Cette page vous permet de créer une stratégie d’audit pour les serveurs de votre organisation. L’audit est le processus qui consiste à suivre les activités des utilisateurs et enregistrer des types sélectionnés d’événements dans le journal de sécurité. Une stratégie d’audit définit les types d’événements à collecter.

La collecte et le suivi des événements d’audit consomment de l’espace disque et d’autres ressources. Avant de sélectionner une stratégie d’audit, examinez les méthodes conseillées relatives à l’audit des événements de sécurité (https://go.microsoft.com/fwlink/?LinkId=92229).

Vous pouvez utiliser l’outil MOM (Microsoft Operations Manager) pour collecter des événements d’audit à partir de plusieurs serveurs dans un espace de stockage unique.

Le tableau suivant décrit chacun des trois objectifs de stratégie d’audit que vous pouvez sélectionner à l’aide de l’Assistant Configuration de la sécurité.

Objectif de stratégie d’audit Description Type d’événement d’audit et paramètres de stratégie

N’auditer aucun événement

Aucun événement n’est audité. Les cycles processeur et l’espace disque sont préservés de manière à optimiser les performances des autres processus.

Attention

Aucune information d’audit ne sera disponible pour détecter les intrusions, rechercher les tentatives d’accès non autorisées ou à quelque fin que ce soit.

Aucun

Effectuer un audit des activités exécutées sans échec

L’audit des activités exécutées sans échec permet de limiter les entrées dans le journal des événements en excluant les activités infructueuses. Utilisez cette option pour enregistrer uniquement les éléments auxquels les utilisateurs ont réellement accès et non ceux auxquels ils tentent d’accéder.

Remarques

Si seules les activités exécutées sans échec sont auditées, alors les tentatives d’intrusion non autorisées ne figureront pas dans le journal. Les tentatives d’intrusion non autorisées se caractérisent par le nombre important d’activités avec échec.

Auditer les événements de connexion aux comptes : Réussite, échec

Auditer la gestion des comptes : Réussite

Auditer l’accès au service d’annuaire : Réussite

Auditer les événements de connexion : Réussite, échec

Auditer l’accès aux objets : Réussite

Auditer les modifications de stratégie : Réussite

Auditer l’utilisation des privilèges : Non audité

Auditer le suivi des processus : Réussite

Auditer les événements système : Réussite, échec

Effectuer un audit des activités exécutées avec ou sans échec

Cela signifie que vous souhaitez utiliser les événements d’audit pour suivre les tentatives des utilisateurs d’accéder à des zones pour lesquelles ils n’ont pas d’autorisation, en plus de suivre les tâches exécutées avec succès.

Remarques

Ne sélectionnez pas l’option Effectuer un audit des activités exécutées avec ou sans échec sauf si vous examinez régulièrement les journaux de sécurité. Si des utilisateurs tentent d’accéder à une ressource pour laquelle ils ne disposent pas d’autorisation, ils peuvent rapidement saturer le journal de sécurité à cause du nombre important d’audits d’échec engendrés. Lorsque le journal de sécurité est plein, les entrées d’audit les plus anciennes sont remplacées.

Auditer les événements de connexion aux comptes : Réussite, échec

Auditer la gestion des comptes : Réussite, échec

Auditer l’accès au service d’annuaire : Réussite, échec

Auditer les événements de connexion : Réussite, échec

Auditer l’accès aux objets : Réussite, échec

Auditer les modifications de stratégie : Réussite, échec

Auditer l’utilisation des privilèges : Non audité

Auditer le suivi des processus : Réussite, échec

Auditer les événements système : Réussite, échec

Références supplémentaires

Table des matières