Le suivi de l’accès aux ressources contrôlées et des modifications apportées à une stratégie d’autorisation vous donne le moyen de dépister des problèmes potentiels de sécurité, vous aide à gérer les comptes des utilisateurs et apporte des preuves en cas de violation de la sécurité.

Types d’audit

Le Gestionnaire d’autorisations vous permet de faire appel à deux types d’audit : l’audit de l’exécution et l’audit des modifications apportées au magasin d’autorisations.

Audit de l’exécution

L’audit d’exécution présente deux aspects :

  • l’audit de l’initialisation des applications à l’exécution, qui génère des audits à l’ouverture d’une application ;

  • l’audit du contexte client et des vérifications d’accès à l’exécution, qui génère des audits lorsqu’un contexte client est créé et chaque fois que le client sollicite une vérification d’accès. Les vérifications d’accès s’appuient sur la méthode AccessCheck présentée dans la section Autorisation du Kit de développement Platform SDK. Pour plus d’informations sur les interfaces de programmation d’applications (API) liées aux autorisations, voir l’article sur les autorisations (éventuellement en anglais) (https://go.microsoft.com/fwlink/?linkid=64031).

Vous pouvez configurer l’audit de l’exécution de sorte qu’il consigne les réussites, les échecs ou les deux.

Audit des modifications apportées au magasin d’autorisations

Lorsque vous activez l’audit des modifications apportées au magasin d’autorisations, des audits sont générés à chaque modification du magasin d’autorisations. L’audit enregistre tous les événements, les réussites et les échecs.

Dans le cas de l’audit des modifications apportées au magasin d’autorisations, le Gestionnaire des autorisations prend en charge le système de fichiers NTFS (pour les magasins d’autorisations XML), les services de domaine Active Directory (AD DS), les service AD LDS (Active Directory Lightweight Directory Services) et Microsoft SQL Server.

Recherche des événements d’audit

Pour consulter les événements d’audit générés par le Gestionnaire d’autorisations, affichez les journaux d’événements sur l’ordinateur approprié :

  • Les événements d’audit d’exécution sont consignés dans le journal de sécurité de l’ordinateur client où l’application est en cours d’exécution,

  • Les événements d’audit des modifications du magasin d’autorisations sont consignés dans le journal de sécurité de l’ordinateur sur lequel réside le magasin.

    • Dans le cas d’un magasin d’autorisations XML, les enregistrements d’audit figurent dans l’Observateur d’événements de l’ordinateur sur lequel est stocké le fichier XML.

    • Dans le cas d’un magasin d’autorisations qui utilise les services AD DS ou AD LDS, ils se trouvent dans l’Observateur d’événements du contrôleur de domaine ou du serveur AD LDS auquel on accède.

    • Dans le cas d’un magasin d’autorisations SQL, ils figurent dans l’Observateur d’événements de l’ordinateur qui héberge SQL Server.

Disponibilité de l’audit

La disponibilité de l’audit dépend des conditions suivantes :

  • Si le magasin d’autorisations s’appuie sur AD DS, AD LDS, XML ou SQL.

  • Si l’audit est configuré au niveau du magasin d’autorisations, de l’application ou de l’étendue.

Le tableau suivant illustre la disponibilité des deux types d’audits :

Niveau L’audit de l’exécution est disponible dans Emplacement où l’audit de l’exécution peut être configuré L’audit des modifications apportées au magasin d’autorisations est disponible dans

Magasin d’autorisations

  • XML

  • AD DS et AD LDS

  • SQL Server
  • XML

  • Services AD DS et AD LDS

  • SQL Server
  • XML

  • Services AD DS et AD LDS

  • SQL Server

Application
  • XML

  • Services AD DS et AD LDS

  • SQL Server
  • XML

  • Services AD DS et AD LDS

  • SQL Server
  • Services AD DS et AD LDS

  • SQL Server

Étendue
  • XML

  • Services AD DS et AD LDS

  • SQL Server

Non disponible (configuré au niveau de l’application)
  • Services AD DS et AD LDS

  • SQL Server

Pour utiliser l’audit, vous devez activer la case à cocher correspondante sous l’onglet Audit. Pour activer l’audit de l’exécution, activez la case à cocher Audit de l’initialisation des applications à l’exécution. Pour activer l’audit des modifications apportées au magasin d’autorisations, activez la case à cocher Audit du contexte client et des vérifications d’accès à l’exécution.

Configuration du système de manière à autoriser l’audit

Avant de mettre un audit en place, vous devez décider de la stratégie d’audit à adopter. Une stratégie d’audit spécifie les catégories d’événements relatifs à la sécurité que vous souhaitez auditer. Par défaut, lorsque Windows est installé, toutes les catégories d’audit sont désactivées.

Pour indiquer l’application et les étendues à auditer, vous devez disposer du privilège Gérer le journal d’audit et de sécurité sur l’ordinateur sur lequel réside le magasin d’autorisations. Pour ce faire, vous pouvez généralement vous connecter en tant que membre du groupe Administrateurs intégré ou fournir le mot de passe d’un administrateur à l’invite.

Si le magasin d’autorisations est en XML, vous devez préciser l’audit d’accès aux objets. Si le magasin d’autorisations est basé sur les services de domaine Active Directory (AD DS) ou les services AD LDS (Active Directory Lightweight Directory Services), vous devez préciser l’audit d’accès aux services d’annuaires.

Pour générer des audits du contexte client et des vérifications d’accès à l’exécution, les utilisateurs d’applications qui utilisent le Gestionnaire d’autorisations doivent bénéficier du privilège Générer des audits de sécurité. Si les utilisateurs de l’application ne détiennent pas ce privilège, aucun événement d’audit n’est enregistré.

Activation de l’audit d’accès aux objets

L’audit de l’accès aux objets est désactivé par défaut. Pour l’activer, vous devez utiliser la stratégie de groupe au niveau du domaine, du contrôleur de domaine ou autre niveau d’unité d’organisation correspondant dans les services de domaine Active Directory (AD DS) ou les services AD LDS (Active Directory Lightweight Directory Services). Vous pouvez également utiliser la stratégie de sécurité locale.

Si le magasin d’autorisations XML se trouve sur un contrôleur de domaine, l’objet de stratégie de groupe Stratégie par défaut des contrôleurs de domaines est l’emplacement le plus adéquat pour activer l’audit de l’accès aux objets. Si le magasin d’autorisations XML se trouve sur une station de travail ou un serveur membre, modifiez l’objet de stratégie de groupe local de cet ordinateur pour définir la stratégie de sécurité locale, mais ces paramètres ne s’appliqueront qu’à la prochaine actualisation des paramètres de sécurité de la stratégie de groupe. Cette opération est utile si vous générez seulement les audits une fois. Cependant, si vous envisagez de générer des audits de sécurité régulièrement, modifiez un autre objet de stratégie de groupe qui s’applique à l’ordinateur par l’intermédiaire des services de domaine Active Directory.

Pour activer l’audit d’accès aux objets, configurez les objets suivants :

  • Pour un ordinateur local

    1. Ouvrez l’Éditeur de stratégie de groupe locale

    2. Dans l’arborescence de la console, double-cliquez sur Configuration ordinateur, Paramètres Windows, Paramètres ordinateur, Stratégies locale et Stratégie d’audit.

    3. Cliquez sur Auditer l’accès aux objets.

    4. Dans le volet d’informations, activez la case à cocher Définir ces paramètres de stratégie, la case à cocher Réussite, puis la case à cocher Echec.

  • Pour les contrôleurs de domaine seulement

    1. Cliquez sur Démarrer, pointez sur Tous les programmes, sur Outils d’administration, puis double-cliquez sur Stratégie de sécurité du contrôleur de domaine.

    2. Dans l’arborescence de la console, double-cliquez sur Configuration ordinateur, Paramètres Windows, Paramètres ordinateur, Stratégies locale et Stratégie d’audit.

    3. Cliquez sur Auditer l’accès aux objets.

    4. Dans le volet d’informations, activez la case à cocher Définir ces paramètres de stratégie, la case à cocher Réussite, puis la case à cocher Échec.

  • Pour un domaine ou une unité d’organisation

    1. Ouvrez la console de gestion des stratégies de groupe (GPMC, Group Policy Management Console).

    2. Cliquez avec le bouton droit sur l’objet de stratégie de groupe à auditer, puis cliquez sur Modifier.

    3. Dans l’arborescence de la console, double-cliquez sur Configuration ordinateur, Stratégies, Paramètres de sécurité, Stratégies locales et Stratégie d’audit.

    4. Cliquez sur Auditer l’accès aux objets.

    5. Dans le volet d’informations, activez la case à cocher Définir ces paramètres de stratégie, la case à cocher Réussite, puis la case à cocher Échec.

Considérations supplémentaires

  • Vous devez installer la Console de gestion des stratégies de groupe (GPMC) pour modifier les paramètres de stratégie basés sur les domaines. La Console de gestion des stratégies de groupe est une fonctionnalité supplémentaire dans Windows Server 2008 et que vous pouvez installer à l’aide du Gestionnaire de serveur.

  • Si vous modifiez l’objet de stratégie de groupe local, la case à cocher Définir ces paramètres de sécurité n’apparaît pas dans l’éditeur d’objet de stratégie de groupe locale. Elle n’apparaît que si vous modifiez les objets de stratégie de groupe stockés dans les services de domaine Active Directory.

  • Si les cases à cocher Réussite et Echec ne sont pas disponibles, cela signifie que la case à cocher Définir ces paramètres de sécurité a probablement été activée par le biais de la stratégie de sécurité à un niveau supérieur dans la structure AD DS. Vous devez alors vérifier si la case à cocher Définir ces paramètres de stratégie est activée et, si tel est le cas, la désactiver. Pour rechercher ce paramètre, cherchez dans les objets de stratégie de groupe correspondant à cet ordinateur.

Activation de l’audit d’accès à l’annuaire

L’audit d’accès aux services d’annuaire est désactivé par défaut. Pour l’activer, vous devez utiliser la stratégie de groupe au niveau du domaine, du contrôleur de domaine ou autre niveau d’unité d’organisation correspondant dans les services de domaine Active Directory.

Pour activer l’audit d’accès aux objets, développez les nœuds suivants : Configuration ordinateur, Paramètres Windows, Paramètres de sécurité, Stratégies locales, Stratégie d’audit, puis double-cliquez sur Auditer l’accès au service d’annuaire.

Activez la case à cocher Définir ces paramètres de sécurité, la case à cocher Réussite, puis la case Echec.

Considérations supplémentaires

  • Si les cases à cocher Réussite et Échec ne sont pas disponibles, cela signifie que la case à cocher Définir ces paramètres de sécurité a probablement été activée par le biais de la stratégie de sécurité à un niveau supérieur dans les services de domaine Active Directory. Vous devez alors vérifier si la case à cocher Définir ces paramètres de stratégie est activée et, si tel est le cas, la désactiver. Pour rechercher ce paramètre, cherchez dans les objets de stratégie de groupe correspondant au contrôleur de domaine.

  • Une fois les objets de stratégie de groupe modifiés, exécutez la commande gpupdate pour que les modifications prennent effet immédiatement.

Audit activé par l’héritage

Tout audit obtenu par héritage a lieu, indépendamment du paramétrage local. Par exemple, dans le cas d’un magasin d’autorisations stocké dans les services de domaine Active Directory, la stratégie d’audit peut être héritée d’une unité d’organisation parent dans les services de domaine Active Directory. Dans le cas d’un magasin d’autorisations XML, la stratégie d’audit correspondant au dossier contenant le fichier XML s’applique.

Table des matières