.

REMARQUE : Si les cases à cocher situées sous Accès dans la boîte de dialogue Audit de l'entrée sont grisées, ou si le bouton Supprimer n'est pas disponible dans la boîte de dialogue Paramètres du contrôle d'accès, cela signifie que l'audit a été hérité du dossier parent. Étant donné la taille restreinte du journal Sécurité, sélectionnez avec discernement les fichiers et dossiers devant faire l'objet d'un audit. Déterminez également soigneusement le volume d'espace disque que vous souhaitez affecter au journal Sécurité. La taille maximale est définie dans l'Observateur d'événements.

Audit d'événements dans Windows 2000 Server

2.1 Configuration, affichage, modification ou suppression de l'audit de dossiers ou de fichiers Windows

En général, vous configurez un audit dans le but de détecter et d'enregistrer les événements relatifs à la sécurité, par exemple une tentative d'accès à un fichier ou un dossier confidentiel par un utilisateur. Lorsque vous effectuez un audit sur un objet, une entrée est inscrite dans le journal de Sécurité Windows 2000 chaque fois qu'un utilisateur accède à l'objet d'une certaine manière. Vous déterminez quels objets, quelles actions et plus précisément quels types d'action doivent faire l'objet de l'audit. Après avoir configuré l'audit, vous pouvez garder une trace des utilisateurs qui accèdent à certains objets et analyser les violations de sécurité. Le journal d'audit peut indiquer qui a exécuté des actions et qui a tenté d'exécuter des actions non autorisées.

Pour configurer l'audit :
  1. Démarrez l'Explorateur Windows (cliquez sur Démarrer, pointez sur Programmes, pointez sur Accessoires, puis cliquez sur Explorateur Windows), puis localisez le fichier ou le dossier devant faire l'objet de l'audit.
  2. Cliquez avec le bouton droit sur le dossier ou le fichier, cliquez sur Propriétés, puis cliquez sur l'onglet Sécurité.
  3. Cliquez sur Avancées puis sur l'onglet Audit.
  4. Effectuez une des opérations suivantes, selon vos besoins :
    1. Pour configurer l'audit pour un nouveau groupe ou un nouvel utilisateur :
      1. Cliquez sur Ajouter. Dans la zone Nom, tapez le nom de l'utilisateur devant faire l'objet de l'audit.
      2. Cliquez sur OK afin d'ouvrir automatiquement la boîte de dialogue Audit de l'entrée.
    2. Pour afficher ou modifier l'audit d'un groupe ou d'un utilisateur existant, cliquez sur le nom puis sur Afficher/Modifier.
    3. Pour supprimer l'audit sur un groupe ou un utilisateur existant, cliquez sur le nom puis sur Supprimer.
  5. Sous Accès, cliquez sur Réussite, Échec, ou à la fois Échec et Réussite, selon le type d'accès devant faire l'objet d'un audit.
  6. Si vous souhaitez que les fichiers et les sous-dossiers de l'arborescence héritent de ces entrées d'audit, cliquez sur la case à cocher Appliquer ces entrées d'audit aux objets et/ou aux conteneurs à l'intérieur de ce conteneur uniquement. pour l'activer.

2.2 Configuration de l'audit pour détecter un accès non autorisé

Vous pouvez détecter les tentatives non autorisées d'accès à des fichiers ou des dossiers dans le journal de Sécurité Windows et ces tentatives peuvent être affichées en tant qu'avertissements ou en tant qu'entrées d'erreur dans le journal. Vous pouvez également archiver ces journaux pour les réutiliser ultérieurement.

Pour détecter les éventuels problèmes de sécurité lors de la lecture du journal de Sécurité Windows :
  1. Cliquez sur Démarrer, pointez sur Paramètres, puis cliquez sur Panneau de configuration.
  2. Double-cliquez sur Outils d'administration, puis double-cliquez sur Gestion de l'ordinateur.
  3. Développez le n?ud Outils système puis Observateur d'événements.
  4. Cliquez sur Journal sécurité.

    REMARQUE : Si vous ne pouvez pas afficher le journal Sécurité, cela signifie que le compte utilisateur que vous utilisez ne possède pas les privilèges nécessaires. Ce problème est dû au fait que les stratégies de sécurité au niveau du domaine ont priorité sur les stratégies de sécurité au niveau de l'ordinateur local, ce qui signifie que vous pouvez avoir ouvert une session en tant qu'administrateur sur l'ordinateur local sans pour autant avoir accès au journal de sécurité de l'ordinateur. Pour obtenir ces autorisations, demandez à votre administrateur réseau. Pour plus d'informations sur les stratégies de sécurité, reportez-vous à la documentation Windows.
  5. Vérifiez la présence d'événements de sécurité suspects, notamment :
    • Tentatives d'ouverture de session non valides.
    • Échecs de tentatives d'utilisation de privilèges.
    • Échecs de tentatives d'accès et de modification de fichiers .bat ou .cmd.
    • Tentatives de modification des privilèges de sécurité ou du journal d'audit.
    • Tentatives d'arrêt du serveur.

Journaux de sécurité Windows

3.1 Comment archiver un journal de sécurité Windows

Pour archiver un journal de sécurité Windows :
  1. Cliquez sur Démarrer, pointez sur Paramètres, puis cliquez sur Panneau de configuration.
  2. Double-cliquez sur Outils d'administration, puis double-cliquez sur Gestion de l'ordinateur.
  3. Développez le n?ud Outils système puis Observateur d'événements.
  4. Cliquez sur Sécurité.
  5. Dans le menu Action, cliquez sur Enregistrer le fichier journal sous.
  6. Dans la boîte de dialogue Enregistrer sous, cliquez sur le répertoire dans lequel vous souhaitez enregistrer le fichier, puis tapez un nom pour le fichier.
REMARQUE : Le journal Sécurité peut être enregistré en tant que fichier événement (.evt), texte (.txt) ou séparé par des virgules (.csv).

3.2 Comment ouvrir un journal de sécurité Windows archivé

Pour ouvrir un journal de sécurité Windows archivé :
  1. Cliquez sur Démarrer, pointez sur Paramètres, puis cliquez sur Panneau de configuration.
  2. Double-cliquez sur Outils d'administration, puis double-cliquez sur Gestion de l'ordinateur.
  3. Développez le n?ud Outils système puis Observateur d'événements.
  4. Dans le menu Journal, cliquez sur Sécurité.
  5. Dans le menu Action, pointez sur Ouverture du fichier journal.
  6. Dans la boîte de dialogue Ouvrir, cliquez sur le dernier journal que vous avez ouvert ou modifiez l'emplacement dans la liste Regarder dans et naviguez jusqu'au fichier.
  7. Dans la liste Type de journal, cliquez sur Sécurité.
  8. Cliquez sur OK pour ouvrir le fichier dans l'Observateur d'événements.

Pièges

Étant donné la taille restreinte du journal Sécurité, sélectionnez soigneusement les fichiers et dossiers devant faire l'objet d'un audit. Déterminez également soigneusement le volume d'espace disque que vous souhaitez affecter au journal Sécurité. La taille maximale est définie dans l'Observateur d'événements.

IMPORTANT : Pour que Windows 2000 puisse auditer l'accès aux fichiers et aux dossiers, vous devez utiliser le composant logiciel enfichable Stratégie de groupe afin d'activer le paramètre Auditer l'accès aux objets dans la Stratégie d'audit. Si vous ne le faites pas, vous recevez un message d'erreur lorsque vous paramétrez l'audit de vos fichiers et dossiers et aucun fichier ou dossier ne sera audité. Après avoir activé l'audit dans Stratégie de groupe, affichez le journal Sécurité dans l'Observateur d'événements pour examiner les tentatives, ayant réussi ou échoué, d'accès aux fichiers et dossiers faisant l'objet de l'audit.

RÉFÉRENCES

Installation du composant logiciel enfichable Stratégie de groupe

Pour utiliser les fonctionnalités d'audit décrites dans cet article, vous devez installer le composant logiciel enfichable Stratégie de groupe. Celui-ci ne se trouve pas dans la console de gestion de l'ordinateur et vous devez créer une nouvelle console pour le composant logiciel enfichable Stratégie de groupe. Pour un complément d'informations sur l'ajout de composants logiciels enfichables MMC, consultez la documentation Windows 2000.

Pour créer une nouvelle console MMC et ajouter le composant logiciel enfichable Stratégie de groupe :
  1. Cliquez sur Démarrer, puis sur Exécuter. Dans la boîte de dialogue Exécuter, tapez mmc pour démarrer une nouvelle console MMC.
  2. Dans le menu Console, cliquez sur Ajouter/Supprimer un composant logiciel enfichable.
  3. Dans la boîte de dialogue Ajouter/Supprimer un composant logiciel enfichable, cliquez sur Ajouter.
  4. Dans la boîte de dialogue Ajout d'un composant logiciel enfichable autonome, cliquez sur Stratégie de groupe dans la liste composants logiciels enfichables disponibles. Cliquez sur Ajouter.
  5. Dans la boîte de dialogue Sélection d'un objet Stratégie de groupe, cliquez sur Terminer afin d'auditer l'ordinateur local, ou sur Parcourir pour naviguer jusqu'à l'ordinateur devant faire l'objet de l'audit.
  6. Si vous avez cliqué sur Parcourir, poursuivez à l'étape 7. Si vous avez cliqué sur Terminer, poursuivez à l'étape 9.
  7. Dans la boîte de dialogue Rechercher un objet Stratégie de groupe, cliquez sur l'onglet Ordinateurs, cliquez sur Un autre ordinateur, naviguez jusqu'à l'ordinateur devant faire l'objet de l'audit et cliquez sur OK.
  8. Dans la boîte de dialogue Sélection d'un objet Stratégie de groupe, cliquez sur Terminer.
  9. Refermez la boîte de dialogue Ajout d'un composant logiciel enfichable autonome.
  10. Cliquez sur OK.
  11. Dans le menu Console, sélectionnez Enregistrer afin d'enregistrer la nouvelle console sur votre disque dur. Il s'agit de la console que vous utiliserez pour configurer les fonctionnalités d'audit.

Autorisation d'un autre compte à configurer l'audit

Par défaut, seuls les membres du groupe Administrateurs possèdent les privilèges de configuration de l'audit. Vous pouvez néanmoins déléguer la tâche de la configuration d'audit des événements de serveur à un autre compte utilisateur en attribuant les droits de Gestion d'audit et de journal de Sécurité dans Stratégie de groupe.

Pour permettre à un compte de configurer l'audit :
  1. Dans la console Stratégie de groupe que vous avez créée, développez les menus suivants dans l'ordre indiqué :
    1. Configuration ordinateur
    2. Paramètres Windows
    3. Paramètres de sécurité
    4. Stratégies locales
    5. Attribution des droits utilisateur
  2. Cliquez sur Gestion d'audit et de journal de Sécurité, cliquez sur Action puis sur Sécurité.
  3. Dans la boîte de dialogue Gestion d'audit et de journal de Sécurité, cliquez sur Ajouter.

    REMARQUE : Si le bouton Ajouter n'est pas disponible (s'il apparaît estompé), désactivez la case à cocher Exclure de la stratégie locale pour activer le bouton Ajouter.
  4. Cliquez sur l'utilisateur ou le groupe d'utilisateurs approprié dans la liste, puis cliquez sur Ajouter. Cliquez sur OK.

Recommandations pour l'audit sur un serveur Web exécutant Windows 2000 et Internet Information Services 5.0



Pour un ordinateur Windows 2000 Server exécutant IIS 5.0, vous devez effectuer l'audit en utilisant les événements Windows suivants. " Auditer les accès réussis " indique que votre intérêt porte sur les événements avec succès et " Auditer les accès échoués " indique que vous souhaitez être informé des échecs lorsque l'événement a lieu. " Actif " signifie que l'événement est en cours d'audit, " inactif " indique que l'événement ne fait pas l'objet d'un audit.

La liste suivante propose des possibilités d'audit pour différents événements sur un ordinateur Windows 2000 servant également de serveur Web IIS :
  • Ouverture de session par des comptes
    Auditer les accès réussis : Actif

    Auditer les accès échoués : Actif
  • Gestion de comptes
    Auditer les accès réussis : Inactif

    Auditer les accès échoués : Actif
  • Accès Active Directory
    Auditer les accès réussis : Inactif

    Auditer les accès échoués : Actif
  • Ouverture de session
    Auditer les accès réussis : Actif

    Auditer les accès échoués : Actif
  • Accès aux objets
    Auditer les accès réussis : Inactif

    Auditer les accès échoués : Inactif
  • Changement de stratégie
    Auditer les accès réussis : Actif

    Auditer les accès échoués : Actif
  • Utilisation d'un privilège
    Auditer les accès réussis : Inactif

    Auditer les accès échoués : Actif
  • Suivi de processus
    Auditer les accès réussis : Inactif

    Auditer les accès échoués : Inactif
  • Système
    Auditer les accès réussis : Inactif

    Auditer les accès échoués : Inactif

Propriétés

Numéro d'article: 300549 - Dernière mise à jour: jeudi 19 février 2004 - Version: 4.0
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Professionel
  • Microsoft Windows 2000 Advanced Server
Mots-clés : 
kbhowtomaster kbperformance w2000iis KB300549
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Envoyer des commentaires

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com