Les ID d'événement 560 et 562 apparaissent de nombreuses fois dans le journal des événements de sécurité

Traductions disponibles Traductions disponibles
Numéro d'article: 841001 - Voir les produits auxquels s'applique cet article
Agrandir tout | Réduire tout

Sommaire

Symptômes

Après la configuration d'une stratégie de groupe ou d'une stratégie de sécurité locale pour auditer l'accès à un objet, de nombreux événements semblables aux événements suivants apparaissent dans le journal des événements de sécurité :

Source de l'événement : Sécurité
Catégorie de l'événement : Accès aux objets
ID de l'événement : 560
Date : date
Heure : heure
Type : Réussite
Utilisateur : EXEMPLE\nom_utilisateur
Ordinateur : nom_ordinateur
Description :
Objet ouvert :
Serveur objet : Sécurité
Type d'objet : type_objet
Nom d'objet : type_objet
ID nouveau handle : 104
ID opération : {0,252360}
ID processus : 1156
Nom d'utilisateur principal : nom_utilisateur
Domaine principal : EXEMPLE
ID session principale : (ID_session)
Nom de l'utilisateur client :
Domaine client :
ID session client :
Accès
<Liste des accès>
Privilèges :



Source de l'événement : Sécurité
Catégorie de l'événement : Accès aux objets
ID de l'événement : 562
Date : date
Heure : heure
Type : Réussite
Utilisateur : EXEMPLE\nom_utilisateur
Ordinateur : nom_ordinateur
Description :
Handle fermé :
Objet Serveur : Sécurité
ID handle : 104
ID processus : 1156


Ces événements apparaissent si vous n'avez pas configuré la liste SACL sur l'objet que vous auditez. Ils apparaissent également si vous avez configuré la liste SACL, mais pas pour tous les accès répertoriés. Par exemple, ces événements sont consignés lorsqu'un utilisateur ou un programme lit une sous-clé de Registre, si vous n'avez pas activé la case à cocher Contrôle en lecture ou Retrouver la valeur dans l'entrée d'audit pour cette sous-clé de Registre.

Remarque Pour plus d'informations sur la façon de configurer l'audit, reportez-vous à la section « Plus d'informations ».

Cause

Ce problème peut se produire lorsque l'une des conditions suivantes est remplie :
  • Vous activez le paramètre de stratégie de sécurité locale Auditer l'accès des objets système globaux. Si vous activez ce paramètre, beaucoup d'événements d'audit vont être générés. Ces événements seront en général des événements de sécurité source avec l'ID d'événement 560, où le type d'objet est événement, mutant, processus, section, sémaphore, thread ou jeton. Ils présentent un intérêt uniquement pour un développeur système. En règle générale, le paramètre de stratégie de sécurité locale Auditer l'accès des objets système globaux n'est pas activé.
  • Vous activez l'audit sur un contrôleur de domaine. Lorsque vous activez l'audit sur un contrôleur de domaine, les événements d'audit qui vont être générés contiennent généralement des références aux types d'objet suivants :
    • SAM_ALIAS
    • SAM_GROUP
    • SAM_USER
    • SAM_DOMAIN
    • SAM_SERVER
    Ces événements indiquent que les objets du Gestionnaire des comptes de sécurité (SAM) comportent des listes SACL et qu'il y a beaucoup d'activité au niveau du gestionnaire SAM. En général, ces événements se produisent uniquement sur un contrôleur de domaine.
  • Vous utilisez une application qui ouvre trop fréquemment des objets audités ou qui ouvre des objets audités avec un accès supérieur à ce dont a besoin l'application. Par exemple, l'application peut demander un accès Contrôle total alors qu'elle n'a besoin que d'un accès en lecture. Lorsque ce problème se produit, des événements peuvent être générés dans lesquels le processus référencé est toujours la même application.

Résolution

Pour résoudre ce problème, appliquez l'une des méthodes ci-dessous.

Méthode 1

Désactivez le paramètre de stratégie de sécurité locale Auditer l'accès des objets système globaux si vous l'avez préalablement activé. Pour cela, procédez comme suit :
  1. Cliquez sur Démarrer, sur Exécuter, tapez gpedit.msc, puis cliquez sur OK.
  2. Recherchez l'entrée suivante :
    Console Root\Local Computer Policy\Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options
  3. Double-cliquez sur la stratégie Auditer l'accès des objets système globaux, cliquez sur Désactivée sous Stratégie locale, puis cliquez sur OK.
  4. Dans le menu Console, cliquez sur Quitter, puis redémarrez l'ordinateur.

Méthode 2

Utilisez le composant logiciel enfichable Éditeur ADSI pour supprimer les entrées d'audit de la liste SACL pour un objet SAM si vous avez activé l'audit sur un contrôleur de domaine. Pour cela, procédez comme suit :

Remarque Le logiciel enfichable Éditeur ADSI se situe dans le dossier Support du CD-ROM d'installation de Windows 2000.

Avertissement Si vous utilisez le composant logiciel enfichable Éditeur ADSI, l'utilitaire LDP ou tout autre client version 3 LDAP, et que vous effectuez une modification incorrecte des attributs d'objets Active Directory, vous pouvez générer des problèmes graves. Ces problèmes peuvent vous obliger à réinstaller Microsoft Windows 2000 Server, Microsoft Windows Server 2003, Microsoft Exchange 2000 Server, Microsoft Exchange Server 2003 ou à la fois Windows et Exchange. Microsoft n'est pas en mesure de garantir que les problèmes résultant d'une modification incorrecte des attributs d'objets Active Directory pourront être résolus. Vous assumez l'ensemble des risques liés à la modification de ces attributs.
  1. Ouvrez une session sur le contrôleur de domaine en utilisant un compte qui dispose des informations d'identification de l'administrateur du domaine.
  2. Cliquez sur Démarrer, sur Exécuter, tapez adsiedit.msc, puis cliquez sur OK.
  3. Dans la console de gestion Éditeur ADSI, cliquez avec le bouton droit sur Modification ADSI, puis cliquez sur Connexion.
  4. Dans la boîte de dialogue Connexion, assurez-vous que l'option Nom unique est sélectionnée, puis tapez ce qui suit dans le champ Nom unique :
    CN=Server,CN=System,DC=Nom_domaine,DC=Extension_domaine.
  5. Sélectionnez l'option Par défaut (domaine ou serveur auquel vous êtes connecté), puis cliquez sur OK.
  6. Dans la console de gestion Éditeur ADSI, cliquez avec le bouton droit sur le dossier CN=Server, CN=System, DC =Nom_domaine, DC =Extension_domaine, puis cliquez sur Propriétés.
  7. Dans la boîte de dialogue CN=Server,CN=System,DC=Nom_domaine,DC=Extension_domainePropriétés, cliquez sur l'onglet Sécurité.
  8. Cliquez sur Avancé, puis sur l'onglet Audit.
  9. Désactivez la case à cocher Permettre la propagation d'entrées d'audit provenant de l'objet parent à cet objet.
  10. Lorsque le message suivant s'affiche, cliquez sur Supprimer.

    Vous empêchez toute entrée d'audit héritable de se propager à cet objet. Que voulez-vous faire ?
  11. Cliquez sur OK deux fois afin d'enregistrer le paramètre et de fermer la boîte de dialogue CN=Server,CN=System,DC=Nom_domaine,DC=Extension_domaine Propriétés.

Méthode 3

Configurez l'application personnalisée afin d'ouvrir les objets audités uniquement lorsque cela est nécessaire. Par exemple, configurez l'application personnalisée afin qu'elle ne demande que l'accès minimum qui lui est nécessaire. Si l'application personnalisée a uniquement besoin d'un accès en lecture pour un objet spécifique, ne lui affectez-lui qu'un accès en lecture. Dans ce cas, un accès Contrôle total n'est pas nécessaire.

Plus d'informations

Windows 2000 implémente un audit à partir de l'accès qui est demandé par un utilisateur ou par un programme. Si un utilisateur ou un programme accède à un objet en utilisant un compte qui a un niveau d'audit d'accès à l'objet, Windows génère l'événement d'audit correspondant. Par exemple, si vous configurez un programme avec l'accès en écriture à un objet, et si vous avez configuré l'audit pour les événements d'écriture, un événement d'audit d'écriture est généré lorsque ce programme accède à l'objet. Ce problème se produit même si le programme n'exécute pas d'opération d'écriture sur une sous-clé de Registre. Dans ce scénario, l'événement d'audit est généré parce que le programme a la possibilité d'écrire dans l'objet.

Windows implémente cette méthode d'audit afin de conserver la compatibilité avec les normes de certification des critères communs et, préalablement, les normes de certification C2. Pour plus d'informations sur la configuration d'audit C2 requise, consultez le manuel A Guide to Understanding Audit in Trusted Systems. Pour afficher ce guide, reportez-vous à la page Web suivante : (en anglais uniquement)
http://www.fas.org/irp/nsa/rainbow/tg001.htm
La « Section 6.1.1 Auditable Events » de ce guide contient les deux événements d'audit suivants :
  • Introduction of objects into a user's address space (Introduction d'objets dans l'espace d'adressage d'un utilisateur)
  • Deletion of objects from a user's address space (Suppression d'objets de l'espace d'adressage d'un utilisateur)
Dans Windows, l'ID d'événement 560 représente le premier événement, et l'ID d'événement 562 représente le deuxième événement.

Pour plus d'informations sur les normes de certification de critères communs, reportez-vous au site Web de Microsoft à l'adresse suivante (en anglais) :
http://www.microsoft.com/windows2000/techinfo/planning/commoncriteria.asp
Pour plus d'informations sur l'audit de clés de Registre, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
315416 Comment faire pour utiliser une stratégie de groupe pour auditer les clés de Registre dans Windows 2000
Pour plus d'informations, cliquez sur les numéros ci-dessous pour afficher les articles correspondants dans la Base de connaissances Microsoft.
816915 Nouveau modèle d'affectation de noms pour les packages de correctifs Microsoft Windows
824684 Terminologie standard utilisée pour décrire les mises à jour logicielles Microsoft
Microsoft fournit les coordonnées de sociétés tierces afin de vous aider à trouver un support technique. Ces informations peuvent être modifiées sans préavis. Microsoft ne garantit en aucun cas l'exactitude des informations concernant les sociétés tierces.

Propriétés

Numéro d'article: 841001 - Dernière mise à jour: lundi 12 février 2007 - Version: 2.3
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows XP Édition familiale
  • Microsoft Windows XP Professional
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Professionnel
  • Microsoft Windows NT 4.0
  • Microsoft Windows NT Advanced Server 3.1
  • Microsoft Windows NT Server 4.0 Standard Edition
Mots-clés : 
kbbug kbfix kbqfe kbenv kbeventlog kbprb kbwin2000presp5fix KB841001
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Envoyer des commentaires

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com