5. SECURISER WINDOWS NT
5.8. C ONFIGURATION DE L 'A UDIT
5.8.1. Mettre en place une stratégie d'audit
Définir la stratégie d’audit ci-dessous. Cette stratégie représente un compromis entre la pertinence de l’audit et la quantité de données à stocker. Pour des besoins spécifiques et / ou des machines particulièrement exposées, on peut ajouter des événements à auditer.
Il s’agit ici de donner un ensemble minimal de paramètres à auditer. L’administrateur peut décider d’étendre l’audit à d’autres paramètres en fonction de ses besoins.
Il est par exemple possible d’auditer l’accès à certains fichiers, certaines clefs ou encore l’activité de la base des objets NT. Néanmoins, il faut limiter le nombre de ces éléments sous peine de rapidement saturer les journaux d’audit.
L’audit de l’ensemble des actions élémentaires d’accès aux objets du noyau NT ou aux fichiers lors des opérations de backup n’est pas recommandé car cela génère beaucoup d’événements et risque de saturer inutilement les journaux d’audit.
5.8.2. Régler les paramètres des journaux
Les journaux d'audit peuvent très rapidement se remplir. Un réglage permet de définir la politique d'effacement des anciens évènements. L'effacement automatique des anciens messages peut être utilisé pour masquer une activité.
Le réglage des paramètres pour les journaux d’audits s’effectue dans le Gestionnaire d’Evénements (menu « Journaux / Paramètres du journal »). Il faut régler successivement les trois journaux (système, sécurité et applications). Définir, pour chaque journal, les réglages visibles dans le schéma suivant.
85 Choisir « Ecraser les événements si nécessaire » sans quoi, après saturation du journal, plus
aucun événement ne sera audité !
Cependant, si l'on choisi l'option "Ne pas écraser….", il est nécessaire d'archiver et de nettoyer régulièrement le journal d'évènements afin de ne pas interrompre l'enregistrement des messages.
5.8.3. Limiter l'accès aux journaux d'audit
Les invités et les sessions "nulles" ont la possibilité de visualiser les journaux d'évènements.
Pour leur interdire l'accès, ajouter les trois entrées suivantes dans la base des registres (une par journal).
Ruche HKEY_LOCAL_MACHINE\SYSTEM
Clé System\CurrentControlSet\Services\EventLog\Security Nom RestrictGuestAccess
Type REG_DWORD Valeur 1
Ruche HKEY_LOCAL_MACHINE\SYSTEM
Clé System\CurrentControlSet\Services\EventLog\System Nom RestrictGuestAccess
Type REG_DWORD Valeur 1
Ruche HKEY_LOCAL_MACHINE\SYSTEM
Clé System\CurrentControlSet\Services\EventLog\Application Nom RestrictGuestAccess
Type REG_DWORD Valeur 1
5.8.4. Limiter le droit de gérer le journal d'audit et de sécurité
Un utilisateur disposant du droit "Gérer le journal d'audit et de sécurité", sans être membre du groupe Administrateurs, peut effacer le journal sécurité sans que l'évènement 517 (le Journal sécurité a été effacé) ne soit enregistré. Ce problème survient sur Windows NT 4.0 SP3.
Il est préférable de ne pas accorder le privilège "Gérer le journal d'audit et de sécurité" à des utilisateurs autres que les administrateurs.
5.8.5. Activer l'audit des objets système
86 Ruche HKEY_LOCAL_MACHINE\SYSTEM
Clé System\CurrentControlSet\Control\Lsa Nom AuditBaseObjects
Type REG_DWORD Valeur 1
Cette clé de suffit pas à générer des audits sur les objets systèmes. Il faut aussi activer l'audit système dans la Stratégie d'Audit du Gestionnaire des Utilisateurs.
En raison du grand nombre d'évènements généré par un tel paramètrage, cette option N'EST PAS RECOMMANDEE.
5.8.6. Arrêter le système quand le journal d'audit est saturé
La certification C2 impose l'arrêt d'un système lorsque le journal d'audit est saturé, ceci afin d'éviter que des activités illicites ne puissent être enregistrées. Le système pourra être redémarré mais seul l'administrateur pourra y avoir accès afin de vider le journal et repositionner la valeur de la clé associé. Lors de l'arrêt du système, elle est positionnée à 2.
Ajouter l'entrée suivante dans la base de registre.
Ruche HKEY_LOCAL_MACHINE\SYSTEM Clé System\CurrentControlSet\Control\Lsa Nom CrashOnAuditFail
Type REG_DWORD Valeur 1
Cette précaution peut nuire à la disponibilité du système si des évènements sont générés de façon à saturer le journal.
Cette option
N'EST PAS RECOMMANDEE
, l'arrêt du système se traduisant dans ce cas présent par un CRASH du système (Ecran Bleu) !!!5.8.7. Afficher une bannière d'ouverture de session
Il est possible d'afficher une bannière pour signaler explicitement que l'accès à la machine n'est autorisé qu'aux personnes habilitées. Le texte se compose d'un titre et d'un corps. Ces mentions sont plutôt du domaine juridique et ne modifient pas le niveau de sécurité technique de la machine.
Pour le titre de la bannière, ajouter l'entrée suivante dans la base de registre.
Ruche HKEY_LOCAL_MACHINE\SOFTWARE
Clé Software\Microsoft\WindowsNT\CurrentVersion\Winlogon Nom LegalNoticeCaption
Type REG_SZ Valeur Titre à afficher
Pour le texte de la bannière, ajouter l'entrée suivante dans la base de registre.
Ruche HKEY_LOCAL_MACHINE\SOFTWARE
Clé Software\Microsoft\WindowsNT\CurrentVersion\Winlogon Nom LegalNoticeText
Type REG_SZ Valeur Texte à afficher
5.8.8. Auditer l'utilisation des privilèges de sauvegarde et de restauration
87 Lorsque les fichiers sont sauvegardés ou restaurés, le système vérifie pour chaque fichier si
l'utilisateur qui réalise l'opération dispose des privilèges associés. En théorie, Windows NT devrait générer un événement dans le journal dans le cas où l'audit des succés d'utilisation des privilèges est activé. Ceci pourrait saturer rapidement le journal. En réalité, ces privilèges ne sont pas audités. Il est possible d'activer toutefois également cet audit, en sachant qu'un tel paramétrage, s'il est suivi d"effet, peut rapidement saturer le journal (donc :option NON RECOMMANDEE) Modifier l'entrée suivante dans la base de registre.
Ruche HKEY_LOCAL_MACHINE\SYSTEM Clé System\CurrentControlSet\Control\Lsa Nom FullPrivilegeAuditing
Type REG_DWORD Valeur 1
5.8.9. Enregistrer les erreurs de l'analyseur de performances
Lorsque l'analyseur de performances ne peut enregistrer une valeur ou que cette valeur est incorrecte, il peut générer un évènement dans le journal d'application.
Modifier l'entrée suivante dans la base de registre.
Ruche HKEY_LOCAL_MACHINE\SOFTWARE Clé Software\Microsoft\PerfMon
Nom ReportEventsToEventLog Type REG_DWORD
Valeur 1
88