• Aucun résultat trouvé

C ONFIGURATION DE L 'A UDIT

Dans le document Sécurité de Windows NT (Page 90-94)

5. SECURISER WINDOWS NT

5.8. C ONFIGURATION DE L 'A UDIT

5.8.1. Mettre en place une stratégie d'audit

Définir la stratégie d’audit ci-dessous. Cette stratégie représente un compromis entre la pertinence de l’audit et la quantité de données à stocker. Pour des besoins spécifiques et / ou des machines particulièrement exposées, on peut ajouter des événements à auditer.

Il s’agit ici de donner un ensemble minimal de paramètres à auditer. L’administrateur peut décider d’étendre l’audit à d’autres paramètres en fonction de ses besoins.

Il est par exemple possible d’auditer l’accès à certains fichiers, certaines clefs ou encore l’activité de la base des objets NT. Néanmoins, il faut limiter le nombre de ces éléments sous peine de rapidement saturer les journaux d’audit.

L’audit de l’ensemble des actions élémentaires d’accès aux objets du noyau NT ou aux fichiers lors des opérations de backup n’est pas recommandé car cela génère beaucoup d’événements et risque de saturer inutilement les journaux d’audit.

5.8.2. Régler les paramètres des journaux

Les journaux d'audit peuvent très rapidement se remplir. Un réglage permet de définir la politique d'effacement des anciens évènements. L'effacement automatique des anciens messages peut être utilisé pour masquer une activité.

Le réglage des paramètres pour les journaux d’audits s’effectue dans le Gestionnaire d’Evénements (menu « Journaux / Paramètres du journal »). Il faut régler successivement les trois journaux (système, sécurité et applications). Définir, pour chaque journal, les réglages visibles dans le schéma suivant.

85 Choisir « Ecraser les événements si nécessaire » sans quoi, après saturation du journal, plus

aucun événement ne sera audité !

Cependant, si l'on choisi l'option "Ne pas écraser….", il est nécessaire d'archiver et de nettoyer régulièrement le journal d'évènements afin de ne pas interrompre l'enregistrement des messages.

5.8.3. Limiter l'accès aux journaux d'audit

Les invités et les sessions "nulles" ont la possibilité de visualiser les journaux d'évènements.

Pour leur interdire l'accès, ajouter les trois entrées suivantes dans la base des registres (une par journal).

Ruche HKEY_LOCAL_MACHINE\SYSTEM

Clé System\CurrentControlSet\Services\EventLog\Security Nom RestrictGuestAccess

Type REG_DWORD Valeur 1

Ruche HKEY_LOCAL_MACHINE\SYSTEM

Clé System\CurrentControlSet\Services\EventLog\System Nom RestrictGuestAccess

Type REG_DWORD Valeur 1

Ruche HKEY_LOCAL_MACHINE\SYSTEM

Clé System\CurrentControlSet\Services\EventLog\Application Nom RestrictGuestAccess

Type REG_DWORD Valeur 1

5.8.4. Limiter le droit de gérer le journal d'audit et de sécurité

Un utilisateur disposant du droit "Gérer le journal d'audit et de sécurité", sans être membre du groupe Administrateurs, peut effacer le journal sécurité sans que l'évènement 517 (le Journal sécurité a été effacé) ne soit enregistré. Ce problème survient sur Windows NT 4.0 SP3.

Il est préférable de ne pas accorder le privilège "Gérer le journal d'audit et de sécurité" à des utilisateurs autres que les administrateurs.

5.8.5. Activer l'audit des objets système

86 Ruche HKEY_LOCAL_MACHINE\SYSTEM

Clé System\CurrentControlSet\Control\Lsa Nom AuditBaseObjects

Type REG_DWORD Valeur 1

Cette clé de suffit pas à générer des audits sur les objets systèmes. Il faut aussi activer l'audit système dans la Stratégie d'Audit du Gestionnaire des Utilisateurs.

En raison du grand nombre d'évènements généré par un tel paramètrage, cette option N'EST PAS RECOMMANDEE.

5.8.6. Arrêter le système quand le journal d'audit est saturé

La certification C2 impose l'arrêt d'un système lorsque le journal d'audit est saturé, ceci afin d'éviter que des activités illicites ne puissent être enregistrées. Le système pourra être redémarré mais seul l'administrateur pourra y avoir accès afin de vider le journal et repositionner la valeur de la clé associé. Lors de l'arrêt du système, elle est positionnée à 2.

Ajouter l'entrée suivante dans la base de registre.

Ruche HKEY_LOCAL_MACHINE\SYSTEM Clé System\CurrentControlSet\Control\Lsa Nom CrashOnAuditFail

Type REG_DWORD Valeur 1

Cette précaution peut nuire à la disponibilité du système si des évènements sont générés de façon à saturer le journal.

Cette option

N'EST PAS RECOMMANDEE

, l'arrêt du système se traduisant dans ce cas présent par un CRASH du système (Ecran Bleu) !!!

5.8.7. Afficher une bannière d'ouverture de session

Il est possible d'afficher une bannière pour signaler explicitement que l'accès à la machine n'est autorisé qu'aux personnes habilitées. Le texte se compose d'un titre et d'un corps. Ces mentions sont plutôt du domaine juridique et ne modifient pas le niveau de sécurité technique de la machine.

Pour le titre de la bannière, ajouter l'entrée suivante dans la base de registre.

Ruche HKEY_LOCAL_MACHINE\SOFTWARE

Clé Software\Microsoft\WindowsNT\CurrentVersion\Winlogon Nom LegalNoticeCaption

Type REG_SZ Valeur Titre à afficher

Pour le texte de la bannière, ajouter l'entrée suivante dans la base de registre.

Ruche HKEY_LOCAL_MACHINE\SOFTWARE

Clé Software\Microsoft\WindowsNT\CurrentVersion\Winlogon Nom LegalNoticeText

Type REG_SZ Valeur Texte à afficher

5.8.8. Auditer l'utilisation des privilèges de sauvegarde et de restauration

87 Lorsque les fichiers sont sauvegardés ou restaurés, le système vérifie pour chaque fichier si

l'utilisateur qui réalise l'opération dispose des privilèges associés. En théorie, Windows NT devrait générer un événement dans le journal dans le cas où l'audit des succés d'utilisation des privilèges est activé. Ceci pourrait saturer rapidement le journal. En réalité, ces privilèges ne sont pas audités. Il est possible d'activer toutefois également cet audit, en sachant qu'un tel paramétrage, s'il est suivi d"effet, peut rapidement saturer le journal (donc :option NON RECOMMANDEE) Modifier l'entrée suivante dans la base de registre.

Ruche HKEY_LOCAL_MACHINE\SYSTEM Clé System\CurrentControlSet\Control\Lsa Nom FullPrivilegeAuditing

Type REG_DWORD Valeur 1

5.8.9. Enregistrer les erreurs de l'analyseur de performances

Lorsque l'analyseur de performances ne peut enregistrer une valeur ou que cette valeur est incorrecte, il peut générer un évènement dans le journal d'application.

Modifier l'entrée suivante dans la base de registre.

Ruche HKEY_LOCAL_MACHINE\SOFTWARE Clé Software\Microsoft\PerfMon

Nom ReportEventsToEventLog Type REG_DWORD

Valeur 1

88

5.9. Protection des Comptes

Dans le document Sécurité de Windows NT (Page 90-94)