lundi 16 décembre 2013
lundi 2 décembre 2013
dimanche 1 décembre 2013
mercredi 13 novembre 2013
boutic--1tpe.com
antivirus et pak de securitee
depanner son pc soie méme----affilog :program pour affiliation et vente::compte-1tpe.com
---------------------------------------------http://go.62656c6c6172656az2ec68616d6d656e7468.1.1tpe.net/////////////////////////////////////////////////////////////////////////////////////////////////////////////////////http://go.62656c6c6172656az2ec6a73726963686572.1.1tpe.net
lundi 30 septembre 2013
weezo//program server de partage de fichier de votre pc..
dimanche 25 août 2013
samedi 24 août 2013
samedi 10 août 2013
------------------http://go.bellarej.jsricher.1.1tpe.net--------reparer son pc soie méme-------http://go.bellarej.hammenth.1.1tpe.net------------http://pay.bellarej.hammenth.1.1tpe.net-----------http://go.bellarej.zf5.6.1tpe.net-------antivirus-pak de securité-------http://pay.bellarej.zf5.6.1tpe.net----
vendredi 28 juin 2013
Health: امراض القلب و الشرايين
Health: امراض القلب و الشرايين: امراض القلب و الشرايين مقدمــة - تعريف ضغط الدم - أسباب مرض ارتفاع ضغط الدم - أنواع مرض ارتفاع ضغط الدم - العوامل الممهده لحدوث مرض ارتفاع ...
Health: امراض المعده والاثنى عشر
Health: امراض المعده والاثنى عشر: امراض المعده أنواعها وعلاجها ان امراض المعده كثيرا ُ ممن يعانون منه لانه مرض يعتبر من الامراض الناتجه من سوء التغذيه او من خلا...
Health: أمراض الكبد ووظائفها وعلاجها
Health: أمراض الكبد ووظائفها وعلاجها: أمراض الكبد أمراض الكبد ووظائفها وعلاجها الكبد ووظائفها الكبد هي أكبر عضو في جسم الإنسان ،حيث يبلغ وزنها كيلو ونصف الكيلو .وتقع الكب...
Health: أمراض الكبد ووظائفها وعلاجها
Health: أمراض الكبد ووظائفها وعلاجها: أمراض الكبد أمراض الكبد ووظائفها وعلاجها الكبد ووظائفها الكبد هي أكبر عضو في جسم الإنسان ،حيث يبلغ وزنها كيلو ونصف الكيلو .وتقع الكب...
Health: الإسعافات الأولية
Health: الإسعافات الأولية: الإسعافات الأولية كثيرا ُ ما نتعرض فى حياتنا اليوميه الى مواقف او حوادث تحتاج منا بعض الخبرة لعلاج مثل هذه الامور وا...
dimanche 19 mai 2013
lundi 13 mai 2013
telecharger le program::::---antitrojan et antispywar::::---spybot
antivirus commercial::::----trend titanium antivirus plus
telecharger.--:::anti-porn:::::-program.
lundi 29 avril 2013
ASTUCE WINDOWS// AUTORISATION ET AUDIT
/////////////////////////////ASTUCE WINDOWS:::AUTORISATION ET AUDIT::::::::::://////////////////////// Table des matières
Vue d’ensemble 1
Leçon : Vue d’ensemble de la sécurité
dans Windows Server 2003 2
Leçon : Utilisation de modèles de sécurité
pour protéger les ordinateurs 12
Leçon : Test de la stratégie de sécurité
des ordinateurs 29
Leçon : Configuration de l’audit 35
Leçon : Gestion des journaux de sécurité 56
Atelier A : Gestion des paramètres
de sécurité 68
Module 10 :
Implémentation de
modèles d’administration
et d’une stratégie d’audit
Les informations contenues dans ce document, notamment les adresses URL et les références à des
sites Web Internet, pourront faire l’objet de modifications sans préavis. Sauf mention contraire, les
sociétés, les produits, les noms de domaine, les adresses de messagerie, les logos, les personnes,
les lieux et les événements utilisés dans les exemples sont fictifs et toute ressemblance avec des
sociétés, produits, noms de domaine, adresses de messagerie, logos, personnes, lieux et
événements existants ou ayant existé serait purement fortuite. L’utilisateur est tenu d’observer
la réglementation relative aux droits d’auteur applicables dans son pays. Sans limitation des droits
d’auteur, aucune partie de ce manuel ne peut être reproduite, stockée ou introduite dans un système
d’extraction, ou transmise à quelque fin ou par quelque moyen que ce soit (électronique,
mécanique, photocopie, enregistrement ou autre), sans la permission expresse et écrite
de Microsoft Corporation.
Les produits mentionnés dans ce document peuvent faire l’objet de brevets, de dépôts de brevets
en cours, de marques, de droits d’auteur ou d’autres droits de propriété intellectuelle et industrielle
de Microsoft. Sauf stipulation expresse contraire d’un contrat de licence écrit de Microsoft,
la fourniture de ce document n’a pas pour effet de vous concéder une licence sur ces brevets,
marques, droits d’auteur ou autres droits de propriété intellectuelle.
©2003 Microsoft Corporation. Tous droits réservés.
Microsoft, MS-DOS, Windows, Windows NT, Active Directory, IntelliMirror, MSDN,
PowerPoint, Visual Basic et Windows Media sont soit des marques de Microsoft Corporation, soit
des marques déposées de Microsoft Corporation, aux États-Unis d’Amérique et/ou dans d’autres
pays.
Les autres noms de produits et de sociétés mentionnés dans ce document sont des marques de leurs
propriétaires respectifs.
Module 10 : Implémentation de modèles d’administration et d’une stratégie d’audit iii
Notes du formateur
Ce module fournit une vue d’ensemble de la sécurité dans Microsoft®
Windows Server™ 2003. Il porte sur les modèles de sécurité et le test de la
stratégie de sécurité des ordinateurs. Vous allez également apprendre à
configurer des audits et à gérer les journaux de sécurité
À la fin de ce module, les stagiaires seront à même d’effectuer les tâches
suivantes :
! expliquer les modèles d’administration et la stratégie d’audit sur Windows
Server 2003 ;
! utiliser des modèles de sécurité pour protéger les ordinateurs ;
! tester la stratégie de sécurité des ordinateurs ;
! configurer l’audit ;
! gérer les journaux de sécurité.
Pour animer ce module, vous avez besoin du fichier Microsoft PowerPoint®
2144A_10.ppt
Pour préparer ce module, vous devez effectuer les tâches suivantes :
! lire tous les supports de cours de ce module ;
! réaliser les applications pratiques et l’atelier.
Présentation :
150 minutes
Atelier :
35 minutes
Matériel requis
Préparation
iv Module 10 : Implémentation de modèles d’administration et d’une stratégie d’audit
Comment animer ce module
Cette section contient des informations qui ont pour but de vous aider à animer
ce module.
Pages de procédures, applications pratiques et ateliers
Expliquez aux stagiaires la relation entre les pages de procédures, les
applications pratiques ainsi que les ateliers et ce cours. Un module contient
au minimum deux leçons. La plupart des leçons comprennent des pages
de procédures et une application pratique. À la fin de toutes les leçons,
le module se termine par un atelier.
Les pages de procédures permettent au formateur de montrer comment réaliser
une tâche. Les stagiaires n’effectuent pas avec le formateur les tâches de la page
de procédure. Ils suivent ces étapes pour exécuter l’application pratique prévue
à la fin de chaque leçon.
Une fois que vous avez couvert le contenu de la section et montré les
procédures de la leçon, expliquez aux stagiaires qu’une application pratique
portant sur toutes les tâches abordées est prévue à l’issue de la leçon.
À la fin de chaque module, l’atelier permet aux stagiaires de mettre en pratique
les tâches traitées et appliquées tout au long du module.
À l’aide de scénarios appropriés à la fonction professionnelle, l’atelier fournit
aux stagiaires un ensemble d’instructions dans un tableau à deux colonnes.
La colonne de gauche indique la tâche (par exemple : Créer un groupe). La
colonne de droite contient des instructions spécifiques dont les stagiaires auront
besoin pour effectuer la tâche (par exemple : Dans Gestion de l’ordinateur,
double-cliquez sur le nœud de domaine).
Chaque exercice d’atelier dispose d’une clé de réponse que les stagiaires
trouveront sur le CD-ROM du stagiaire s’ils ont besoin d’instructions étape par
étape pour terminer l’atelier. Ils peuvent également consulter les applications
pratiques et les pages de procédures du module.
Leçon : Vue d’ensemble de la sécurité dans Windows Server 2003
Cette section décrit les méthodes pédagogiques à mettre en œuvre pour cette
leçon.
Dans cette leçon, vous allez expliquer ce que sont les droits utilisateur, les
différences entre les droits et les autorisations, les droits attribués à des groupes
prédéfinis, et comment attribuer des droits utilisateur. Mettez l’accent sur les
différences entre les droits et les autorisations et préparez des exemples
supplémentaires.
Pages de procédures
Applications pratiques
Ateliers
Vue d’ensemble de la
leçon
Module 10 : Implémentation de modèles d’administration et d’une stratégie d’audit v
Leçon : Utilisation de modèles de sécurité pour protéger les
ordinateurs
Cette section décrit les méthodes pédagogiques à mettre en œuvre pour cette
leçon.
Dans cette leçon, les stagiaires apprennent à utiliser des modèles de sécurité
pour sécuriser les ordinateurs.
Soulignez que les paramètres de sécurité par défaut sur Windows Server 2003
ne s’appliquent qu’aux nouvelles installations de Windows Server 2003 dans
une partition NTFS (NTFS file system).
Vous ne pouvez pas montrer la procédure d’importation d’un modèle dans
un objet de stratégie de groupe sans installer la console GPMC si la fonction
Gestion des stratégies de groupe est installée sur l’ordinateur du formateur.
Leçon : Test de la stratégie de sécurité des ordinateurs
Cette section décrit les méthodes pédagogiques à mettre en œuvre pour cette
leçon.
Dans cette leçon, les stagiaires apprennent à tester la stratégie de sécurité
de l’ordinateur. Préparez-vous à discuter avec les stagiaires des situations dans
lesquelles l’outil Configuration et analyse de la sécurité est utilisé.
Leçon : Configuration de l’audit
Cette section décrit les méthodes pédagogiques à mettre en œuvre pour
cette leçon.
Dans cette leçon, les stagiaires découvrent l’importance de la stratégie d’audit
et apprennent à implémenter une stratégie d’audit. Mettez l’accent sur le rôle
essentiel que joue l’audit dans la sécurité d’un environnement et sur les types
d’événements devant être audités. Les stagiaires doivent savoir que
la conception de la stratégie d’audit incombe à l’ingénieur système et qu’elle est
implémentée par l’administrateur système.
Leçon : Gestion des journaux de sécurité
Cette section décrit les méthodes pédagogiques à mettre en œuvre pour cette
leçon.
Dans cette leçon, les stagiaires apprennent à gérer les journaux de sécurité.
Vous pouvez citer le guide Microsoft Security Operations comme source
d’informations complémentaires.
Vue d’ensemble de la
leçon
Description des modèles
de sécurité
Procédure d’importation
d’un modèle de sécurité
Vue d’ensemble
de la leçon
Vue d’ensemble
de la leçon
Vue d’ensemble
de la leçon
vi Module 10 : Implémentation de modèles d’administration et d’une stratégie d’audit
Atelier A : Gestion des paramètres de sécurité
Les stagiaires doivent avoir terminé toutes les applications pratiques avant
de commencer l’atelier.
Rappelez aux stagiaires qu’ils peuvent revenir aux pages de procédures
du module afin d’obtenir de l’aide. La clé de réponse correspondant à chaque
atelier est fournie sur le CD-ROM du stagiaire.
Module 10 : Implémentation de modèles d’administration et d’une stratégie d’audit 1
Vue d’ensemble
*********************DOCUMENT A L’USAGE EXCLUSIF DE L’INSTRUCTEUR********************
Ce module fournit une vue d’ensemble de la sécurité dans Microsoft®
Windows Server™ 2003. Vous allez apprendre à utiliser les modèles de sécurité
et à tester la stratégie de sécurité des ordinateurs. Vous allez également
apprendre à configurer des audits et à gérer les journaux de sécurité.
À la fin de ce module, vous serez à même d’effectuer les tâches suivantes :
! décrire les modèles d’administration et la stratégie d’audit sur Windows
Server 2003 ;
! utiliser des modèles de sécurité pour protéger les ordinateurs ;
! tester la stratégie de sécurité des ordinateurs ;
! configurer l’audit ;
! gérer les journaux de sécurité.
Introduction
Objectifs
2 Module 10 : Implémentation de modèles d’administration et d’une stratégie d’audit
Leçon : Vue d’ensemble de la sécurité dans Windows
Server 2003
*********************DOCUMENT A L’USAGE EXCLUSIF DE L’INSTRUCTEUR********************
Dans cette leçon, vous allez apprendre ce que sont les droits utilisateur, les
autorisations et les droits utilisateur attribués à des groupes prédéfinis. Vous
allez également apprendre à attribuer des droits utilisateur.
À la fin de cette leçon, vous serez à même d’effectuer les tâches suivantes :
! décrire le concept de droits de l’utilisateur ;
! faire la différence entre droits et autorisations ;
! décrire la procédure d’attribution de droits utilisateur à des groupes
prédéfinis ;
! attribuer des droits utilisateur.
Introduction
Objectifs de la leçon
Module 10 : Implémentation de modèles d’administration et d’une stratégie d’audit 3
Description des droits utilisateur
*********************DOCUMENT A L’USAGE EXCLUSIF DE L’INSTRUCTEUR********************
Lorsqu’un utilisateur ouvre une session, il reçoit un jeton d’accès qui contient
des droits. Un droit utilisateur autorise un utilisateur ayant ouvert une session
sur un ordinateur ou un réseau à effectuer certaines actions sur le système.
Si un utilisateur ne dispose pas des droits appropriés pour effectuer une action,
il ne pourra pas l’exécuter.
Les droits peuvent s’appliquer à des utilisateurs individuels et à des groupes.
Toutefois, les droits utilisateur sont mieux administrés lorsqu’ils sont attribués
à des groupes. Ainsi, un utilisateur qui ouvre une session en tant que membre
d’un groupe reçoit automatiquement les droits du groupe. Windows Server 2003
permet à un administrateur d’attribuer des droits à des utilisateurs et des
groupes.
Les droits utilisateur courants incluent :
! Ouverture d’une session locale. Permet à l’utilisateur d’ouvrir une session
sur l’ordinateur local ou dans le domaine d’un ordinateur local.
! Changement de l’heure système. Permet à l’utilisateur de régler l’heure
de l’horloge interne d’un ordinateur.
! Arrêt du système. Permet à l’utilisateur d’arrêter un ordinateur local.
! Accès à un ordinateur à partir d’un réseau. Permet à l’utilisateur d’accéder
à un ordinateur exécutant Windows Server 2003 à partir de n’importe quel
autre ordinateur sur le réseau.
Définition
À qui s’appliquent les
droits ?
Droits utilisateur
courants
4 Module 10 : Implémentation de modèles d’administration et d’une stratégie d’audit
Droits utilisateur et autorisations
*********************DOCUMENT A L’USAGE EXCLUSIF DE L’INSTRUCTEUR********************
Les administrateurs peuvent attribuer des droits utilisateur spécifiques à des
comptes de groupes ou des comptes d’utilisateurs individuels. Ces droits
autorisent les utilisateurs à effectuer des actions spécifiques, comme ouvrir une
session sur un système interactivement ou sauvegarder des fichiers et des
répertoires. Les droits utilisateur sont différents des autorisations, car ils sont
associés aux comptes d’utilisateurs alors que les autorisations sont liées aux
objets.
Les droits utilisateur déterminent les utilisateurs qui peuvent effectuer une tâche
spécifique sur un ordinateur ou dans un domaine. Il est possible d’attribuer des
droits utilisateur à des comptes d’utilisateurs individuels, mais les droits
utilisateur sont mieux administrés s’ils sont attribués à des comptes de groupes.
L’utilisateur qui ouvre une session en tant que membre d’un groupe hérite
automatiquement des droits du groupe. En attribuant des droits utilisateur à des
groupes plutôt qu’à des utilisateurs individuels, vous simplifiez l’administration
des comptes d’utilisateurs. Lorsque les utilisateurs d’un groupe ont tous besoin
des mêmes droits, vous pouvez attribuer l’ensemble de droits une seule fois
au groupe au lieu de les accorder à chaque compte d’utilisateur.
Les droits utilisateur attribués à un groupe s’appliquent à tous les membres
du groupe tant qu’ils font partie du groupe. Si un utilisateur est membre
de plusieurs groupes, ses droits sont cumulatifs, ce qui signifie qu’il dispose
de plusieurs ensembles de droits. Seuls les droits d’ouverture de session d’un
groupe peuvent entrer en conflits avec ceux d’un autre groupe. En général, les
droits d’un groupe n’entrent pas en conflit avec les droits d’un autre groupe.
Pour retirer des droits à un utilisateur, il suffit à l’administrateur de supprimer
l’utilisateur du groupe. L’utilisateur ne dispose alors plus des droits attribués
au groupe.
Introduction
Description des droits
utilisateur
Module 10 : Implémentation de modèles d’administration et d’une stratégie d’audit 5
Les droits s’appliquent à l’intégralité du système, et non à une ressource
spécifique, et affectent de façon globale le fonctionnement de l’ordinateur ou du
domaine. Tous les utilisateurs qui accèdent à des ressources réseau doivent
disposer de certains droits communs sur l’ordinateur qu’ils utilisent, comme le
droit d’ouvrir une session sur l’ordinateur ou de modifier l’heure système de
l’ordinateur. Les administrateurs peuvent attribuer des droits communs
spécifiques à des groupes ou des utilisateurs individuels. En outre, Windows
Server 2003 attribue par défaut des droits spécifiques à des groupes prédéfinis.
Les autorisations définissent le type d’accès accordé à un utilisateur
ou à un groupe sur un objet ou sur une propriété d’objet. Par exemple, vous
pouvez octroyer des autorisations de lecture et d’écriture au groupe Finances sur
le fichier Payroll.dat.
Vous pouvez accorder des autorisations sur n’importe quel objet sécurisé, tel
qu’un fichier, un objet du service d’annuaire Active Directory®, ou un objet
du registre. Vous pouvez accorder des autorisations à n’importe quel utilisateur,
groupe ou ordinateur. Il est préférable d’accorder des autorisations à des
groupes.
Vous pouvez accorder des autorisations sur les objets :
! à des groupes, des utilisateurs et des identités spéciales du domaine ;
! à des groupes et des utilisateurs du domaine et de n’importe quel domaine
approuvé ;
! à des groupes et des utilisateurs locaux de l’ordinateur sur lequel réside
l’objet.
Lorsque vous accordez des accès à des fichiers sur un ordinateur exécutant
Windows Server 2003, vous pouvez définir les utilisateurs autorisés à accéder
à des ressources spécifiques et la nature des accès en définissant les
autorisations appropriées. Les autorisations définissent le type d’accès à une
ressource, attribué à un utilisateur ou à un groupe.
Par exemple, les utilisateurs du service Ressources Humaines d’une entreprise
peuvent avoir besoin de modifier le document qui décrit le règlement
de ce service. Pour faciliter ce processus, l’administrateur doit donc accorder
l’autorisation appropriée aux membres du service des Ressources Humaines.
Pour accorder des autorisations sur des fichiers et des dossiers individuels,
Windows Server 2003 utilise le système de fichiers NTFS. Vous pouvez
également contrôler les autorisations d’accès à des dossiers et des imprimantes
réseau partagées.
Description des
autorisations
6 Module 10 : Implémentation de modèles d’administration et d’une stratégie d’audit
Droits utilisateur attribués à des groupes prédéfinis
*********************DOCUMENT A L’USAGE EXCLUSIF DE L’INSTRUCTEUR********************
Par défaut, Windows Server 2003 attribue des droits spécifiques à des groupes
prédéfinis. Les groupes prédéfinis incluent les groupes locaux, les groupes
du conteneur Builtin et les groupes du conteneur Users.
Les droits utilisateur suivants sont attribués à des groupes locaux :
! Administrateurs
Accéder à cet ordinateur à partir du réseau, Changer les quotas de mémoire
d’un processus, Permettre l’ouverture d’une session locale, Autoriser
l’ouverture de session par les services Terminal Server, Sauvegarder des
fichiers et des répertoires, Contourner la vérification de parcours, Modifier
l’heure système, Créer un fichier d’échange, Déboguer des programmes,
Forcer l’arrêt à partir d’un système distant, Augmenter la priorité
de planification, Charger et décharger des pilotes de périphériques, Gérer
le journal d’audit et de sécurité, Modifier les valeurs d’env.
de microprogrammation, Effectuer des tâches de maintenance de volume,
Optimiser un processus unique, Optimiser les performances système, Retirer
l’ordinateur de la station d’accueil, Restaurer des fichiers et des répertoires,
Arrêter le système, Prendre possession des fichiers ou d’autres objets
! Opérateurs de sauvegarde
Accéder à cet ordinateur à partir du réseau, Permettre l’ouverture d’une
session locale, Sauvegarder des fichiers et des répertoires, Contourner
la vérification de parcours, Restaurer des fichiers et des répertoires, Arrêter
le système
! Utilisateurs avec pouvoir
Accéder à cet ordinateur à partir du réseau, Permettre l’ouverture d’une
session locale, Contourner la vérification de parcours, Modifier l’heure
système, Optimiser un processus unique, Retirer l’ordinateur de la station
d’accueil, Arrêter le système
Introduction
Droits utilisateur
attribués à des groupes
locaux
Module 10 : Implémentation de modèles d’administration et d’une stratégie d’audit 7
Les membres du groupe Utilisateurs avec pouvoir ne peuvent
pas augmenter leurs privilèges et devenir administrateurs.
! Utilisateurs du Bureau à distance
Autoriser l’ouverture de session par les services Terminal Server
! Utilisateurs
Accéder à cet ordinateur à partir du réseau, Permettre l’ouverture d’une
session locale, Contourner la vérification de parcours
Les droits utilisateur suivants sont attribués aux groupes du conteneur Builtin :
! Opérateurs de compte
Permettre l’ouverture d’une session locale ; Arrêter le système
! Administrateurs
Accéder à cet ordinateur à partir du réseau, Changer les quotas de mémoire
d’un processus, Sauvegarder des fichiers et des répertoires, Contourner
la vérification de parcours, Modifier l’heure système, Créer un fichier
d’échange, Déboguer des programmes, Autoriser que l’on fasse confiance
aux comptes ordinateur et utilisateur pour la délégation, Forcer l’arrêt
à partir d’un système distant, Augmenter la priorité de planification, Charger
et décharger des pilotes de périphériques, Permettre l’ouverture d’une
session locale, Gérer le journal d’audit et de sécurité, Modifier les valeurs
d’env. de microprogrammation, Optimiser un processus unique, Optimiser
les performances système, Retirer l’ordinateur de la station d’accueil,
Restaurer des fichiers et des répertoires, Arrêter le système, Prendre
possession de fichiers ou d’autres objets
! Opérateurs de sauvegarde
Sauvegarder des fichiers et des répertoires, Permettre l’ouverture d’une
session locale, Restaurer des fichiers et des répertoires, Arrêter le système
! Accès compatible pré-Windows 2000
Accéder à cet ordinateur à partir du réseau, Contourner la vérification
de parcours
! Opérateurs d’impression
Permettre l’ouverture d’une session locale ; Arrêter le système
! Opérateurs de serveur
Sauvegarder des fichiers et des répertoires, Modifier l’heure système, Forcer
l’arrêt à partir d’un système distant, Permettre l’ouverture d’une session
locale, Restaurer des fichiers et des répertoires, Arrêter le système
Attention
Droits utilisateur
attribués au conteneur
Builtin
8 Module 10 : Implémentation de modèles d’administration et d’une stratégie d’audit
Les droits utilisateur suivants sont attribués aux groupes du conteneur Users :
! Admins du domaine
Accéder à cet ordinateur à partir du réseau, Changer les quotas de mémoire
d’un processus, Sauvegarder des fichiers et des répertoires, Contourner
la vérification de parcours, Modifier l’heure système, Créer un fichier
d’échange, Déboguer des programmes, Autoriser que l’on fasse confiance
aux comptes ordinateur et utilisateur pour la délégation, Forcer l’arrêt
à partir d’un système distant, Augmenter la priorité de planification, Charger
et décharger des pilotes de périphériques, Permettre l’ouverture d’une
session locale, Gérer le journal d’audit et de sécurité, Modifier les valeurs
d’env. de microprogrammation, Optimiser un processus unique, Optimiser
les performances système, Retirer l’ordinateur de la station d’accueil,
Restaurer des fichiers et des répertoires, Arrêter le système, Prendre
possession des fichiers ou d’autres objets
! Administrateurs de l’entreprise (apparaît uniquement dans le domaine racine
de forêt)
Accéder à cet ordinateur à partir du réseau, Changer les quotas de mémoire
d’un processus, Sauvegarder des fichiers et des répertoires, Contourner
la vérification de parcours, Modifier l’heure système, Créer un fichier
d’échange, Déboguer des programmes, Autoriser que l’on fasse confiance
aux comptes ordinateur et utilisateur pour la délégation, Forcer l’arrêt
à partir d’un système distant, Augmenter la priorité de planification, Charger
et décharger des pilotes de périphériques, Permettre l’ouverture d’une
session locale, Gérer le journal d’audit et de sécurité, Modifier les valeurs
d’env. de microprogrammation, Optimiser un processus unique, Optimiser
les performances système, Retirer l’ordinateur de la station d’accueil,
Restaurer des fichiers et des répertoires, Arrêter le système, Prendre
possession des fichiers ou d’autres objets
Pour plus d’informations sur les droits utilisateur et la mise à niveau des
systèmes d’exploitation, reportez-vous à l’article 323042, « Droits utilisateur
nécessaires à la mise à niveau de Windows 2000 vers Windows Server 2003 »,
dans la Base de connaissances Microsoft à l’adresse
http://support.microsoft.com/?kbid=323042.
Pour plus d’informations sur les droits utilisateur et les comptes de services,
reportez-vous à l’article 325349, « COMMENT FAIRE : Accorder aux
utilisateurs des droits de gestion des services dans Windows Server 2003 »,
dans la Base de connaissances Microsoft à l’adresse
http://support.microsoft.com/?kbid=325349.
Droits utilisateur
attribués au conteneur
Users
Lectures
complémentaires
Module 10 : Implémentation de modèles d’administration et d’une stratégie d’audit 9
Procédure d’attribution des droits utilisateur
*********************DOCUMENT A L’USAGE EXCLUSIF DE L’INSTRUCTEUR********************
En général, les administrateurs ajoutent des utilisateurs ou des groupes à des
groupes prédéfinis disposant déjà de droits. Il peut arriver qu’un groupe
prédéfini accorde trop ou trop peu de droits à un utilisateur ; dans ce cas, vous
devez attribuer des droits manuellement.
Pour attribuer des droits utilisateur :
1. Cliquez sur Démarrer, sur Exécuter, tapez mmc et appuyez sur ENTRÉE.
2. Cliquez Console.
3. Dans le menu Fichier, cliquez sur Ajouter/Supprimer un composant
logiciel enfichable.
4. Dans la boîte de dialogue Ajouter/Supprimer un composant logiciel
enfichable, cliquez sur Ajouter.
5. Dans la boîte de dialogue Ajout d’un composant logiciel enfichable
autonome, double-cliquez sur Éditeur d’objets de stratégie de groupe.
6. Cliquez sur Terminer pour fermer l’Assistant.
7. Cliquez sur Fermer pour fermer la boîte de dialogue Ajout d’un
composant logiciel enfichable autonome.
8. Cliquez sur OK pour fermer la boîte de dialogue Ajouter/Supprimer
un composant logiciel enfichable.
9. Développez Stratégie Ordinateur local, Configuration ordinateur,
Paramètres Windows, Paramètres de sécurité, puis Stratégies locales.
10. Cliquez sur Attribution des droits utilisateur.
11. Ajoutez ou supprimez un groupe pour un droit utilisateur, selon les besoins.
Introduction
Procédure
10 Module 10 : Implémentation de modèles d’administration et d’une stratégie d’audit
Application pratique : Attribution de droits utilisateur
*********************DOCUMENT A L’USAGE EXCLUSIF DE L’INSTRUCTEUR********************
Dans cette application pratique, vous effectuerez les tâches suivantes :
! retirer le droit d’ouverture de session locale du groupe Utilisateurs et vérifier
que le droit utilisateur a été supprimé ;
! attribuer au groupe Utilisateurs le droit d’ouvrir une session locale et vérifier
si le droit utilisateur a été attribué.
Avant de commencer cette application pratique :
! Connectez-vous au domaine en utilisant le compte NomOrdinateurAdmin.
! Ouvrez CustomMMC.
Cette application pratique porte sur les concepts évoqués dans cette
leçon. Elle risque, en conséquence, de ne pas être conforme aux
recommandations de sécurité énoncées par Microsoft. Par exemple, cet exercice
n’est pas conforme à la recommandation selon laquelle les utilisateurs ouvrent
une session avec un compte d’utilisateur de domaine et utilisent la commande
Exécuter en tant que lors des tâches d’administration.
! Passez en revue les procédures de cette leçon qui décrivent la façon
d’effectuer cette tâche.
Les ingénieurs système veulent tester les droits utilisateur en empêchant les
utilisateurs d’ouvrir une session locale sur votre ordinateur. Une fois le test
effectué, vous allez attribuer aux utilisateurs le droit d’ouvrir une session locale.
Objectif
Instructions
Remarque
Scénario
Module 10 : Implémentation de modèles d’administration et d’une stratégie d’audit 11
! Supprimer le droit d’ouvrir une session locale au groupe Utilisateurs
1. Supprimez le groupe Utilisateurs de la stratégie d’ordinateur local suivante :
Configuration ordinateur/Paramètres Windows/Paramètres
de sécurité/Stratégies locales/Attribution des droits utilisateur/Permettre
l’ouverture d’une session locale
2. Fermez tous les programmes et fermez la session.
! Vérifier que le droit a été supprimé
• Ouvrez une session sous le nom NomOrdinateurUser
Vous ne devriez pas pouvoir ouvrir une session.
! Attribuer le droit d’ouvrir une session locale au groupe Utilisateurs
1. Ouvrez une session sous le nom NomOrdinateurAdmin.
2. Ajoutez le groupe Utilisateurs à la stratégie d’ordinateur local suivante :
Configuration ordinateur/Paramètres Windows/Paramètres de
sécurité/Stratégies locales/Attribution des droits utilisateur/Permettre
l’ouverture d’une session locale
3. Fermez tous les programmes et fermez la session.
! Vérifier que le droit a été attribué
• Ouvrez une session sous le nom NomOrdinateurUser
Vous devriez pouvoir ouvrir une session.
Application pratique
12 Module 10 : Implémentation de modèles d’administration et d’une stratégie d’audit
Leçon : Utilisation de modèles de sécurité pour protéger
les ordinateurs
*********************DOCUMENT A L’USAGE EXCLUSIF DE L’INSTRUCTEUR********************
Vous pouvez créer des modèles de sécurité pour créer une stratégie de sécurité
et la modifier pour qu’elle réponde aux besoins de sécurité de votre société.
Vous pouvez implémenter des stratégies de sécurité de plusieurs manières.
La méthode que vous allez utiliser dépend de la taille de votre entreprise
et de ses besoins en matière de sécurité. Les petites entreprises, ou celles qui
n’utilisent pas Active Directory, peuvent configurer la sécurité manuellement
sur une base individuelle. S’il s’agit d’une grande entreprise ou d’une entreprise
qui requiert un niveau élevé de sécurité, utilisez des objets de stratégie
de groupe pour déployer la stratégie de sécurité.
À la fin de cette leçon, vous serez à même d’effectuer les tâches suivantes :
! décrire une stratégie de sécurité ;
! expliquer les modèles de sécurité ;
! expliquer les paramètres des modèles de sécurité ;
! créer un modèle de sécurité personnalisé ;
! importer un modèle de sécurité.
Introduction
Objectifs de la leçon
Module 10 : Implémentation de modèles d’administration et d’une stratégie d’audit 13
Qu’est-ce qu’une stratégie de sécurité ?
*********************DOCUMENT A L’USAGE EXCLUSIF DE L’INSTRUCTEUR********************
Une stratégie de sécurité est une combinaison de paramètres de sécurité
affectant la sécurité d’un ordinateur. Vous pouvez utiliser une stratégie
de sécurité pour établir des stratégies de comptes sur votre ordinateur local
et dans Active Directory.
Vous pouvez utiliser une stratégie de sécurité sur un ordinateur local afin
de modifier directement des stratégies de comptes et les stratégies locales, les
stratégies de clé publique et les stratégies de sécurité du protocole Internet
(IPSec, Internet Protocol Security) de votre ordinateur local.
Avec une stratégie de sécurité locale, vous pouvez contrôler les éléments
suivants :
! les personnes qui accèdent à votre ordinateur ;
! les ressources que les utilisateurs sont autorisés à utiliser sur votre
ordinateur ;
! l’enregistrement des actions d’un utilisateur ou d’un groupe dans le journal
des événements.
Si le réseau n’utilise pas Active Directory, vous pouvez configurer la stratégie
de sécurité à l’aide d’une stratégie de sécurité locale dans le menu Outils
d’administration des ordinateurs exécutant Windows Server 2003.
Les stratégies de sécurité dans Active Directory ont les mêmes paramètres que
celles des ordinateurs locaux. Toutefois, les administrateurs de réseaux qui
reposent sur Active Directory peuvent économiser un temps considérable
en utilisant une stratégie de groupe pour déployer la stratégie de sécurité. Vous
pouvez éditer ou importer des paramètres de sécurité dans un objet de stratégie
de groupe pour n’importe quel site, domaine ou unité d’organisation ; ces
paramètres de sécurité sont automatiquement déployés sur les ordinateurs à leur
démarrage. Lorsque vous éditez un objet de stratégie de groupe, développez
Configuration ordinateur ou Configuration utilisateur et Paramètres
Windows pour rechercher les paramètres de stratégie de sécurité.
Introduction
Stratégie de sécurité sur
un ordinateur local
Stratégies de sécurité
dans Active Directory
14 Module 10 : Implémentation de modèles d’administration et d’une stratégie d’audit
Pour plus d’informations sur les droits utilisateur du domaine par défaut,
reportez-vous à l’article 324800, « COMMENT FAIRE : Rétablir les droits
utilisateur dans la stratégie de groupe de domaine par défaut dans Windows
Server 2003 », dans la Base de connaissances Microsoft à l’adresse
http://support.microsoft.com/?kbid=324800.
Lectures
complémentaires
Module 10 : Implémentation de modèles d’administration et d’une stratégie d’audit 15
Description des modèles de sécurité
*********************DOCUMENT A L’USAGE EXCLUSIF DE L’INSTRUCTEUR********************
Un modèle de sécurité est un ensemble de paramètres de sécurité configurés.
Windows Server 2003 dispose de modèles de sécurité prédéfinis contenant les
paramètres de sécurité adaptés à différentes situations.
Vous pouvez utiliser les modèles de sécurité prédéfinis afin de créer des
stratégies de sécurité spécifiques répondant à divers besoins de l’entreprise.
Pour personnaliser les modèles, utilisez le composant enfichable Modèles
de sécurité. Une fois que vous avez personnalisé les modèles de sécurité
prédéfinis, vous pouvez les utiliser pour configurer la sécurité sur un seul
ordinateur ou des milliers d’ordinateurs.
Vous pouvez configurer des ordinateurs individuels à l’aide du composant
enfichable Configuration et analyse de la sécurité ou de l’outil de ligne
de commandes secedit, ou en important le modèle dans la stratégie de sécurité
locale. Vous pouvez configurer plusieurs ordinateurs en important un modèle
dans Paramètres de sécurité qui constitue une extension de Stratégie de groupe.
Vous pouvez également utiliser un modèle de sécurité comme base pour
la recherche de failles de sécurité potentielles ou de violations de la stratégie
dans un fichier en utilisant le composant enfichable Configuration et analyse
de la sécurité. Par défaut, les modèles de sécurité prédéfinis sont stockés dans
racine_système\Security\Templates.
Définition
Procédure d’application
des modèles de sécurité
16 Module 10 : Implémentation de modèles d’administration et d’une stratégie d’audit
Windows Server 2003 dispose des modèles prédéfinis suivants :
! Sécurité par défaut (Setup security.inf)
Le modèle Setup security.inf est créé lors de l’installation du système
d’exploitation de chaque ordinateur et représente les paramètres de sécurité
par défaut appliqués lors de l’installation, y compris les autorisations
de fichiers pour la racine de l’unité système. Il peut varier d’un ordinateur
à l’autre en fonction du type d’installation (nouvelle installation ou une mise
à niveau). Vous pouvez utiliser ce modèle sur les serveurs et les ordinateurs
clients, mais pas sur les contrôleurs de domaine. Vous pouvez appliquer des
parties de ce modèle pour la restauration à la suite d’un sinistre.
Les paramètres de sécurité par défaut ne s’appliquent qu’aux nouvelles
installations de Windows Server 2003 dans une partition NTFS. Lorsque les
ordinateurs sont mis à niveau à partir de Microsoft Windows NT®
version 4.0, la sécurité n’est pas modifiée. De même, lorsque vous installez
Windows Server 2003 sur un système de fichiers FAT (File Allocation
Table), la sécurité n’est pas appliquée au système de fichiers.
! Sécurité par défaut du contrôleur de domaine (DC security.inf)
Le modèle DC security.inf est créé lorsqu’un serveur devient un contrôleur
de domaine. Il reflète les paramètres de sécurité par défaut sur les fichiers,
les clés de registre et les services système. Le fait de le réappliquer restaure
la valeur par défaut de ces paramètres, mais peut remplacer les autorisations
sur les nouveaux fichiers, les services système et les clés de registre créés
par d’autres applications. Vous pouvez l’appliquer en utilisant le composant
logiciel enfichable Configuration et analyse de la sécurité ou l’outil de ligne
de commandes secedit.
! Compatible (Compatws.inf)
Les autorisations par défaut des stations de travail et serveurs sont
principalement accordées à trois groupes locaux : Administrateurs,
Utilisateurs avec pouvoir et Utilisateurs. Ce sont les administrateurs qui ont
le plus de privilèges et les utilisateurs qui en ont le moins.
Les membres du groupe Utilisateurs peuvent exécuter des applications
faisant partie du programme Windows Logo Program for Software.
Cependant, ils ne pourront peut-être pas exécuter les applications ne
correspondant pas aux exigences du programme. Si d’autres applications
doivent être prises en charge, le modèle Compatws.inf modifie les
autorisations de fichiers et de registres accordées par défaut au groupe
Utilisateurs. Les nouvelles autorisations sont adaptées aux exigences des
applications ne faisant pas partie du programme Windows Logo Program
for Software.
! Sécurisé (Secure*.inf)
Les modèles Secure définissent les paramètres de sécurité évolués qui
affectent le moins la compatibilité des applications. Par exemple, les
modèles Secure définissent des paramètres de mot de passe, de verrouillage
et d’audits évolués.
Modèles prédéfinis
Module 10 : Implémentation de modèles d’administration et d’une stratégie d’audit 17
! Hautement sécurisé (hisec*.inf)
Les modèles hisec sont des sur-ensembles des modèles Secure. Ils imposent
encore plus de restrictions sur les niveaux de cryptage et de signature requis
pour l’authentification et pour les données qui transitent sur des canaux
sécurisés et entre des clients et des serveurs SMB (Server Message Block).
! Sécurité racine système (Rootsec.inf)
Par défaut, Rootsec.inf définit les autorisations sur la racine de l’unité
système. Vous pouvez utiliser ce modèle pour réappliquer les autorisations
du répertoire racine si elles sont modifiées accidentellement. Vous pouvez
également modifier le modèle pour appliquer les mêmes autorisations racine
à d’autres volumes. Comme indiqué, le modèle ne remplace pas les
autorisations explicites définies sur les objets enfants. Il propage
uniquement les autorisations héritées par les objets enfants.
Pour plus d’informations sur l’application de stratégies de sécurité, reportezvous
à l’article 325351, « COMMENT FAIRE : Appliquer des stratégies locales
à tous les utilisateurs à l’exception des administrateurs sous Windows
Server 2003 d’un groupe de travail », dans la Base de connaissances Microsoft
à l’adresse http://support.microsoft.com/?kbid=325351.
Pour plus d’informations sur secedit, reportez-vous à l’article « Secedit »
à l’adresse http://www.microsoft.com/technet/treeview/default.asp?url=/
technet/prodtechnol/windowsserver2003/proddocs/datacenter/
secedit_cmds.asp?frame=true (en anglais).
Lectures
complémentaires
18 Module 10 : Implémentation de modèles d’administration et d’une stratégie d’audit
Description des paramètres de modèles de sécurité
*********************DOCUMENT A L’USAGE EXCLUSIF DE L’INSTRUCTEUR********************
Les modèles de sécurité contiennent des paramètres pour tous les domaines
de sécurité. Vous pouvez appliquer des modèles à des ordinateurs individuels
ou les déployer dans des groupes d’ordinateurs en utilisant une stratégie
de groupe. Lorsque vous appliquez un modèle à des paramètres de sécurité
existants, les paramètres du modèle sont fusionnés avec les paramètres
de sécurité de l’ordinateur.
Vous pouvez configurer et analyser les paramètres de sécurité des ordinateurs
en utilisant l’extension Stratégie de groupe Paramètres de sécurité
ou Configuration et analyse de la sécurité.
La liste suivante décrit chacun des paramètres de modèles de sécurité :
! Stratégies de comptes
Vous pouvez utiliser les paramètres de stratégie de compte pour configurer
des stratégies de mot de passe, des stratégies de verrouillage de comptes
et des stratégies de protocole Kerberos version 5 (V5) pour le domaine.
La stratégie de compte d’un domaine définit l’historique des mots de passe,
la durée de vie des tickets Kerberos V5, les verrouillages de comptes, etc.
! Stratégies locales
Les paramètres de stratégie locale sont, par définition, spécifiques aux
ordinateurs. Les stratégies locales incluent les stratégies d’audit, l’attribution
de droits utilisateur et d’autorisations, ainsi que diverses options de sécurité
qui peuvent être définies localement.
Il est important de ne pas confondre les paramètres de stratégie locale
et la définition de stratégies locales. Comme pour tous les paramètres de
sécurité, vous pouvez les définir en utilisant Stratégie de sécurité locale
et Stratégie de groupe.
! Journal des événements
Les paramètres de journal des événements permettent de définir les
paramètres de taille, d’accès et de rétention des journaux d’applications, des
journaux système et des journaux de sécurité.
Introduction
Types de paramètres
de modèle de sécurité
Module 10 : Implémentation de modèles d’administration et d’une stratégie d’audit 19
! Groupes restreints
Les paramètres de groupe restreint permettent d’administrer l’appartenance
des groupes prédéfinis qui disposent de certaines capacités prédéfinies, tels
que les groupes Administrateurs et Utilisateurs avec pouvoir, en plus des
groupes de domaine, tels que Admins du domaine. Vous pouvez ajouter des
groupes au groupe restreint, avec leurs informations d’appartenance. Ainsi,
vous pouvez suivre et administrer ces groupes dans le cadre de la stratégie
de sécurité.
Vous pouvez également utiliser les paramètres de groupe restreint pour
suivre et contrôler l’appartenance inverse de chaque groupe restreint.
L’appartenance inverse figure dans la colonne Membres de qui contient les
autres groupes auxquels le groupe restreint doit appartenir.
! Services système
Les paramètres de services système permettent de définir les paramètres
de sécurité et de démarrage des services exécutés sur un ordinateur. Les
services système incluent des fonctionnalités importantes telles que les
services réseau, les services de fichiers et d’impressions, les services
de téléphonie et de télécopie et les services Internet ou intranet. Les
paramètres généraux incluent le mode de lancement du service
(automatique, manuel ou désactivé) et la sécurité sur le service.
! Registre
Les paramètres de registre permettent de configurer la sécurité sur les clés
de registre.
! Système de fichiers
Les paramètres de système de fichiers permettent de configurer la sécurité
sur des chemins d’accès à des fichiers.
! Stratégies de clé publique
Les paramètres de stratégie de clé publique permettent de configurer des
agents de récupération de données cryptées, des racines de domaine, les
autorités de certification autorisées, etc.
Les stratégies de clé publique sont les seuls paramètres
disponibles dans Configuration utilisateur.
Remarque
20 Module 10 : Implémentation de modèles d’administration et d’une stratégie d’audit
! Stratégies de sécurité IP sur Active Directory
Les paramètres de stratégie de sécurité IP permettent de configurer IPSec.
Seules les stratégies de comptes, les stratégies locales, les stratégies
de clé publique et les stratégies de sécurité IP sur les zones de l’ordinateur local
sont disponibles lorsque vous utilisez Stratégie de sécurité locale.
Vous pouvez en outre définir des paramètres de mot de passe, des paramètres
de verrouillage de compte et des paramètres Kerberos au niveau du domaine
ou de l’unité d’organisation. Cependant, si vous configurez la stratégie au niveau
de l’unité d’organisation, les paramètres affectent les bases de données
du Gestionnaire de comptes de sécurité (SAM, Security Accounts Manager) des
objets Ordinateur de l’unité d’organisation, mais pas les stratégies de mot
de passe de domaine. Windows Server 2003 ne traite pas les modifications que
vous apportez à ces trois paramètres dans un objet de stratégie de groupe
au niveau du site.
Pour plus d’informations, reportez-vous à l’article TechNet « Best practices for
Security Templates » (en anglais) à l’adresse http://www.microsoft.com/technet/
treeview/default.asp?url=/technet/prodtechnol/windowsserver2003/proddocs/
datacenter/sag_SCEbp.asp.
Important
Lectures
complémentaires
Module 10 : Implémentation de modèles d’administration et d’une stratégie d’audit 21
Procédure de création d’un modèle de sécurité personnalisé
*********************DOCUMENT A L’USAGE EXCLUSIF DE L’INSTRUCTEUR********************
Si les modèles prédéfinis ne répondent pas à vos besoins de sécurité, vous
devez créer des modèles personnalisés.
Pour personnaliser un modèle de sécurité prédéfini :
1. Dans une console Microsoft Management Console (MMC), ajoutez
le composant logiciel enfichable Modèles de sécurité.
2. Dans l’arborescence de la console, développez Modèles de sécurité, puis
double-cliquez sur le chemin d’accès au dossier par défaut
(racine_système\security\templates).
3. Dans le volet d’informations, cliquez avec le bouton droit sur le modèle
prédéfini à modifier, puis cliquez sur Enregistrer sous.
4. Dans la boîte de dialogue Enregistrer sous, entrez un nouveau nom
de fichier de modèle de sécurité, puis cliquez sur Enregistrer.
5. Dans l’arborescence de la console, double-cliquez sur le nouveau modèle
de sécurité pour afficher les stratégies de sécurité, puis naviguez jusqu’à ce
que l’attribut de sécurité à modifier apparaisse dans le volet d’informations.
6. Dans le volet d’informations, cliquez avec le bouton droit sur l’attribut
de sécurité, puis cliquez sur Propriétés.
7. Dans la boîte de dialogue Propriétés, activez la case à cocher Définir
ce paramètre de stratégie dans le modèle, effectuez les modifications
appropriées, puis cliquez sur OK.
8. Dans l’arborescence de la console, cliquez avec le bouton droit sur
le nouveau modèle de sécurité, puis cliquez sur Enregistrer.
Introduction
Procédure de
personnalisation d’un
modèle prédéfini
22 Module 10 : Implémentation de modèles d’administration et d’une stratégie d’audit
Pour créer un modèle de sécurité :
1. Dans une console MMC, ajoutez le composant logiciel enfichable Modèles
de sécurité.
2. Dans l’arborescence de la console, développez Modèles de sécurité, cliquez
avec le bouton droit sur le chemin d’accès au dossier par défaut
(racine_système\security\templates), puis cliquez sur Nouveau modèle.
3. Dans la zone Nom du modèle de la boîte de dialogue
racine_système\security\templates, entrez le nom et la description
du modèle, puis cliquez sur OK.
4. Dans l’arborescence de la console, double-cliquez sur le nouveau modèle
de sécurité pour afficher les stratégies de sécurité, puis naviguez jusqu’à ce
que l’attribut de sécurité à modifier apparaisse dans le volet d’informations.
5. Dans le volet d’informations, cliquez avec le bouton droit sur l’attribut
de sécurité, puis cliquez sur Propriétés.
6. Dans la boîte de dialogue Propriétés, activez la case à cocher Définir
ce paramètre de stratégie dans le modèle, effectuez les modifications
appropriées, puis cliquez sur OK.
7. Dans l’arborescence de la console, cliquez avec le bouton droit sur
le nouveau modèle de sécurité, puis cliquez sur Enregistrer.
Procédure de création
d’un modèle de sécurité
Module 10 : Implémentation de modèles d’administration et d’une stratégie d’audit 23
Procédure d’importation d’un modèle de sécurité
*********************DOCUMENT A L’USAGE EXCLUSIF DE L’INSTRUCTEUR********************
Lorsque vous importez un modèle de sécurité sur un ordinateur local, vous
pouvez appliquer les paramètres du modèle à l’ordinateur local. Lorsque vous
importez un modèle de sécurité dans un objet de stratégie de groupe, les
paramètres du modèle sont appliqués aux ordinateurs qui se trouvent dans les
conteneurs auxquels l’objet de stratégie de groupe est lié.
Pour importer un modèle de sécurité sur un ordinateur local :
1. Ouvrez Configuration et analyse de la sécurité.
2. Dans l’arborescence de la console, cliquez avec le bouton droit sur
Configuration et analyse de la sécurité, puis cliquez sur Importer
un modèle.
3. (Facultatif) Pour supprimer tous les modèles existants dans la base
de données, activez la case à cocher Effacer cette base de données avant
d’importer.
4. Dans la boîte de dialogue Modèle d’importation, cliquez sur un fichier
de modèle, puis sur Ouvrir.
5. Répétez cette procédure pour chaque modèle à fusionner dans la base
de données.
Introduction
Procédure d’importation
d’un modèle sur un
ordinateur local
24 Module 10 : Implémentation de modèles d’administration et d’une stratégie d’audit
Pour importer un modèle de sécurité dans un objet de stratégie de groupe
lorsque la console Gestion des stratégies de groupe n’est pas installée :
1. Ouvrez Utilisateurs et ordinateurs Active Directory ou Sites et services
Active Directory dans le menu Outils d’administration.
2. Éditez l’objet de stratégie de groupe approprié.
3. Développez Configuration ordinateur, puis Paramètres Windows.
4. Cliquez avec le bouton droit sur Paramètres de sécurité, puis cliquez sur
Importer une stratégie.
5. Cliquez sur un modèle, puis sur Ouvrir.
Les paramètres du modèle sont appliqués à l’objet de stratégie de groupe
et lors du redémarrage de l’ordinateur.
Pour importer un modèle de sécurité dans un objet de stratégie de groupe
lorsque la console Gestion des stratégies de groupe est installée :
1. Dans Gestion des stratégies de groupe, éditez l’objet de stratégie de groupe
approprié.
2. Développez Configuration ordinateur, puis Paramètres Windows.
3. Cliquez avec le bouton droit sur Paramètres de sécurité, puis cliquez sur
Importer une stratégie.
4. Cliquez sur un modèle, puis sur Ouvrir.
Les paramètres du modèle sont appliqués à l’objet de stratégie de groupe
et lors du redémarrage de l’ordinateur.
Procédure d’importation
d’un modèle dans
un objet de stratégie
de groupe, sans la
console Gestion des
stratégies de groupe
Procédure d’importation
d’un modèle dans un
objet de stratégie avec
la console Gestion des
stratégies de groupe
Module 10 : Implémentation de modèles d’administration et d’une stratégie d’audit 25
Application pratique : Utilisation de modèles de sécurité pour
protéger les ordinateurs
*********************DOCUMENT A L’USAGE EXCLUSIF DE L’INSTRUCTEUR********************
Dans cette application pratique, vous effectuerez les tâches suivantes :
! créer un modèle de sécurité ;
! importer un modèle de sécurité vers un objet de stratégie de groupe.
Avant de commencer cette application pratique :
! Ouvrez une session sur le domaine en utilisant le compte
NomOrdinateurUser.
! Ouvrez CustomMMC à l’aide de la commande Exécuter en tant que.
Utilisez le compte d’utilisateur Nwtraders\NomOrdinateurAdmin
(Exemple : LondonAdmin).
! Ouvrez une invite de commandes avec la commande Exécuter en tant que.
Dans le menu Démarrer, cliquez sur Tous les programmes, puis
Accessoires et cliquez sur Invite de commandes et tapez
runas /user:nwtraders\NomOrdinateurAdmin cmd, puis cliquez sur OK.
Lorsque vous êtes invité à entrer le mot de passe, tapez P@ssw0rd
et appuyez sur Entrée.
! Passez en revue les procédures de cette leçon qui décrivent la façon
d’effectuer cette tâche.
! Vérifier l’appartenance au groupe local Utilisateurs avec pouvoir
1. Pour vérifier que NWTraders\G IT Admins n’est pas membre du groupe
Utilisateurs avec pouvoir, tapez net localgroup "utilisateurs avec
pouvoir" à l’invite de commandes.
2. Aucun membre ne doit figurer sous Membres.
Objectif
Instructions
Application pratique :
Création d’un modèle
personnalisé sur un
ordinateur local
26 Module 10 : Implémentation de modèles d’administration et d’une stratégie d’audit
3. Dans une installation par défaut du système d’exploitation, le groupe
Utilisateurs avec pouvoir ne doit pas contenir de membres.
4. Laissez l’invite de commandes ouverte.
! Créer le modèle de sécurité NomOrdinateur
1. Dans CustomMMC, ajoutez le composant logiciel enfichable Modèles
de sécurité.
2. Dans l’arborescence de la console Modèles de sécurité, cliquez avec
le bouton droit sur C:\WINDOWS\security\templates, puis cliquez sur
Nouveau modèle.
3. Dans la zone Nom du modèle de la boîte de dialogue
C:\WINDOWS\security\templates, entrez NomOrdinateur, puis cliquez
sur OK.
! Éditer le modèle de sécurité personnalisé NomOrdinateur
1. Dans l’arborescence de la console Modèles de sécurité, développez
NomOrdinateur, puis cliquez sur Groupes restreints.
2. Cliquez avec le bouton droit sur Groupes restreints, puis cliquez sur
Ajouter un groupe.
3. Dans la boîte de dialogue Ajouter un groupe, entrez Utilisateurs avec
pouvoir, puis cliquez sur OK.
4. Dans la boîte de dialogue Utilisateurs avec pouvoir Propriétés, dans
Membres de ce groupe, cliquez sur Ajouter des membres.
5. Dans la boîte de dialogue Ajouter un membre, tapez NWTRADERS\G IT
Admins, puis cliquez sur OK.
6. Dans la boîte de dialogue Utilisateurs avec pouvoir Propriétés,
cliquez sur OK.
7. Dans l’arborescence de la console, cliquez avec le bouton droit sur
NomOrdinateur, puis cliquez sur Enregistrer.
! Importer et appliquer le modèle de sécurité
personnalisé NomOrdinateur
1. Dans CustomMMC, ajoutez le composant logiciel enfichable Configuration
et analyse de la sécurité.
2. Cliquez avec le bouton droit sur Configuration et analyse de la sécurité,
puis cliquez sur Ouvrir une base de données.
3. Dans la zone Nom de fichier, entrez NomOrdinateur et cliquez sur Ouvrir.
4. Dans la boîte de dialogue Modèle d’importation, cliquez sur
NomOrdinateur.inf, puis cliquez sur Ouvrir.
5. Cliquez avec le bouton droit sur Configuration et analyse de la sécurité,
puis cliquez sur Configurer l’ordinateur maintenant.
6. Dans le message, cliquez sur OK.
7. Cliquez avec le bouton droit sur Configuration et analyse de la sécurité,
puis cliquez sur Voir le fichier journal.
Module 10 : Implémentation de modèles d’administration et d’une stratégie d’audit 27
8. Dans le volet d’informations de Configuration et analyse de la sécurité,
vérifiez que le groupe NWTRADERS\G IT Admins a été ajouté au groupe
Utilisateurs avec pouvoir en recherchant l’entrée suivante :
+
! Vérifier l’appartenance au groupe local Utilisateurs avec pouvoir
1. Pour vérifier que NWTraders\G IT Admins est membre du groupe
Utilisateurs avec pouvoir, tapez net localgroup "utilisateurs avec
pouvoir" à l’invite de commandes.
2. NWTraders\G IT Admins doit figurer sous Membres.
3. Laissez l’invite de commandes ouverte.
! Supprimer le modèle de sécurité personnalisé importé
1. A l’invite de commandes, tapez net localgroup "utilisateurs avec
pouvoir" /delete "g it admins"
2. Laissez l’invite de commandes ouverte.
! Vérifier l’appartenance au groupe local Utilisateurs avec pouvoir
1. Pour vérifier que NWTraders\G IT Admins n’est pas membre du groupe
Utilisateurs avec pouvoir, tapez net localgroup "utilisateurs avec
pouvoir" à l’invite de commandes.
2. Aucun membre ne doit figurer sous Membres.
3. Laissez l’invite de commandes ouverte.
! Importer un modèle de sécurité dans un objet de stratégie de groupe
1. Dans Gestion des stratégies de groupe, créez un objet de stratégie de groupe
appelé NomOrdinateur Utilisateurs restreints.
2. Liez l’objet de stratégie de groupe NomOrdinateur Utilisateurs restreints
à l’unité d’organisation Locations/NomOrdinateur/Computers.
3. Éditez l’objet de stratégie de groupe NomOrdinateur Utilisateurs restreints.
4. Importez la stratégie de sécurité personnalisée NomOrdinateur.inf.
! Déplacer votre compte d’ordinateur NomOrdinateur
1. Recherchez votre compte d’ordinateur NomOrdinateur dans le domaine
nwtraders.msft.
2. Déplacez votre compte d’ordinateur NomOrdinateur vers l’unité
d’organisation Locations/NomOrdinateur/Computers.
3. À l’invite de commandes, tapez gpupdate /force
4. Si vous êtes invité à fermer la session, tapez N et appuyez sur ENTRÉE.
Application pratique :
Importation d’un modèle
personnalisé dans
un objet de stratégie
de groupe
28 Module 10 : Implémentation de modèles d’administration et d’une stratégie d’audit
! Vérifier l’appartenance au groupe local Utilisateurs avec pouvoir
1. Pour vérifier que NWTraders\G IT Admins est membre du groupe
Utilisateurs avec pouvoir, tapez net localgroup "utilisateurs avec
pouvoir" à l’invite de commandes.
2. NWTraders\G IT Admins doit figurer sous Membres.
3. Fermez l’invite de commandes.
Module 10 : Implémentation de modèles d’administration et d’une stratégie d’audit 29
Leçon : Test de la stratégie de sécurité des ordinateurs
*********************DOCUMENT A L’USAGE EXCLUSIF DE L’INSTRUCTEUR********************
Avant de déployer un modèle de sécurité sur des groupes d’ordinateurs étendus,
il est important d’analyser les résultats de l’application d’une configuration afin
de vérifier qu’elle n’a eu aucun effet indésirable sur les applications,
la connectivité ou la sécurité. Une analyse approfondie vous aide également
à identifier les problèmes de sécurité et les écarts par rapport aux configurations
standard. Vous pouvez utiliser le composant logiciel enfichable Configuration
et analyse de la sécurité pour créer et passer en revue les scénarios possibles
et ajuster une configuration.
À la fin de cette leçon, vous serez à même d’effectuer les tâches suivantes :
! décrire l’outil Configuration et analyse de la sécurité ;
! tester la sécurité de l’ordinateur à l’aide de l’outil Configuration et analyse
de la sécurité.
Introduction
Objectifs de la leçon
30 Module 10 : Implémentation de modèles d’administration et d’une stratégie d’audit
Description de l’outil Configuration et analyse de la sécurité
*********************DOCUMENT A L’USAGE EXCLUSIF DE L’INSTRUCTEUR********************
Pour analyser la sécurité d’un ordinateur, l’outil le plus couramment utilisé est
l’outil Configuration et analyse de la sécurité.
L’outil Configuration et analyse de la sécurité compare la configuration
de sécurité de l’ordinateur local à une configuration alternative importée d’un
modèle (un fichier .inf) et stockée dans une base de données séparée (un fichier
.sdb). Une fois l’analyse terminée, vous pouvez parcourir les paramètres
de sécurité dans l’arborescence de la console pour voir les résultats. Les
incohérences sont indiquées par un drapeau rouge. Les éléments cohérents sont
indiqués par une coche verte. Lorsqu’un paramètre ne comporte ni drapeau
rouge, ni coche verte, cela signifie qu’il n’est pas configuré dans la base
de données.
Une fois que vous avez analysé les résultats à l’aide de l’outil Configuration
et analyse de la sécurité, vous pouvez effectuer diverses tâches, notamment :
! Éliminer les incohérences en définissant les paramètres de la base
de données pour qu’ils correspondent aux paramètres de l’ordinateur actuel.
Pour configurer des paramètres de la base de données, double-cliquez sur
les paramètres dans le volet d’informations.
! Importer un autre fichier de modèle, en fusionnant ses paramètres
et en remplaçant les paramètres lorsqu’il y a un conflit. Pour importer un
autre fichier de modèle, cliquez avec le bouton droit sur Configuration
et analyse de la sécurité, puis cliquez sur Importer un modèle.
! Exporter les paramètres de la base de données actuelle vers un fichier
de modèle. Pour exporter un autre fichier de modèle, cliquez avec le bouton
droit sur Configuration et analyse de la sécurité, puis cliquez sur
Exporter le modèle.
Introduction
Outil Configuration et
analyse de la sécurité
Intérêt de l’outil
Configuration et analyse
de la sécurité ?
Module 10 : Implémentation de modèles d’administration et d’une stratégie d’audit 31
Pour plus d’informations sur les outils de sécurité, reportez-vous à :
! « Security Configuration Manager » (en anglais) à l’adresse
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/
prodtechnol/windowsserver2003/proddocs/server/SEconcepts_SCM.asp.
! « Best Practices for Security Configuration and Analysis » (en anglais) à
l’adresse http://www.microsoft.com/technet/treeview/default.asp?url=/
technet/prodtechnol/windowsserver2003/proddocs/server/sag_SCMbp.asp.
Lectures
complémentaires
32 Module 10 : Implémentation de modèles d’administration et d’une stratégie d’audit
Procédure de test de la sécurité de l’ordinateur
*********************DOCUMENT A L’USAGE EXCLUSIF DE L’INSTRUCTEUR********************
Vous aurez de temps à autre besoin d’analyser un ordinateur pour identifier les
paramètres de sécurité d’un serveur qui diffèrent des paramètres de sécurité d’un
modèle de sécurité de base. Pour ce faire, utilisez l’outil Configuration
et analyse de la sécurité.
Pour analyser la sécurité à l’aide de l’outil Configuration et analyse
de la sécurité :
1. Dans une console MMC, ajoutez le composant logiciel enfichable
Configuration et analyse de la sécurité.
2. Cliquez avec le bouton droit sur Configuration et analyse de la sécurité,
puis cliquez sur Ouvrir une base de données.
3. Dans la boîte de dialogue Ouvrir une base de données, sélectionnez
un fichier de base de données existant ou entrez un nom unique pour créer
une nouvelle base de données, puis cliquez sur Ouvrir.
Les bases de données existantes contiennent déjà des paramètres importés.
Si vous créez une base de données, la boîte de dialogue Modèle
d’importation s’affiche. Sélectionnez une base de données, puis cliquez sur
Ouvrir.
4. Cliquez avec le bouton droit sur Configuration et analyse de la sécurité,
puis cliquez sur Analyser l’ordinateur maintenant.
5. Dans la boîte de dialogue Effectuer l’analyse, choisissez l’emplacement
du fichier journal de l’analyse, puis cliquez sur OK.
6. Dans l’arborescence de la console, développez Configuration et analyse
de la sécurité.
7. Parcourez les paramètres de sécurité dans l’arborescence de la console
et comparez les colonnes Paramètre de base de données et Paramètre
de l’ordinateur dans le volet d’informations.
Introduction
Procédure
Module 10 : Implémentation de modèles d’administration et d’une stratégie d’audit 33
Application pratique : Test de la sécurité de l’ordinateur
*********************DOCUMENT A L’USAGE EXCLUSIF DE L’INSTRUCTEUR********************
Dans cette application pratique, vous effectuerez les tâches suivantes :
! créer un modèle de sécurité personnalisé ;
! comparer les paramètres de sécurité de votre ordinateur aux paramètres
du modèle de sécurité personnalisé.
Avant de commencer cette application pratique :
! Ouvrez une session sur le domaine en utilisant le compte
NomOrdinateurUser.
! Ouvrez CustomMMC à l’aide de la commande Exécuter en tant que.
Utilisez le compte d’utilisateur Nwtraders\NomOrdinateurAdmin
(Exemple : LondonAdmin).
! Passez en revue les procédures de cette leçon qui décrivent la façon
d’effectuer cette tâche.
Vous êtes administrateur système chez Northwind Traders. Vous devez
implémenter les paramètres de sécurité suivants sur les serveurs membres :
! Les mots de passe doivent contenir au minimum 10 caractères.
! Une boîte de dialogue, qui informe les utilisateurs que les accès non
autorisés sont interdits, doit s’afficher lors de la procédure d’ouverture
de session.
! Le service d’alerte, configuré pour démarrer manuellement, doit être
désactivé.
Objectif
Instructions
Scénario
34 Module 10 : Implémentation de modèles d’administration et d’une stratégie d’audit
! Créer un modèle de sécurité personnalisé
1. Dans le composant logiciel enfichable Modèle de sécurité, modifiez les
stratégies suivantes dans le modèle securews :
• Affectez la valeur 10 au paramètre Stratégies de comptes/Stratégie
de mot de passe/Longueur minimale du mot de passe.
• Affectez la valeur Accès autorisé uniquement au paramètre Stratégies
locales/Options de sécurité/Ouverture de session interactive :
contenu du message pour les utilisateurs essayant de se connecter.
• Affectez la valeur NomOrdinateur au paramètre Stratégies
locales/Options de sécurité/Ouverture de session interactive : titre
du message pour les utilisateurs essayant de se connecter.
• Affectez la valeur Désactivé au paramètre Services
système/Avertissement.
2. Enregistrez le modèle de sécurité personnalisé sous NomOrdinateurSecure.
Maintenant que vous avez configuré le modèle et les paramètres de stratégie
appropriés, vous devez analyser la sécurité pour créer une base pour les
prochaines analyses et vérifier la configuration actuelle.
! Importer et effacer la base de données initiale de configuration
et d’analyse de la sécurité actuelle
• Dans Configuration et analyse de la sécurité, importez le modèle
NomOrdinateurSecure et videz la base de données.
! Analyser la sécurité
1. Cliquez avec le bouton droit sur Configuration et analyse de la sécurité,
puis cliquez sur Analyser l’ordinateur maintenant.
2. Dans la boîte de dialogue Effectuer l’analyse, cliquez sur OK.
3. Dans Configuration et analyse de la sécurité, développez Stratégies locales,
puis cliquez sur Options de sécurité.
4. Notez l’Ouverture de session interactive : contenu du message pour les
utilisateurs essayant de se connecter et Ouverture de session
interactive : titre du message pour les utilisateurs essayant
de se connecter.
5. Dans le volet d’informations, notez les paramètres système signalés par
un drapeau rouge.
Le drapeau rouge indique que les paramètres du modèle de sécurité sont
différents des paramètres de l’ordinateur actuel.
Application pratique :
Création de modèles
de sécurité
Scénario
Application pratique :
Test de la sécurité
de l’ordinateur
Module 10 : Implémentation de modèles d’administration et d’une stratégie d’audit 35
Leçon : Configuration de l’audit
*********************DOCUMENT A L’USAGE EXCLUSIF DE L’INSTRUCTEUR********************
Une stratégie de sécurité ne serait pas complète sans une stratégie d’audit
exhaustive. Bien souvent, les organisations ne s’en rendent compte qu’après
avoir rencontré un problème de sécurité. Sans journal d’audit des actions, il est
quasiment impossible de trouver les causes d’un problème de sécurité. Dans
le cadre de votre stratégie de sécurité globale, vous devez déterminer les
événements à auditer, le niveau d’audit adapté à votre environnement, ainsi que
la manière de collecter et de vérifier les événements audités.
À la fin de cette leçon, vous serez à même d’effectuer les tâches suivantes :
! expliquer la procédure d’audit ;
! expliquer ce qu’est une stratégie d’audit ;
! expliquer les types d’événements à auditer ;
! identifier les instructions de planification d’une stratégie d’audit ;
! activer une stratégie d’audit ;
! activer l’audit de fichiers et de dossiers ;
! effectuer l’audit d’une unité d’organisation ;
! appliquer les recommandations pour configurer l’audit.
Introduction
Objectifs de la leçon
36 Module 10 : Implémentation de modèles d’administration et d’une stratégie d’audit
Description de l’audit
*********************DOCUMENT A L’USAGE EXCLUSIF DE L’INSTRUCTEUR********************
L’audit est le processus qui consiste à suivre les activités des utilisateurs et du
système d’exploitation en enregistrant des types d’événements dans le journal
de sécurité d’un serveur ou d’un poste de travail. Les journaux de sécurité
comportent diverses entrées d’audit qui contiennent les informations suivantes :
! l’action effectuée ;
! l’utilisateur qui a effectué l’action ;
! la réussite ou l’échec de l’événement et le moment auquel il s’est produit ;
! des informations complémentaires, telles que l’ordinateur sur lequel
l’événement s’est produit.
L’activation de l’audit et la surveillance des journaux d’audit permet de :
! créer une base contenant les opérations réseau et ordinateur normales ;
! détecter les tentatives d’entrée dans le réseau ou l’ordinateur ;
! déterminer les systèmes et données impliqués pendant ou après un problème
de sécurité ;
! prévenir les dégâts sur les réseaux ou sur les ordinateurs à la suite
du piratage du réseau.
Définition
Intérêt d’un audit
Module 10 : Implémentation de modèles d’administration et d’une stratégie d’audit 37
Les besoins en matière de sécurité d’une entreprise contribuent à déterminer
le niveau d’audit nécessaire. Par exemple, un réseau avec une sécurité minimale
peut auditer les tentatives d’ouverture de session qui échouent pour surveiller
les attaques brutales. Un réseau haute sécurité peut auditer les tentatives
d’ouverture de session qui ont abouti et celles qui ont échoué pour identifier les
utilisateurs non autorisés ayant réussi à accéder au réseau.
Bien que l’audit puisse donner des informations importantes, un excès d’audit
remplit le journal d’audit d’informations superflues, ce qui peut affecter les
performances du système et compliquer la recherche d’informations pertinentes.
Voici les types d’événements courants à auditer :
! Accès aux objets (fichiers et dossiers, par exemple)
! Gestion des comptes d’utilisateurs et des comptes de groupes
! Ouverture et fermeture de sessions sur le système par les utilisateurs
Pour plus d’informations, reportez-vous à l’article TechNet, « Auditing
overview » (en anglais), à l’adresse http://www.microsoft.com/technet/treeview/
default.asp?url=/technet/prodtechnol/windowsserver2003/proddocs/server/
sag_SEconceptsAudit.asp.
Types d’événements à
auditer
Lectures
complémentaires
38 Module 10 : Implémentation de modèles d’administration et d’une stratégie d’audit
Description d’une stratégie d’audit
*********************DOCUMENT A L’USAGE EXCLUSIF DE L’INSTRUCTEUR********************
La définition d’une stratégie d’audit constitue un élément important de la
sécurité. La surveillance de la création ou la modification d’objets permet
de suivre les problèmes de sécurité potentiels, de rendre les utilisateurs plus
responsables et de disposer de preuves en cas de violation de la sécurité.
Une stratégie d’audit définit les types d’événements de sécurité que Windows
Server 2003 enregistre dans le journal de sécurité sur chaque ordinateur.
Windows Server 2003 consigne les événements dans le journal de sécurité
de l’ordinateur lorsque l’événement se produit.
La configuration d’une stratégie d’audit pour un ordinateur permet de :
! suivre l’aboutissement ou l’échec d’événements tels que les ouvertures
de session, la lecture d’un fichier donné par un certain utilisateur, ainsi que
les modifications apportées à un compte d’utilisateur ou une appartenance
de groupe et aux paramètres de sécurité ;
! réduire les risques d’utilisation non autorisée des ressources ;
! conserver un enregistrement des activités des utilisateurs et administrateurs.
Utilisez l’Observateur d’événements pour voir les événements que Windows
Server 2003 enregistre dans le journal de sécurité. Vous pouvez également
archiver les fichiers journaux pour suivre l’évolution des tendances. Ceci est très
utile dans le cadre de la détermination des tendances d’utilisation des
imprimantes, d’accès aux fichiers et de tentatives d’accès non autorisé aux
ressources.
Vous pouvez configurer une stratégie d’audit sur n’importe quel ordinateur
de deux façons : directement, en utilisant le composant logiciel enfichable
Stratégie locale, ou indirectement à l’aide de Stratégie de groupe, généralement
utilisée dans les grandes entreprises. Une fois la stratégie d’audit conçue
et implémentée, les informations correspondantes sont enregistrées dans les
journaux de sécurité. Chaque ordinateur de l’organisation dispose de son propre
journal de sécurité qui consigne les événements locaux.
Introduction
Définition
Intérêt de la
configuration d’une
stratégie d’audit
Procédure
d’implémentation d’une
stratégie d’audit
Module 10 : Implémentation de modèles d’administration et d’une stratégie d’audit 39
Lorsque vous implémentez une stratégie d’audit :
! Spécifiez les catégories d’événements à auditer. Exemples de catégories
d’événements : ouvertures et fermetures de session, gestion des comptes.
Les catégories d’événements que vous spécifiez constituent votre stratégie
d’audit. Il n’existe pas de stratégie d’audit par défaut.
! Définissez la taille et le comportement du journal de sécurité. L’Observateur
d’événements permet d’afficher le journal de sécurité.
! Déterminez les objets dont vous voulez contrôler les accès et les types
d’accès à surveiller (accès au service d’annuaire ou accès aux objets). Par
exemple, si vous voulez auditer les ouvertures d’un fichier, vous pouvez
configurer les paramètres de stratégie d’audit de la catégorie d’événements
d’accès aux objets pour enregistrer les tentatives de lecture d’un fichier qui
ont abouti ou qui ont échoué.
Les paramètres d’audit par défaut des serveurs sont configurés par les modèles
d’administration. Les modèles de sécurité suivants définissent les paramètres
d’audit par défaut :
! Setup security.inf
! Hisecdc.inf
! Hisecws.inf
! Securedc.inf
! Securews.inf
Pour afficher les paramètres de stratégie que chaque modèle de sécurité définit,
dans le composant logiciel enfichable Modèles de sécurité, accédez à Stratégies
locales\Stratégie d’audit pour chaque modèle d’administration.
Pour plus d’informations, reportez-vous à l’article TechNet, « Auditing policy »
(en anglais), à l’adresse http://www.microsoft.com/technet/treeview/
default.asp?url=/technet/prodtechnol/windowsserver2003/proddocs/server/
APtopnode.asp.
Stratégie d’audit par
défaut
Lectures
complémentaires
40 Module 10 : Implémentation de modèles d’administration et d’une stratégie d’audit
Types d’événements à auditer
*********************DOCUMENT A L’USAGE EXCLUSIF DE L’INSTRUCTEUR********************
La première étape de la création d’une stratégie d’audit de système
d’exploitation consiste à déterminer le type d’actions ou d’opérations à
enregistrer.
Quels sont les événements du système d’exploitation que vous devez auditer ?
N’auditez pas tous les événements du système d’exploitation, car cela requiert
des ressources système énormes et peut affecter les performances du système.
Consultez les autres spécialistes de la sécurité et décidez ensemble des
événements de système d’exploitation à auditer. N’auditez que les événements
qui vous seront utiles.
Pour commencer à déterminer les événements à auditer, vous pouvez réunir les
personnes concernées et aborder les éléments suivants :
! les actions ou les opérations à contrôler ;
! les systèmes sur lesquels vous voulez contrôler les événements.
vous pourrez par exemple décider de suivre :
! tous les événements d’ouverture de session dans un domaine ou d’ouverture
de session locale sur tous les ordinateurs ;
! l’utilisation de tous les fichiers du dossier des salaires sur le serveur
du service des Ressources Humaines.
Sur Windows Server 2003, les événements d’audit peuvent être classés dans
deux catégories :
! Événements qui aboutissent
Un événement qui aboutit indique que le système d’exploitation a
correctement réalisé l’action ou l’opération. Ces événements sont signalés
par une icône de clé.
Introduction
Détermination des
événements à auditer
Événements qui
aboutissent ou qui
échouent
Module 10 : Implémentation de modèles d’administration et d’une stratégie d’audit 41
! Événements qui échouent
Un événement qui échoue indique que le système d’exploitation a tenté
de réaliser une action ou une opération, mais qu’il n’y est pas parvenu. Les
événements qui échouent sont signalés par une icône de verrou.
Les événements qui échouent s’avèrent très utiles lorsqu’il s’agit de suivre les
tentatives d’attaques de votre environnement, mais les événements qui
aboutissent sont beaucoup plus difficiles à interpréter. La grande majorité des
événements qui aboutissent indique une activité normale et un intrus qui accède
à un système produit également un événement de ce type.
Souvent, la nature des événements est aussi importante que les événements euxm
êmes. Par exemple, une série d’échecs suivie d’un aboutissement peut indiquer
qu’une attaque a réussi.
De la même façon, un écart par rapport à un modèle peut également indiquer
une activité suspecte. Supposons que les journaux de sécurité indiquent qu’un
utilisateur dans votre organisation ouvre une session tous les jours ouvrés, entre
8 h et 10 h, et que, soudain, il ouvre une session sur le réseau à 3 h du matin. Il
est possible qu’il y ait une raison derrière ce changement, mais il faut le vérifier.
La première étape de l’implémentation d’une stratégie d’audit consiste à
sélectionner les types d’événements que Windows Server 2003 doit auditer.
Le tableau ci-dessous répertorie les événements que Windows Server 2003 peut
auditer.
Événement Exemple
Connexion aux
comptes
Un compte est authentifié par une base de données de sécurité.
Lorsqu’un utilisateur ouvre une session sur l’ordinateur local,
celui-ci enregistre l’événement de connexion aux comptes.
Lorsqu’un utilisateur ouvre une session dans un domaine,
le contrôleur du domaine d’authentification enregistre
l’événement de connexion aux comptes.
Gestion des comptes Un administrateur crée, modifie ou supprime un compte
d’utilisateur ou un groupe, un compte d’utilisateur est
renommé, désactivé ou activé, un mot de passe est défini
ou modifié.
Accès au service
d’annuaire
Un utilisateur accède à un objet Active Directory. Pour
consigner ce type d’accès, vous devez définir les objets
Active Directory à auditer.
Ouverture de session Un utilisateur ouvre ou ferme une session sur un ordinateur
local ou établit ou annule une connexion réseau à l’ordinateur.
L’événement est enregistré sur l’ordinateur auquel l’utilisateur
accède, quel que soit le type de compte utilisé (compte local
ou compte de domaine).
Accès aux objets Un utilisateur accède à un fichier, un dossier ou une
imprimante. L’administrateur doit configurer les fichiers,
dossiers ou imprimantes à auditer.
Modification
de stratégie
Une modification est apportée aux options de sécurité
de l’utilisateur (options de mot de passe ou options
de connexion aux comptes, par exemple), aux droits
de l’utilisateur ou aux stratégies d’audit.
Événements que
Windows Server 2003
peut auditer
42 Module 10 : Implémentation de modèles d’administration et d’une stratégie d’audit
(suite)
Événement Exemple
Utilisation des
privilèges
Un utilisateur exerce un droit utilisateur, tel que celui
de modifier l’heure système (cela n’inclut pas les droits liés
à l’ouverture et la fermeture de sessions) ou de prendre
possession d’un fichier.
Suivi des processus Une application exécute une action. Cette information
n’intéresse en général que les programmeurs qui veulent avoir
des détails sur l’exécution.
Système Un utilisateur redémarre ou arrête l’ordinateur, ou un
événement affecte la sécurité de Windows Server 2003 ou le
journal de sécurité.
Le modèle setup security.inf inclut des paramètres par défaut permettant l’audit
des ouvertures de session de compte qui ont abouti et qui ont échoué. Aucun
autre événement n’est audité par défaut.
Événements audités par
défaut
Module 10 : Implémentation de modèles d’administration et d’une stratégie d’audit 43
Instructions relatives à la planification d’une stratégie d’audit
*********************DOCUMENT A L’USAGE EXCLUSIF DE L’INSTRUCTEUR********************
Si vous auditez trop de types d’événements, vous risquez de créer des
surcharges qui pourraient affecter les performances du système.
Suivez les instructions ci-dessous pour planifier une stratégie d’audit :
! Déterminez les ordinateurs à auditer. Déterminer les éléments à auditer sur
chaque ordinateur, car Windows Server 2003 audite les événements
séparément sur chaque ordinateur. Par exemple, vous pouvez auditer
fréquemment les ordinateurs utilisés pour stocker les données sensibles
ou importantes et auditer de temps à autre les ordinateurs clients qui
exécutent uniquement des applications de productivité.
! Déterminez les types d’événements à auditer, tels que :
• les accès aux fichiers et aux dossiers ;
• l’ouverture et la fermeture des sessions des utilisateurs ;
• l’arrêt et le redémarrage d’un ordinateur exécutant Windows
Server 2003 ;
• les modifications apportées à des comptes d’utilisateurs et de groupes.
! Déterminez les événements à auditer, à savoir ceux qui aboutissent ou ceux
qui n’aboutissent pas ou bien les deux. Le contrôle des événements qui
aboutissent peut indiquer la fréquence à laquelle Windows Server 2003
ou les utilisateurs accèdent à des fichiers ou à des imprimantes donnés.
Vous pouvez utiliser ces informations pour planifier les ressources. Le
contrôle des événements qui échouent peut correspondre à des tentatives
de violation de la sécurité.
! Déterminez si vous devez contrôler les tendances d’utilisation du système.
Si vous les contrôlez, archivez les journaux d’événements. Certaines
entreprises doivent conserver l’enregistrement des accès aux ressources et
aux données.
! Vérifiez fréquemment les journaux de sécurité de manière planifiée. L’audit
seul ne permet pas d’identifier les violations de sécurité.
Introduction
Instructions
44 Module 10 : Implémentation de modèles d’administration et d’une stratégie d’audit
Procédure d’activation d’une stratégie d’audit
*********************DOCUMENT A L’USAGE EXCLUSIF DE L’INSTRUCTEUR********************
Vous pouvez activer une stratégie d’audit de deux manières, selon que
l’ordinateur se trouve dans un groupe de travail ou dans un domaine.
Pour activer une stratégie d’audit sur un ordinateur local :
1. Dans le menu Outils d’administration, cliquez sur Stratégie de sécurité
locale.
2. Dans l’arborescence de la console, développez Stratégies locales, puis
double-cliquez sur Stratégie d’audit.
3. Dans le volet d’informations, double-cliquez sur la stratégie à activer
ou désactiver.
4. Effectuez l’une des opérations suivantes ou les deux, puis cliquez sur OK:
• Pour auditer les événements qui aboutissent, activez la case à cocher
Réussite.
• Pour auditer les événements n’ayant pas abouti, activez la case à cocher
Échec.
Supposons que vous avez activé les cases à cocher Réussite et Échec pour
les événements d’ouverture de sessions. Si l’utilisateur réussit à ouvrir une
session sur le système, cette action est consignée comme un événement
ayant abouti. Si l’utilisateur tente d’accéder à une unité du réseau et échoue,
la tentative est consignée comme événement ayant échoué.
Si vous êtes membre d’un domaine et qu’une stratégie est définie
au niveau du domaine, les paramètres du niveau remplacent les paramètres
de la stratégie locale.
Introduction
Procédure d’activation
d’une stratégie d’audit
sur un ordinateur local
Remarque
Module 10 : Implémentation de modèles d’administration et d’une stratégie d’audit 45
Pour activer une stratégie d’audit sur un domaine ou une unité d’organisation :
1. Dans Gestion des stratégies de groupe, créez ou accédez à un objet
de stratégie de groupe lié à une unité d’organisation et modifiez-le.
2. Dans l’arborescence de la console, naviguez jusqu’à Configuration
ordinateur/Paramètres Windows/Paramètres de sécurité/Stratégies
locales/Stratégie d’audit.
3. Dans le volet d’informations, double-cliquez sur la stratégie à activer
ou désactiver.
4. Effectuez l’une des opérations suivantes ou les deux, puis cliquez sur OK:
• Pour auditer les événements qui aboutissent, activez la case à cocher
Réussite.
• Pour auditer les événements n’ayant pas abouti, activez la case à cocher
Échec.
Procédure d’activation
d’une stratégie d’audit
sur un domaine ou une
unité d’organisation
46 Module 10 : Implémentation de modèles d’administration et d’une stratégie d’audit
Procédure d’activation de l’audit des fichiers et des dossiers
*********************DOCUMENT A L’USAGE EXCLUSIF DE L’INSTRUCTEUR********************
L’activation de l’audit permet de détecter et d’enregistrer des événements liés
à la sécurité, tels que les tentatives d’accès à un fichier ou un dossier
confidentiel. Lorsque vous auditez un objet, une entrée est consignée dans
le journal de sécurité chaque fois que quelqu’un ou quelque chose accède
à l’objet d’une certaine manière.
Une fois que vous avez activé l’audit, vous pouvez suivre les utilisateurs qui
accèdent à certains objets et analyser les violations de sécurité. Le journal
d’audit indique qui a effectué les actions et qui a essayé d’effectuer des actions
non autorisées.
Pour activer l’audit des fichiers et des dossiers :
1. Dans l’Explorateur Windows, recherchez le fichier ou le dossier à auditer.
2. Cliquez avec le bouton droit sur le fichier ou le dossier, puis cliquez sur
Propriétés.
3. Dans la boîte de dialogue Propriétés, cliquez sur Paramètres avancés dans
l’onglet Sécurité.
4. Dans l’onglet Audit de la boîte de dialogue Paramètres de sécurité
avancé, effectuez l’une des opérations suivantes :
• Pour activer l’audit sur un nouvel utilisateur ou un nouveau groupe,
cliquez sur Ajouter. Dans la zone Entrer le nom de l’objet à
sélectionner, tapez le nom de l’utilisateur ou du groupe, puis cliquez
sur OK.
• Pour afficher ou modifier l’audit d’un groupe ou d’un utilisateur, cliquez
sur le nom approprié, puis cliquez sur Modifier.
• Pour désactiver l’audit d’un groupe ou utilisateur, cliquez sur le nom
approprié, puis cliquez sur Supprimer.
Introduction
Procédure
Module 10 : Implémentation de modèles d’administration et d’une stratégie d’audit 47
5. Dans Accès, cliquez sur Réussite, Échec ou sur les deux, en fonction
du type d’accès à auditer.
6. Si vous voulez empêcher des objets enfants d’hériter de ces entrées d’audit,
activez la case à cocher Appliquer ces entrées d’audit aux objets et/ou
aux conteneurs à l’intérieur de ce conteneur uniquement.
48 Module 10 : Implémentation de modèles d’administration et d’une stratégie d’audit
Application pratique : Activation de l’audit des fichiers et des
dossiers
*********************DOCUMENT A L’USAGE EXCLUSIF DE L’INSTRUCTEUR********************
Dans cette application pratique, vous allez activer l’audit des fichiers et des
dossiers.
Avant de commencer cette application pratique :
! Ouvrez une session sur le domaine en utilisant le compte
NomOrdinateurUser.
! Ouvrez CustomMMC à l’aide de la commande Exécuter en tant que.
Utilisez le compte d’utilisateur Nwtraders\NomOrdinateurAdmin (exemple :
LondonAdmin).
! Vérifiez que le dossier D:\HR Reports a été créé et partagé lors d’une
application pratique ou d’un atelier précédent.
! Passez en revue les procédures de cette leçon qui décrivent la façon
d’effectuer cette tâche.
Le chef du service Ressources Humaines vous signale que des fichiers sont
supprimés. Le chef du service Ventes veut identifier l’utilisateur qui supprime
des fichiers. Vous devez activer l’audit du dossier HR Reports sur votre serveur.
! Créer un objet de stratégie de groupe qui active une stratégie d’audit
! Outil : Gestion des stratégies de groupe
! Nom d’objet de stratégie de groupe : NomOrdinateur Stratégie d’audit
! Lien d’objet de stratégie de groupe vers l’emplacement suivant :
Locations/NomOrdinateur/Computers
! Activez l’audit des événements qui échouent et qui aboutissent de la
stratégie de sécurité suivante : Configuration ordinateur/Paramètres
Windows/Paramètres de sécurité/
Stratégies locales/Stratégie d’audit/Auditer l’accès aux objets
Objectif
Instructions
Scénario
Application pratique
Module 10 : Implémentation de modèles d’administration et d’une stratégie d’audit 49
! Vérifier l’emplacement du compte d’ordinateur
1. Vérifiez que votre ordinateur se trouve dans l’unité d’organisation
Locations/NomOrdinateur/Computers.
Si ce n’est pas le cas, recherchez-le et placez-le dans cette unité
d’organisation.
2. À l’invite de commandes, tapez gpupdate /force
3. Si vous êtes invité à fermer la session, tapez N et appuyez sur ENTRÉE.
! Auditer le dossier HR Reports
• Utilisez le composant logiciel enfichable Gestion de l’ordinateur pour
effectuer l’audit du dossier D:\HR Reports selon les critères suivants :
• Auditez le groupe G NWTraders HR Personnel.
• Auditez Réussite – Suppression de sous-dossier et fichier.
• Auditez Ce dossier, les sous-dossiers et les fichiers.
• Empêchez les objets enfants d’hériter de ces entrées d’audit.
50 Module 10 : Implémentation de modèles d’administration et d’une stratégie d’audit
Procédure d’activation de l’audit des objets Active Directory
*********************DOCUMENT A L’USAGE EXCLUSIF DE L’INSTRUCTEUR********************
Lorsque vous activez l’audit d’une unité d’organisation, vous auditez
l’événement généré lorsque l’utilisateur accède à un objet Active Directory
associé à des autorisations. Par défaut, l’audit contrôle les événements qui
aboutissent dans l’objet de stratégie de groupe Default Domain Controllers
Policy et il n’est pas défini pour les postes de travail et les serveurs auxquels il
ne s’applique pas.
Par défaut, seuls les membres du groupe Administrateurs disposent
de privilèges leur permettant de configurer l’audit. Vous pouvez déléguer
la configuration de l’audit des événements de serveur à un autre compte
d’utilisateur en attribuant le droit d’administration de l’audit et du journal
de sécurité dans Stratégie de groupe.
Pour permettre à des personnes autres que les administrateurs de gérer
et d’afficher les journaux d’audit sur un serveur membre, vous devez tout
d’abord déléguer ce droit à un utilisateur ou à un groupe. Pour ce faire :
1. Dans l’arborescence de la console Éditeur d’objets de stratégie de groupe,
naviguez vers :
Configuration ordinateur/Paramètres Windows/Paramètres de sécurité/
Stratégies locales/Attribution des droits utilisateur
2. Cliquez sur Gérer le journal d’audit et de sécurité.
3. Dans le menu Action, cliquez sur Propriétés.
4. Dans la boîte de dialogue Propriétés de Gérer le journal d’audit
et de sécurité, activez la case à cocher Définir ces paramètres
de stratégie, puis cliquez sur Ajouter un utilisateur ou un groupe.
5. Entrez le nom de l’utilisateur ou du groupe approprié, puis cliquez sur OK.
6. Cliquez sur OK.
Introduction
Remarque
Procédure de délégation
d’un compte pour l’audit
Module 10 : Implémentation de modèles d’administration et d’une stratégie d’audit 51
Pour activer l’audit d’une unité d’organisation :
1. Dans Utilisateurs et ordinateurs Active Directory, cliquez avec le bouton
droit sur l’unité d’organisation à auditer, puis cliquez sur Propriétés.
2. Dans la boîte de dialogue Propriétés, cliquez sur Paramètres avancés dans
l’onglet Sécurité.
Pour afficher les propriétés de sécurité, vous devez cliquer sur
Fonctionnalités avancées dans le menu Affichage de Utilisateurs
et ordinateurs Active Directory.
3. Dans l’onglet Audit de la boîte de dialogue Paramètres de sécurité
avancé, effectuez l’une des opérations suivantes :
• Pour activer l’audit sur un nouvel utilisateur ou un nouveau groupe,
cliquez sur Ajouter. Dans la zone Entrer le nom de l’objet à
sélectionner, tapez le nom de l’utilisateur ou du groupe, puis cliquez
sur OK.
• Pour désactiver l’audit d’un groupe ou d’un utilisateur, cliquez sur le nom
correspondant, cliquez sur Supprimer, puis cliquez sur OK. Passez
le reste de cette procédure.
• Pour afficher ou modifier l’audit d’un groupe ou d’un utilisateur, cliquez
sur le nom correspondant, puis cliquez sur Modifier.
4. Dans la zone Appliquer à, cliquez sur l’emplacement dans lequel l’audit
doit avoir lieu.
5. Sous Accès, indiquez les actions à auditer en activant les cases à cocher
appropriées :
• Pour auditer les événements qui aboutissent, activez la case à cocher
Réussite.
• Pour arrêter l’audit des événements qui aboutissent, désactivez la case
à cocher Réussite.
• Pour auditer les événements qui échouent, cochez la case Échec.
• Pour arrêter l’audit des événements qui échouent, décochez la case
à cocher Échec.
• Pour arrêter l’audit de tous les événements, cliquez sur Effacer tout.
6. Si vous voulez empêcher des objets enfants d’hériter de ces entrées d’audit,
activez la case à cocher Appliquer ces entrées d’audit aux objets et/ou
aux conteneurs à l’intérieur de ce conteneur uniquement.
Procédure d’activation
de l’audit d’une unité
d’organisation
52 Module 10 : Implémentation de modèles d’administration et d’une stratégie d’audit
Application pratique : Activation de l’audit d’une unité
d’organisation
*********************DOCUMENT A L’USAGE EXCLUSIF DE L’INSTRUCTEUR********************
À la fin de cette application pratique, vous serez à même de configurer une
stratégie d’audit qui contrôle la création et la suppression d’objets dans une unité
d’organisation.
Avant de commencer cette application pratique :
! Ouvrez une session sur le domaine en utilisant le compte
NomOrdinateurUser.
! Ouvrez CustomMMC avec la commande Exécuter en tant que en utilisant
Nwtraders\NomOrdinateurAdmin (exemple : LondonAdmin).
! Passez en revue les procédures de cette leçon qui décrivent la façon
d’effectuer cette tâche.
Un utilisateur ajoute et supprime des objets utilisateur, ordinateur et groupe
dans votre unité d’organisation NomOrdinateur. Vous voulez configurer une
stratégie d’audit qui contrôle la création et la suppression (réussies ou non)
de ces objets dans votre unité d’organisation NomOrdinateur.
Objectifs
Instructions
Scénario
Module 10 : Implémentation de modèles d’administration et d’une stratégie d’audit 53
! Activer l’audit de l’unité d’organisation NomOrdinateur
• Activez l’audit selon les critères suivants :
• Auditez le groupe Tout le monde.
• Auditez l’unité d’organisation NomOrdinateur et tous les objets enfants.
• Auditez les propriétés d’accès suivantes des événements qui aboutissent
et qui échouent :
• créer des objets account ;
• suppression des objets account ;
• créer des objets Ordinateur ;
• suppression des objets Ordinateur ;
• créer des objets Groupe ;
• suppression des objets Groupe.
Application pratique
54 Module 10 : Implémentation de modèles d’administration et d’une stratégie d’audit
Recommandations pour la configuration d’un audit
*********************DOCUMENT A L’USAGE EXCLUSIF DE L’INSTRUCTEUR********************
Appliquez les recommandations suivantes lors de l’audit :
! Auditez les événements qui aboutissent associés aux accès
au service d’annuaire.
En auditant ces événements, vous pouvez découvrir qui a accédé à un objet
dans Active Directory et les opérations que la personne a effectuées.
! Auditez les événements qui aboutissent associés aux accès aux objets.
En auditant ces événements, vous pouvez vérifier que les utilisateurs ne font
pas un mauvais usage de leur accès à des objets sécurisés.
! Auditez les événements qui aboutissent ou qui échouent associés
au système.
En auditant ces événements, vous pouvez détecter toute activité inhabituelle
indiquant qu’un pirate tente d’accéder à votre ordinateur ou à votre réseau.
! Auditez les événements qui aboutissent ou qui échouent associés à la
modification de la stratégie sur les contrôleurs de domaine.
Si un événement associé à la modification de la stratégie est consigné, cela
signifie que quelqu’un a modifié la configuration de stratégie de sécurité
de l’Autorité de sécurité locale (LSA, Local Security Authority). Si vous
utilisez la stratégie de groupe pour modifier les paramètres de stratégie
d’audit, il est inutile d’auditer les événements de modification de la stratégie
sur les serveurs membres.
! Auditez les événements qui aboutissent ou qui échouent associés
à la gestion des comptes.
En auditant ces événements, vous pouvez vérifier les modifications
apportées aux propriétés des comptes et des groupes. En auditant ces
événements, vous pouvez savoir si des utilisateurs non autorisés ou des
pirates tentent de modifier les propriétés des comptes et des groupes.
Recommandations
Module 10 : Implémentation de modèles d’administration et d’une stratégie d’audit 55
! Auditez les événements qui aboutissent ou qui échouent associés aux
ouvertures de session.
En auditant ces événements, vous savez quand chaque utilisateur ouvre
ou ferme une session sur un ordinateur. Si une personne non autorisée vole
le mot de passe d’un utilisateur et ouvre une session, vous pouvez découvrir
à quel moment la violation de sécurité a eu lieu.
! Auditez les événements qui aboutissent associés aux ouvertures de comptes
sur les contrôleurs de domaine.
En auditant ces événements, vous savez quand les utilisateurs ouvrent
ou ferment une session dans le domaine. Il est inutile d’auditer ces
événements sur les serveurs membres.
! Définissez la taille du journal de sécurité.
Il est important de définir la taille du journal de sécurité en fonction
du nombre d’événements générés par les paramètres de stratégie d’audit.
Pour plus d’informations, reportez-vous à l’article TechNet, « Best practices »
(en anglais), à l’adresse http://www.microsoft.com/technet/treeview/
default.asp?url=/technet/prodtechnol/windowsserver2003/proddocs/
server/sag_SEconceptsImpAudBP.asp
Pour plus d’informations sur la gestion des journaux d’audit, consultez :
! « Microsoft Operations Manager 2000 » (en anglais) à l’adresse
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/
prodtechnol/mom/evaluate/mom2k.asp
! L’article 325898, « COMMENT FAIRE : Configurer et gérer l’audit basé sur
les opérations pour Windows Server 2003 Enterprise Edition », dans la Base
de connaissances Microsoft à l’adresse
http://support.microsoft.com/?kbid=325898
Lectures
complémentaires
56 Module 10 : Implémentation de modèles d’administration et d’une stratégie d’audit
Leçon : Gestion des journaux de sécurité
*********************DOCUMENT A L’USAGE EXCLUSIF DE L’INSTRUCTEUR********************
Vous pouvez configurer les journaux de sécurité de façon à enregistrer des
informations sur les événements Active Directory et les événements de serveur.
Ces événements sont enregistrés dans le journal de sécurité Windows.
Le journal de sécurité peut enregistrer des événements de sécurité, tels que les
tentatives d’ouverture de sessions qui aboutissent ou qui échouent, ainsi que les
événements liés à l’utilisation des ressources, tels que la création, l’ouverture
ou la suppression de fichiers. Vous devez ouvrir une session en tant
qu’administrateur pour contrôler les événements audités et affichés dans
le journal de sécurité.
À la fin de cette leçon, vous serez à même d’effectuer les tâches suivantes :
! décrire les différents types de journaux de sécurité et les informations
contenues dans chaque journal ;
! identifier les événements de sécurité courants ;
! décrire les tâches associées à la gestion des fichiers journaux de sécurité ;
! administrer les informations contenues dans les journaux de sécurité ;
! afficher les événements des journaux de sécurité.
Introduction
Objectifs de la leçon
Module 10 : Implémentation de modèles d’administration et d’une stratégie d’audit 57
Description des fichiers journaux
*********************DOCUMENT A L’USAGE EXCLUSIF DE L’INSTRUCTEUR********************
Le journal de sécurité enregistre des événements, tels que les tentatives
d’ouverture de sessions qui aboutissent ou qui échouent et les événements liés
à l’utilisation des ressources, tels que la création, l’ouverture ou la suppression
de fichiers ou d’autres objets. Par exemple, si l’audit d’ouverture de session est
activé, les tentatives d’ouverture de sessions sur le système sont enregistrées
dans le journal de sécurité. Une fois qu’une stratégie d’audit a été conçue
et implémentée, les informations sont consignées dans le journal de sécurité.
Chaque ordinateur de l’organisation dispose de son propre journal de sécurité
qui consigne les événements locaux. Les contrôleurs de domaine contiennent
les journaux de sécurité concernant Active Directory.
Vous pouvez visualiser les journaux suivants dans l’Observateur d’événements,
en fonction du type d’ordinateur que vous utilisez et des services qui y sont
installés :
! Application
Contient les événements générés par des applications installées sur
l’ordinateur, notamment les applications serveur, telles que Microsoft
Exchange Server ou Microsoft SQL Server™, et les applications
de bureautique, telles que Microsoft Office.
! Sécurité
Contient les événements générés par l’audit. Ces événements comprennent
les ouvertures et fermetures de sessions, l’accès aux ressources et les
modifications apportées à la stratégie.
! Système
Contient les événements générés par des composants et des services sur
Windows Server 2003.
Introduction
Journaux disponibles
dans l’Observateur
d’événements
58 Module 10 : Implémentation de modèles d’administration et d’une stratégie d’audit
! Service d’annuaire
Apparaît uniquement dans les contrôleurs de domaines. Le journal des
événements du service d’annuaire contient, par exemple, la réplication
Active Directory.
! Service de réplication de fichiers
Apparaît uniquement dans les contrôleurs de domaines. Le journal des
événements du service de réplication de fichiers contient, par exemple, les
événements liés à la réplication de la stratégie de groupe.
Si vous décidez d’utiliser l’audit de manière extensive, augmentez
la taille du journal de sécurité dans la section Journal des événements
de la stratégie de sécurité de l’objet de stratégie de groupe Default Domain
Controllers Policy.
Les fichiers journaux de sécurité sont également stockés dans le répertoire
racine_système\system32\config. Vous pouvez exporter et archiver les journaux
de sécurité dans les formats suivants :
! Fichiers journaux d’événements (.evt) (par défaut)
! Fichiers délimités par des virgules (.csv)
! Fichiers texte (.txt)
Conseil
Format des fichiers
journaux de sécurité
Module 10 : Implémentation de modèles d’administration et d’une stratégie d’audit 59
Événements de sécurité courants
*********************DOCUMENT A L’USAGE EXCLUSIF DE L’INSTRUCTEUR********************
De nombreux événements apparaissent dans le journal de sécurité. Voici
quelques scénarios courants qui peuvent être une source de préoccupation. Des
suggestions de diagnostic des problèmes à l’aide du journal des événements sont
également fournies.
Une ouverture de session réussie génère l’événement 528. Lorsqu’un utilisateur
tente de deviner le mot de passe d’un autre utilisateur, il y a de fortes chances
qu’il fasse plusieurs tentatives infructueuses. Chaque tentative infructueuse
génère un événement 529. Cet événement est également généré lorsque le nom
d’utilisateur est mal orthographié. Les tentatives qui on lieu après le verrouillage
d’un compte génèrent l’événement 539.
Attention, ces événements peuvent également se produire lorsqu’un utilisateur
entre des données incorrectes, oublie de déverrouiller la touche Mal ou a oublié
son mot de passe.
Le propriétaire d’un fichier dans le système de fichiers NTFS peut modifier les
autorisations de lecture et de modification du fichier. Un utilisateur disposant
du droit Prendre possession peut accéder à n’importe quel fichier en en prenant
préalablement possession. Ce changement de propriété correspond à l’utilisation
d’un droit utilisateur et génère l’événement 578.
Un administrateur peu scrupuleux et disposant du droit d’effacer le journal
de sécurité de l’Observateur d’événements peut effacer le journal pour cacher
ses activités liées à la sécurité.
Le journal de sécurité doit être effacé dans un cadre précis et uniquement après
avoir été intégralement archivé. Si le journal est effacé dans d’autres
circonstances, l’administrateur doit justifier ses actions. L’effacement du journal
de sécurité génère l’événement 517 ; il s’agit du premier événement consigné
dans le nouveau journal.
Introduction
Tentatives d’ouverture
de sessions et de
verrouillage de compte
non valides
Changement de
propriété d’un fichier
Effacement du journal
de sécurité
60 Module 10 : Implémentation de modèles d’administration et d’une stratégie d’audit
D’ordinaire, ce sont uniquement les administrateurs qui se chargent d’arrêter les
serveurs importants. Vous pouvez empêcher d’autres personnes d’arrêter
un serveur en attribuant ou en retirant le droit d’arrêter le système dans
la stratégie de sécurité locale ou dans la stratégie de groupe.
Pour savoir si le droit Arrêter le système n’a pas été attribué par erreur
à un utilisateur, auditez l’événement système 513 qui identifie la personne ayant
arrêté l’ordinateur.
Pour plus d’informations sur les événements de sécurité, reportez-vous à :
! L’article 299475, « Windows 2000 Security Event Descriptions (Part 1
of 2) » (en anglais), dans la Base de connaissances Microsoft à l’adresse
http://support.microsoft.com/?kbid=299475.
! L’article 301677, « Windows 2000 Security Event Descriptions (Part 2
of 2) » (en anglais), dans la Base de connaissances Microsoft à l’adresse
http://support.microsoft.com/?kbid=301677.
! L’article TechNet, « Microsoft Solution for Securing Windows 2000
Server » (en anglais), à l’adresse http://www.microsoft.com/technet/
treeview/default.asp?url=/TechNet/security/prodtech/windows/
windows2000/staysecure/DEFAULT.asp.
Arrêt du système
Lectures
complémentaires
Module 10 : Implémentation de modèles d’administration et d’une stratégie d’audit 61
Tâches de gestion des journaux de sécurité
*********************DOCUMENT A L’USAGE EXCLUSIF DE L’INSTRUCTEUR********************
Tous les événements liés à la sécurité du système d’exploitation Windows NT,
Windows Server 2003 et Microsoft Windows XP sont enregistrés dans
le journal de sécurité de l’Observateur d’événements. Les événements liés
à la sécurité peuvent également être enregistrés dans les journaux des
applications et les journaux système.
Avant d’activer des stratégies d’audit, vous devez décider si la configuration par
défaut des fichiers journaux dans l’Observateur d’événements est adaptée à votre
entreprise.
Pour visualiser les paramètres des fichiers journaux dans l’Observateur
d’événements :
1. Dans le menu Outils d’administration, ouvrez l’Observateur d’événements.
2. Cliquez avec le bouton droit sur le journal des événements de sécurité, puis
cliquez sur Propriétés.
Par défaut, le journal de sécurité est stocké dans le répertoire
racine_système/System32/config dans le fichier SecEvent.Evt. Sur Windows
Server 2003, vous pouvez modifier l’emplacement du fichier journal dans les
propriétés du journal de sécurité. Sur Windows NT 4.0 et Windows
Server 2000, vous devez modifier le registre pour modifier l’emplacement
de chaque fichier journal.
Par défaut, seuls le compte Système et le groupe Administrateurs ont accès
au journal de sécurité. Cela permet d’éviter que des personnes autres que les
administrateurs lisent, écrivent ou suppriment des événements de sécurité.
Si vous changez l’emplacement du journal, vérifiez que le nouveau fichier
dispose des autorisations NTFS appropriées. Le service Observateur
d’événements ne pouvant pas être arrêté, la modification de ce paramètre n’entre
en vigueur qu’au redémarrage du serveur.
Introduction
Évaluation de la
configuration du fichier
journal
Emplacement du fichier
journal
62 Module 10 : Implémentation de modèles d’administration et d’une stratégie d’audit
Par défaut, la taille maximale du fichier journal est de 512 Ko. Au-delà, les
informations sont remplacées. Les disques durs actuels ayant une plus grande
capacité que par le passé, vous pouvez augmenter cette valeur. La nouvelle
valeur dépend du type de remplacement des données défini pour le fichier
journal, mais de façon générale, vous pouvez définir une taille maximale d’au
moins 50 Mo. Vous pouvez modifier la taille maximale du fichier journal sur
chaque ordinateur dans les propriétés du journal de sécurité ou sur plusieurs
ordinateurs à l’aide de modèles de sécurité ou en modifiant le registre.
La taille maximale de l’ensemble des journaux d’événements est de 300 Mo.
La taille d’un événement de sécurité étant comprise entre 350 et 500 octets,
un journal d’événements de 10 Mo contient donc entre 20 000 et 25 000
événements de sécurité.
Lorsque vous configurez les paramètres du journal de sécurité, vous devez
définir le type de remplacement des données lorsque la taille maximale
du fichier journal est atteinte. La liste qui suit décrit les options de
remplacement des événements.
! Remplacer les événements si nécessaire
Les nouveaux événements continuent d’être consignés lorsque le journal est
plein. Chaque nouvel événement remplace l’événement le plus ancien dans
le journal.
! Remplacer les événements datant de plus de [x] jours
Les événements sont conservés dans le journal pendant la durée spécifiée
avant d’être écrasés. Par défaut, cette durée est de sept jours.
! Ne pas remplacer les événements
Les nouveaux événements ne sont pas enregistrés et le journal des
événements doit être nettoyé manuellement.
Pour déléguer les droits de gestion du fichier journal de sécurité, configurez
le paramètre Gérer le journal d’audit et de sécurité de la sécurité de groupe.
Il se trouve dans Configuration ordinateur/Paramètres Windows/Paramètres
de sécurité/Stratégies locales/Attribution des droits utilisateur.
Taille maximale
du fichier journal
Type de remplacement
des données d’un fichier
journal
Délégation du droit
de gestion du fichier
Module 10 : Implémentation de modèles d’administration et d’une stratégie d’audit 63
Procédure de gestion des informations des journaux
*********************DOCUMENT A L’USAGE EXCLUSIF DE L’INSTRUCTEUR********************
La taille d’un fichier journal est proportionnelle à la quantité d’informations
de sécurité que vous collectez. Vous avez besoin d’un fichier journal pour
suivre les événements de sécurité qui se sont produits depuis le dernier
archivage des événements.
Pour administrer les informations contenues dans les fichiers journaux de
sécurité à l’aide de Gestion de l’ordinateur :
1. Dans l’arborescence de la console Gestion de l’ordinateur, développez
Outils système et Observateur d’événements.
2. Cliquez avec le bouton droit sur un fichier journal, puis cliquez sur
Propriétés.
3. Dans la boîte de dialogue Propriétés, vous pouvez effectuer les opérations
suivantes :
• définir la taille maximale du journal ;
• définir le type de remplacement des informations ;
• nettoyer le fichier journal.
Pour administrer les informations des fichiers journaux de sécurité à l’aide d’un
objet de stratégie de groupe :
1. Modifiez un objet de stratégie de groupe.
2. Dans l’arborescence de la console Éditeur d’objets de stratégie de groupe,
développez Configuration ordinateur, Paramètres Windows,
Paramètres de sécurité et Journal des événements.
Introduction
Procédure d’utilisation
de Gestion de
l’ordinateur
Procédure d’utilisation
d’un objet de stratégie
de groupe
64 Module 10 : Implémentation de modèles d’administration et d’une stratégie d’audit
3. Définissez la valeur des paramètres de stratégie de groupe suivants :
• Taille du journal
• Empêcher le groupe d’invités locaux d’accéder au journal
• Durée de stockage du journal
• Méthode de conservation du journal
Module 10 : Implémentation de modèles d’administration et d’une stratégie d’audit 65
Procédure de visualisation des événements des journaux
de sécurité
*********************DOCUMENT A L’USAGE EXCLUSIF DE L’INSTRUCTEUR********************
Les journaux de sécurité peuvent devenir assez volumineux, ce qui peut rendre
difficile la visualisation des journaux ou la recherche de types d’événements.
Vous pouvez configurer un filtre sur le journal pour afficher des types
d’événements spécifiques ou certains événements d’utilisateurs ou de groupes.
Pour filtrer les journaux de sécurité :
1. Dans l’arborescence de la console Observateur d’événements, cliquez avec
le bouton droit sur Sécurité, puis Propriétés, puis l’onglet Filtrer.
2. Dans la boîte de dialogue Propriétés de sécurité, définissez les critères de
filtrage, puis cliquez sur OK.
Pour afficher les journaux de sécurité :
1. Dans l’arborescence de la console Observateur d’événements, cliquez sur
Sécurité.
2. Le volet d’informations répertorie les événements de sécurité individuels.
Pour afficher d’autres informations sur un événement spécifique,
double-cliquez sur l’événement dans le volet d’informations.
Introduction
Procédure de filtrage
des journaux de sécurité
Procédure d’affichage
des journaux de sécurité
66 Module 10 : Implémentation de modèles d’administration et d’une stratégie d’audit
Application pratique : Gestion des informations des fichiers
journaux
*********************DOCUMENT A L’USAGE EXCLUSIF DE L’INSTRUCTEUR********************
Dans cette application pratique, vous effectuerez les tâches suivantes :
! configurer les propriétés des journaux de sécurité ;
! afficher les événements des journaux de sécurité.
Avant de commencer cette application pratique :
! Ouvrez une session sur le domaine en utilisant le compte
NomOrdinateurUser.
! Ouvrez CustomMMC à l’aide de la commande Exécuter en tant que.
Utilisez le compte d’utilisateur Nwtraders\NomOrdinateurAdmin (exemple :
LondonAdmin).
! Passez en revue les procédures de cette leçon qui décrivent la façon
d’effectuer cette tâche.
Objectif
Instructions
Module 10 : Implémentation de modèles d’administration et d’une stratégie d’audit 67
L’équipe de sécurité du réseau de Northwind Traders vous demande de définir
les propriétés de journal de sécurité ci-dessous sur votre serveur
NomOrdinateur :
! La taille maximale du journal doit être de 30 016 Ko.
! Le type de remplacement à appliquer est Ne pas remplacer les événements
(nettoyage manuel du journal).
Les membres de l’équipe vous demandent également de vérifier le journal de
sécurité pour savoir si la consignation des événements de sécurité est activée
sur le dossier D:\HR Reports.
! Configurer les propriétés du journal de sécurité
1. Changez la taille maximale du journal en définissant 30 016 Ko.
2. Changez le type de remplacement en sélectionnant l’option Ne pas
remplacer les événements (nettoyage manuel du journal).
! Vérifier si la consignation des événements de sécurité est activée sur le
dossier D:\HR Reports
1. Créez un filtre de journal de sécurité pour filtrer les types d’événements
suivants :
• Événements qui aboutissent et qui échouent
• Sécurité
• Accès aux objets
2. Parcourez le journal de sécurité pour identifier les événements qui ont
abouti et ceux qui ont échoué pour le dossier D:\HR Reports.
Scénario
Application pratique
68 Module 10 : Implémentation de modèles d’administration et d’une stratégie d’audit
Atelier A : Gestion des paramètres de sécurité
*********************DOCUMENT A L’USAGE EXCLUSIF DE L’INSTRUCTEUR********************
À la fin de cet atelier, vous serez à même d’effectuer les tâches suivantes :
! créer un modèle de sécurité personnalisé ;
! tester la configuration de votre ordinateur par rapport au modèle de sécurité
personnalisé ;
! déployer un modèle personnalisé en utilisant un objet de stratégie
de groupe ;
! configurer et tester l’audit de sécurité des unités d’organisation.
Avant de commencer cette application pratique :
! Ouvrez une session sur le domaine en utilisant le compte
NomOrdinateurUser.
! Ouvrez CustomMMC à l’aide de la commande Exécuter en tant que.
Utilisez le compte d’utilisateur Nwtraders\NomOrdinateurAdmin (exemple :
LondonAdmin).
! Vérifiez que CustomMMC dispose des composants logiciels enfichables
suivants :
• Modèles de sécurité
• Gestion des stratégies de groupe
• Configuration et analyse de la sécurité
• Utilisateurs et ordinateurs Active Directory
• Gestion de l’ordinateur (Local)
• Gestion de l’ordinateur (London)
Objectifs
Instructions
Durée approximative
de cet atelier :
35 minutes
Module 10 : Implémentation de modèles d’administration et d’une stratégie d’audit 69
Exercice 1
Création d’un modèle personnalisé
Dans cet exercice, vous allez créer un modèle de sécurité personnalisé.
Scénario
L’équipe de sécurité a fini de tester la sécurité de Northwind Traders. Elle vous a fourni les
caractéristiques que vous devez utiliser pour créer le modèle de sécurité personnalisé
NomOrdinateur Modèle de serveur.
Tâches Instructions spécifiques
1. Créer un modèle de sécurité
personnalisé.
" Nom du modèle de sécurité : NomOrdinateur Modèle de serveur
2. Activer les stratégies
d’audit.
" Activez les stratégies d’audit des échecs suivantes :
• Auditer les événements de connexion aux comptes
• Auditer les événements de connexion
" Activez les stratégies d’audit des aboutissements et des échecs
suivantes :
• Auditer la gestion des comptes
• Auditer l’accès aux objets
• Auditer les modifications de stratégie
• Auditer l’utilisation des privilèges
• Auditer les événements système
3. Définir les propriétés
du journal des événements.
" Définissez les propriétés suivantes pour les journaux d’événements :
• Définissez une taille maximale de 99 840 Ko pour le journal des
applications.
• Définissez une taille maximale de 99 840 Ko pour le journal
de sécurité.
• Stockez le journal de sécurité pendant 7 jours.
• Stockez le journal système pendant 7 jours.
4. Enregistrer le modèle. " Enregistrez le modèle NomOrdinateur Modèle de serveur.
70 Module 10 : Implémentation de modèles d’administration et d’une stratégie d’audit
Exercice 2
Test d’un modèle personnalisé
Dans cet exercice, vous allez comparer un modèle de sécurité personnalisé à la stratégie de sécurité
actuelle de votre serveur.
Tâches Instructions spécifiques
1. Créer une base de données
initiale de configuration et
d’analyse.
" Nom de la base de données : NomOrdinateur Test de sécurité
" Modèle : NomOrdinateur Modèle de serveur.inf
2. Analyser le serveur. " Nom du journal d’analyse : NomOrdinateur Test de sécurité.log
3. Vérifier les résultats
de l’analyse de la stratégie
d’audit.
" Entourer O si la configuration de l’ordinateur correspond à celle de la
base de données. Entourez N si la configuration de l’ordinateur est
différente de celle de la base de données.
• Auditer les événements de connexion aux comptes ( O / N )
• Auditer la gestion des comptes ( O / N )
• Auditer les événements de connexion ( O / N )
• Auditer l’accès aux objets ( O / N )
• Auditer les modifications de stratégie ( O / N )
• Auditer l’utilisation des privilèges ( O / N )
• Auditer les événements système ( O / N )
4. Vérifier les résultats
de l’analyse du journal des
événements.
" Entourer O si la configuration de l’ordinateur correspond à celle de la
base de données. Entourez N si la configuration de l’ordinateur est
différente de celle de la base de données.
• Taille maximale du journal des applications ( O / N )
• Taille maximale du journal de sécurité ( O / N )
• Durée de stockage du journal de sécurité ( O / N )
• Durée de stockage du journal système ( O / N )
Module 10 : Implémentation de modèles d’administration et d’une stratégie d’audit 71
Exercice 3
Déploiement d’un modèle personnalisé à l’aide d’un objet
de stratégie de groupe
Dans cet exercice, vous allez importer un modèle personnalisé dans un objet de stratégie de groupe
et déployer le modèle sur votre ordinateur. Vous testerez ensuite votre ordinateur pour déterminer si
vous avez reçu l’objet.
Tâches Instructions spécifiques
1. Créer et relier un objet de
stratégie de groupe.
" Unité d’organisation à lier à l’objet de stratégie de groupe :
Locations/NomOrdinateur/Computers
" Nom d’objet de stratégie de groupe : NomOrdinateur Paramètres
de sécurité
2. Importer un modèle de
sécurité dans un objet de
stratégie de groupe.
" Nom du modèle : NomOrdinateur Modèle de serveur.inf
3. Désactiver Bloquer
l’héritage.
" Développez toutes les unités d’organisation
de Locations/NomOrdinateur et désactivez le blocage de l’héritage
de toutes les unités d’organisation secondaires.
4. Vérifier que le compte
d’ordinateur correspond
à l’unité d’organisation
appropriée.
" Vérifiez que l’ordinateur NomOrdinateur figure dans l’unité
d’organisation Locations/NomOrdinateur/Computers.
" Si NomOrdinateur ne figure pas dans l’unité d’organisation
Locations/NomOrdinateur/Computers, placez-le dans cet endroit.
5. Mettre à jour les paramètres
de stratégie de groupe.
" Exécutez gpupdate /force.
6. Analyser la stratégie de
sécurité de l’ordinateur local.
" Exécutez Analyser l’ordinateur maintenant dans Configuration
et analyse de la sécurité.
7. Vérifier les résultats
de l’analyse.
" Entourer O si la configuration de l’ordinateur correspond à celle
de la base de données. Entourez N si la configuration de l’ordinateur est
différente de celle de la base de données.
• Auditer les événements de connexion aux comptes ( O / N )
• Auditer la gestion des comptes ( O / N )
• Auditer les événements de connexion ( O / N )
• Auditer l’accès aux objets ( O / N )
• Auditer les modifications de stratégie ( O / N )
• Auditer l’utilisation des privilèges ( O / N )
• Auditer les événements système ( O / N )
72 Module 10 : Implémentation de modèles d’administration et d’une stratégie d’audit
(suite)
Tâches Instructions spécifiques
8. Vérifier les résultats
de l’analyse du journal des
événements.
" Entourer O si la configuration de l’ordinateur correspond à celle de la
base de données. Entourez N si la configuration de l’ordinateur est
différente de celle de la base de données.
• Taille maximale du journal des applications ( O / N )
• Taille maximale du journal de sécurité ( O / N )
• Durée de stockage du journal de sécurité( O / N )
• Durée de stockage du journal système ( O / N )
Module 10 : Implémentation de modèles d’administration et d’une stratégie d’audit 73
Exercice 4
Configuration et test des audits de sécurité des unités
d’organisation
Dans cet exercice, vous allez configurer et tester les audits de sécurité des unités d’organisation.
Scénario
Northwind Traders veut configurer la sécurité dans les unités d’organisation
Locations/NomOrdinateur pour contrôler le groupe G IT Admins. Vous devez configurer et tester
l’audit des tentatives de suppression de comptes d’utilisateurs et d’ordinateurs qui échouent.
Tâches Instructions spécifiques
1. Effectuer l’audit d’une unité
d’organisation.
" Auditez l’unité d’organisation Locations/NomOrdinateur
" Supprimez les entrées d’audit héritées.
" Supprimez toutes les entrées d’audit non héritées.
" Auditez le groupe Tout le monde.
" Auditez les accès Suppr. des objets Ordinateur ayant échoué
" Appliquez la stratégie à Cet objet et tous les objets enfants
2. Essayer de supprimer
un compte d’ordinateur avec
un compte non autorisé.
" Outil : DSRM
a. Ouvrez une invite de commandes avec runas
b. runas /user:nwtraders\NomOrdinateurUser cmd
c. Mot de passe : P@ssw0rd
" Utilisez DSRM pour essayer de supprimer l’ordinateur NomOrdinateur.
• Dsrm CN=NomOrdinateur,OU=Computers,OU=NomOrdinateur,
OU=Locations,DC=nwtraders,DC=msft
" Vous devez obtenir le message d’erreur Accès refusé.
3. Filtrer le journal de sécurité
de London.
" Outil : Gestion de l’ordinateur (London)
" Filtrez la stratégie de sécurité pour :
• Types d’événements : Audit des échecs
• Source de l’événement : Security
• Catégorie : Accès au service d’annuaire
• Utilisateur : NomOrdinateurUser
74 Module 10 : Implémentation de modèles d’administration et d’une stratégie d’audit
Tâches Instructions spécifiques
Qu’est-ce que NomOrdinateurUser essayait de faire ?
Supprimer le compte d’ordinateur NomOrdinateur.
Inscription à :
Articles (Atom)