Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

ANNEE 2018/2019 AUDIT ET SECURITE SOUS WINDOWS SERVER 2012 1 INTRODUCTION L’inf

ANNEE 2018/2019 AUDIT ET SECURITE SOUS WINDOWS SERVER 2012 1 INTRODUCTION L’informatique qui est en plein expansion et qui est de plus en plus adopté par la plupart des entreprises pour la gestion des données, la sauvegarde, les gestions des opérations arithmétique, nécessite plus de sécurité serveurs pour la protection de ces données sensible que ce soit en terme de limitation d’accès ou de cryptage de l’information. Malgré le fait qu’il existe des fonctionnalités dans les Microsoft qui permettent d’implémenter la sécurité dans un réseau notamment WSUS, NAP ; les systèmes Windows conçus par Microsoft intègre déjà une politique sécurité par défaut, ce qui fera l’objet de notre exposé. I-DEFINITION L'audit répertorie les points forts, et surtout les points faibles (vulnérabilités) de tout ou partie du système. L'auditeur dresse également une série de recommandations pour supprimer les vulnérabilités découvertes. L'audit est généralement réalisé conjointement à une analyse de risques, et par rapport au référentiel. II-FONCTIONNEMENT DE L’AUDIT Un journal d'audit enregistre une entrée à chaque fois qu'un utilisateur effectue certaines actions spécifiées. Par exemple, la modification d'un fichier ou d'une stratégie peut entraîner la création d'une entrée d'audit montrant l'action exécutée, le compte utilisateur associé, ainsi que la date et l'heure de l'action. Vous pouvez consigner les actions ayant abouti et les tentatives ayant échoué. L'état du système d'exploitation et des applications sur un ordinateur est dynamique. Par exemple, les niveaux de sécurité peuvent être provisoirement modifiés pour résoudre un problème d'administration ou de réseau. Cependant, après ce type de modification, il est fréquent que le paramétrage précédent ne soit jamais rétabli, par oubli. Si les niveaux de sécurité ne sont pas correctement réinitialisés, un ordinateur ne peut plus satisfaire aux exigences de sécurité de l'entreprise. Des analyses de sécurité régulières permettent aux administrateurs de contrôler et de déterminer que les mesures de sécurité adéquates sont mises en œuvre pour chaque ordinateur dans le cadre d'un programme de gestion des risques de l'entreprise. Ces analyses obéissent à des critères extrêmement spécifiques et les résultats fournissent des informations sur tous les aspects liés à la sécurité. Les administrateurs peuvent ensuite utiliser ces éléments pour ajuster les niveaux de sécurité. Plus important encore, ces informations peuvent aider à déceler toute faille de sécurité qui pourrait survenir au niveau de l'ordinateur à un moment ou à un autre. III-IMPORTANCE DES AUDITS DE SECURITE POUR UNE ENTREPRISE Les audits de sécurité jouent un rôle extrêmement important dans n'importe quel réseau d'entreprise, car les journaux d'audit sont parfois le seul élément permettant de déceler une faille de sécurité. Si la faille est découverte par d'autres moyens, les journaux d'audit vous fourniront des informations importantes, à condition que les paramètres d'audit aient été correctement configurés. Les journaux des échecs sont souvent beaucoup plus instructifs que les journaux des succès, car les échecs révèlent généralement la présence d'erreurs. Par exemple, une ouverture de session réussie sur un ordinateur par un utilisateur serait généralement considérée comme normale. Cependant, si quelqu'un essaie à plusieurs reprises d'ouvrir sans succès une session sur un ordinateur, cela peut indiquer qu'un attaquant tente de pénétrer dans l'ordinateur avec les informations d'identification de compte de quelqu'un d'autre. Les journaux d'événements enregistrent les événements sur l'ordinateur. Dans les systèmes d'exploitation Microsoft® Windows®, il existe des journaux d'événements distincts pour les applications, la sécurité et le système. Le journal de sécurité enregistre les événements d'audit. Le conteneur du journal des événements de la stratégie de groupe permet de définir les attributs associés aux journaux des événements Application, Sécurité et Système ; notamment la taille maximale, les droits d'accès, ainsi que les paramètres et les méthodes appliqués à leur conservation. Ce guide inclut un classeur Microsoft Excel, « Windows Default Security and Services Configuration » (Configuration des services et de la sécurité par défaut Windows), qui détaille les paramètres par défaut. Les options disponibles pour chaque paramètre d'audit sont les suivantes : Succès. Une entrée d'audit est générée lorsque l'action demandée réussit. Échec. Une entrée d'audit est générée lorsque l'action demandée échoue. Pas d'audit. Aucune entrée d'audit n'est générée pour l'action associée. IV-CONTRAINTES DU PROCESSUS D’AUDIT Avant la mise en œuvre de tout processus d'audit, une entreprise doit déterminer le mode de collecte, de classement et d'analyse des données. Les grandes quantités de données d'audit présentent peu d'intérêt s'il n'existe aucun plan sous-jacent pour les exploiter. De plus, les paramètres d'audit peuvent avoir un impact sur les performances de l'ordinateur. L'effet d'une combinaison de paramètres donnée peut être négligeable sur l'ordinateur de l'utilisateur, mais tout à fait perceptible sur un serveur occupé. Par conséquent, n'hésitez pas à réaliser quelques tests de performance avant de déployer de nouveaux paramètres d'audit dans votre environnement de production. a-VULNERABILITE Si aucun paramètre d'audit n'est défini, il est alors difficile, voire impossible, d'identifier l'origine d'un incident lié à la sécurité. Dans le cas contraire, si les paramètres d'audit sont configurés de sorte que de trop nombreuses activités autorisées génèrent des événements, le journal d'événements de sécurité regorgera de données superflues. Vous pouvez également affecter les performances générales de l'ordinateur si vous configurez des paramètres d'audit pour un grand nombre d'objets. b- CONTRE-MESURES Vous devriez activer des paramètres de stratégie d'audit rationnels sur tous les ordinateurs de votre entreprise afin que les utilisateurs soient responsables de leurs actes et que toute activité non autorisée puisse être détectée et tracée. V-AVANTAGES ET INCONVENIENT DE L’AUDIT ET SECURITE 1-AVANTAGES - Permet de suivre avec précision des activités spécifiques effectuées dans l’entreprise. - Permet de réagir à une attaque - Permet de se faire une bonne idée du niveau de sécurité du SI - Permet tester la mise en place effective de la PSSI - Permet de tester un nouvel équipement - évaluer l'évolution de la sécurité (implique un audit périodique) 2-INCONVENIENT - Augmentation sur le temps de latence - Nécessite une haute compétence pour l’implémentation VI-QUELQUES EXEMPLES D’AUDITS 1-AUDITER LES EVENEMENTS DE CONNEXION AUX COMPTES Ce paramètre de stratégie détermine s'il convient d'auditer chaque connexion et déconnexion d'un utilisateur à un ordinateur autre que celui qui enregistre l'événement et valide le compte. Si vous configurez ce paramètre de stratégie, vous pouvez choisir d'auditer les succès, les échecs ou de ne pas auditer du tout ce type événement. Les audits des succès génèrent une entrée d’audit à chaque fois qu'une tentative d’ouverture de session aboutit. Ces informations peuvent servir à fins de comptabilisation et de recherche de preuves après incident, car elles permettent d'identifier les utilisateurs ayant ouvert une session sur l'ordinateur. Les audits des échecs génèrent une entrée d'audit à chaque fois qu'une tentative d'ouverture de session de compte échoue. Ces informations sont utiles pour la détection des intrusions. Cependant, ce paramètre de stratégie peut également conduire à une condition favorable à une attaque par déni de service. Si le paramètre Audit : Arrêter immédiatement le système s'il n'est pas possible de se connecter aux audits de sécurité est activé, un attaquant peut générer des millions d'échecs de connexion, saturer le journal des événements de sécurité et forcer l'ordinateur à s'arrêter. Si vous configurez le paramètre Auditer les événements de connexion aux comptes sur Succès sur un contrôleur de domaine, le journal consigne une entrée à chaque fois qu'un utilisateur est validé par rapport à ce contrôleur de domaine, même si l'utilisateur ouvre en fait une session sur un poste de travail ou un serveur relié au domaine. 2-AUDITER LA GESTION DES COMPTES Ce paramètre de stratégie détermine s'il convient d'auditer chaque événement de gestion de compte sur un ordinateur. Exemples d'événements de gestion de compte : Un compte utilisateur ou un groupe est créé, modifié ou supprimé. Un compte utilisateur est renommé, désactivé ou activé. Un mot de passe est défini ou modifié. Si vous configurez le paramètre Auditer la gestion des comptes, vous pouvez choisir d'auditer les succès, les échecs ou de ne pas auditer du tout ce type événement. Les audits des succès génèrent une entrée d'audit à chaque fois qu'un événement de gestion de compte réussit. Il est recommandé de les activer sur tous les ordinateurs de l'entreprise. Pour répondre aux incidents de sécurité, il est primordial que les entreprises soient en mesure de déterminer qui a créé, modifié ou supprimé un compte. Les audits des échecs génèrent une entrée d'audit à chaque fois qu'un événement de gestion de compte échoue. 3-AUDITER L'ACCES AU SERVICE D'ANNUAIRE Ce paramètre de stratégie détermine s'il convient d'auditer l'accès d'un utilisateur à un objet Active Directory® pour lequel une liste de contrôle d'accès système (SACL) associée est définie. Une liste de contrôle d'accès système (SACL) indique les utilisateurs et les groupes dont les actions sur un objet doivent être auditées sur un réseau Microsoft Windows. Si vous configurez le paramètre Auditer l'accès au service d'annuaire, vous pouvez choisir d'auditer les réussites, les échecs ou de ne pas auditer du tout ce type événement. Les audits des succès génèrent une entrée d'audit à chaque fois qu'un utilisateur réussit à accéder à un objet Active Directory pour lequel une liste SACL est définie, ce qui indique que uploads/Management/ hcia.pdf