PG Software, distributeur historique des solutions ManageEngine en France, depuis 2004
Les incidents de sécurité sont en augmentation, il est donc crucial pour les entreprises de prendre les bonnes mesures pour se renforcer. Une stratégie d'audit Windows efficace garantit que les événements appropriés sont enregistrés pour chaque activité liée à la sécurité sur votre réseau. Un examen minutieux de ces événements peut vous aider à détecter une faille dès qu'elle se produit, limitant ainsi ses dégâts. Les données d'audit servent également de preuve pour l'analyse forensique à la suite d'un incident, et leur archivage garantit que votre entreprise se conforme aux mandats réglementaires. Voici sept recommandations en matière de stratégie d'audit pour vous aider à répondre à vos exigences de sécurité et de conformité.
Toute stratégie de gestion des journaux de sécurité doit inclure la surveillance des postes de travail. Si les serveurs et les contrôleurs de domaine font l'objet d'une surveillance stricte, il est impératif que les postes de travail soient également surveillés, car ils sont généralement le premier point d'entrée d'une faille. L'activation de stratégies d'audit sur tous vos postes de travail peut aider à identifier les failles de sécurité avant que vous ne subissiez trop de dommages.
Configurer la stratégie d'audit pour auditer chaque activité sur votre réseau peut rapidement inonder vos journaux de sécurité d'informations non pertinentes. Cela rend l'identification des événements critiques difficile pour les administrateurs. Veillez donc à ce que les événements les plus critiques, qui indiquent clairement des activités non autorisées et ne représentent pas de faux positifs, soient enregistrés en priorité.
Windows offre un choix binaire entre les neuf catégories de stratégies d'audit et les sous-catégories de stratégies d'audit avancées. Les sous-catégories sont préférables, car elles vous permettent de limiter le nombre d'événements de la catégorie correspondante, réduisant ainsi le risque. Configurez donc les sous-catégories pour un contrôle plus détaillé des événements à auditer.
Note: Pour éviter que les paramètres de catégorie d'audit traditionnels ne prennent le pas sur les sous-catégories, activez l'option de sécurité "Force audit policy subcategory settings (Windows Vista or later) to override the audit policy category settings security option", située sous Computer Configuration > Windows Settings > Security Settings > Local Policies > Security Options.
L'audit au niveau des objets vous permet de surveiller les modifications apportées à vos objets, fichiers et dossiers Active Directory (AD). Activez l'audit des objets de l'annuaire en configurant les listes de contrôle d'accès au système (SACL) en plus des stratégies d'audit et d'audit avancé. Cela garantit que les événements sont enregistrés chaque fois qu'une activité liée à un objet AD ou à un fichier se produit.
Toutes les activités ne justifient pas un audit des succès et des échecs. Par exemple, pour le paramètre *Audit File Share*, vous devez auditer à la fois les événements de réussite et d'échec pour suivre toutes les créations, suppressions, modifications et tentatives d'accès aux partages réseau. Cependant, pour le paramètre *Audit Detailed File Share*, vous pouvez activer uniquement l'audit des échecs pour identifier les tentatives d'accès non autorisées, car l'audit des événements réussis pour ce paramètre entraînera un volume élevé d'événements anodins. C'est pourquoi vous devez évaluer soigneusement les avantages et les inconvénients de la collecte des événements de réussite et/ou d'échec pour chaque sous-catégorie lors de la configuration de votre stratégie d'audit.
Les données d'audit collectées doivent être stockées et conservées pendant une période déterminée afin de respecter la réglementation. En fonction de votre stratégie d'audit, les données d'audit peuvent rapidement remplir votre espace disque. Définissez donc la taille de votre journal d'événements et les paramètres de rétention pour éviter les réécritures, et allouez suffisamment d'espace pour archiver les données d'audit après leur rétention.
Les modifications apportées à votre stratégie d'audit peuvent avoir un impact sur les performances de vos machines. Après avoir modifié les paramètres d'audit, utilisez le "Group Policy Results Wizard" pour afficher la liste des paramètres de stratégie d'audit qui seront appliqués. Affinez les paramètres si nécessaire avant de les mettre en place dans votre environnement AD.
L'utilisation d'outils natifs pour interpréter et analyser les informations contenues dans les journaux d'audit peut ralentir votre réponse forensique à une violation de sécurité. ADAudit Plus est un outil d'audit des changements basé sur l'analyse du comportement de l'utilisateur (UBA) qui vous aide à préserver la sécurité et la conformité de votre écosystème Windows Server en vous offrant une visibilité totale sur toutes les activités.
Télécharger un essai gratuit de 30 jours.