Sommaire

Audit Audit

L’audit dans un domaine Active Directory ou un groupe de travail permet de suivre les actions effectuées par les utilisateurs et les ordinateurs. En fonction des informations journalisées, l’administrateur pourra visualiser et corriger un problème, mais aussi détecter une intrusion et ainsi anticiper un nouveau type d’attaque.

Généralement, les événements des échecs sont plus instructifs que ceux liés aux réussites. Tout ne doit pas être audité, car l’utilisation de cette fonctionnalité entraîne une charge de traitement supplémentaire (CPU, RAM, espace disque) auprès des postes de travail, serveurs et contrôleurs de domaine.

Un attaquant ayant des privilèges administrateur pourra supprimer ses traces, donc les journaux répertoriant ses actions malveillantes : il peut être intéressant de séparer les rôles, en octroyant par exemple le droit à un compte de service de générer les événements sur un serveur distant dédié au stockage, mais ce compte ne pourrait pas les supprimer ou les modifier. Un compte d’audit aurait accès aux journaux en lecture à des fins d’expertise. Ces actions peuvent être effectuées grâce aux événements transmis (cf. chapitre Protection et récupération du système - Dépannage du système).

La stratégie d’audit ...