Comment procéder à la surveillance de journaux d’évènements de sécurité du réseau
Description
Comment procéder à la surveillance de journaux d’évènements de sécurité du réseau Utilisez GFI LANguard S.E.L.M. pour la détection d’intrusions et l’audit essentiel des journaux d’évènements de sécurité Ce livre blanc explique les besoins de surveillance des journaux d’évènement de sécurité de réseau et comment vous pouvez y parvenir en utilisant GFI LANguard S.E.L.M. Ce document fut écrit par Randy Franklin Smith, auteur de la série complète sur les journaux d’événements de sécurité sur NT/2000 pour Windows 2000 et .NET Magazine. WWW.GFSFRANCE.COM Comment procéder à la surveillance de journaux d’évènements de sécurité du réseau • 2 Introduction Les machines Microsoft Windows ont des fonctions d’audit mais ne sont pas vraiment capables de répondre aux vrais besoins des entreprises (par ex., la surveillance des ordinateurs Windows en tant réel, l’analyse périodique des activités de sécurisation, et conserver les traces d’un audit à long terme). Il y a donc un besoin réel pour un utilitaire de détection et d’analyse d’intrusions basées sur les journaux tel que GFI LANguard Security Event Log Monitor (S.E.L.M.). Ce livre explique comment, tout en restant rentable, l'architecture innovatrice de GFI LANguard S.E.L.M. peut combler les lacunes dans la fonctionnalité de journalisation d'événements de nature sécuritaire sous Windows sans en affecter la performance. Il parle de l'utilisation de GFI LANguard S.E.L.M. qui met en place un ...
Sujets
Informations
| Publié par | Bavem |
| Nombre de lectures | 102 |
| Langue | Français |
Extrait
Comment procéder à la surveillance de journaux d’évènements de sécurité du réseau
Utilisez GFI LANguard S.E .L.M. pour la détection d’intrusions et l’audit essent iel des journaux d’évènements de sécurité
Ce livre blanc explique les besoins de surveillance des journaux d’évènement de sécurité de réseau et comment vous pouvez y parvenir en utilisant GFI LANguard S.E.L.M. Ce document fut écrit par Randy Franklin Smith, auteur de la série complète sur les journaux d’événements de sécurité sur NT/2000 pour Windows 2000 et .NET Magazine.
WWW.GFSFRANCE.COM
Comment procéder à la surveillance de journaux d’évènements de sécurité du réseau • 2
Introduction Les machines Microsoft Windows ont des fonctions d’audit mais ne sont pas vraiment capables de répondre aux vrais besoins des entreprises (par ex., la surveillance des ordinateurs Windows en tant réel, l’analyse périodique des activités de sécurisation, et conserver les traces d’un audit à long terme). Il y a donc un besoin réel pour un utilitaire de détection et d’analyse d’intrusions basées sur les journaux tel que GFI LANguard Security Event Log Monitor (S.E.L.M.). Ce livre explique comment, tout en restant rentable, l'architecture innovatrice de GFI LANguard S.E.L.M. peut combler les lacunes dans la fonctionnalité de journalisation d'événements de nature sécuritaire sous Windows sans en affecter la performance. Il parle de l'utilisation de GFI LANguard S.E.L.M. qui met en place un système de « bonnes pratiques » et répond parfaitement aux exigences des auditeurs et des organismes de régulation, et offre des stratégies pour profiter au maximum des capacités de GFI LANguard S.E.L.M. A propos de l’auteur : ce livre blanc fut écrit par Randy Franklin Smith, un gourou bien connu de la surveillance de journaux d’évènements Windows et auteur de la série d’articles sur la sécurité de journaux Windows pour Windows 2000 & .NET Magazine. Introduction....................................................................................................................................2 Comment fonctionne GFI LANguard S.E.L.M ...............................................................................2 Promptitude des analyses .............................................................................................................6 Stratégies de maximalisation des valeurs .....................................................................................6 Le bon choix de niveaux de sécurité pour les ordinateurs ............................................................6 Equilibre de la consommation des ressources et des alertes opportunes....................................7 Assurer la maintenance et l’intégrité du journal de sécurité .........................................................8 L’audit d’accès aux fichiers pour une sécurisation interne............................................................9 Détection d’intrusion de serveur Web et de modifications ..........................................................11 Les administrateurs rendus responsables ..................................................................................11 La création d’un suivi à long terme de l’audit ..............................................................................12 Conclusion...................................................................................................................................12 A propos de GFI Software ...........................................................................................................13
Comment fonctionne GFI LANguard S.E.L.M Vue d’ensemble de l’architecture GFI LANguard Security Event Log Monitor (S.E.L.M.) permet de détecter une intrusion et de d’effectuer un rapport de sécurité de réseau en surveillant les journaux d’évènements de sécurité de tous les serveurs et de toutes les stations Windows 2000/NT/XP/2003. Il vous prévient en temps réel des éventuelles intrusions et des attaques. Pour assurer une bonne intégration à l’environnement Windows, GFI LANguard S.E.L.M. se
WWW.GFSFRANCE.COM
Comment procéder à la surveillance de journaux d’évènements de sécurité du réseau • 3
sert des technologies Windows standard telles que Microsoft Messaging Queuing (MSMQ), Microsoft Management Console (MMC), Microsoft Windows Installer, et Open Database Connectivity (ODBC). L’implémentation de la surveillance de réseau avec GFI LANguard S.E.L.M. est très facile car vous n’avez pas besoin d’installer de logiciel sur chaque ordinateur que vous désirez surveiller. Il suffit aux administrateurs d’installer GFI LANguard S.EL.M. sur l’ordinateur hôte, et ensuite d’enregistrer tous les systèmes à surveiller. L’Agent Collecteur du produit se base ensuite sur les Win32 API natifs pour récupérer les évènements des ordinateurs surveillés. Cet agent enregistre ces évènements sur une base de données Microsoft Access ou sur un serveur Microsoft SQL. Cette architecture ODBC permet aux administrateurs d’utiliser les utilitaires de rapport standards tels que Crystal Decision’Crystal Reports, pour créer des rapports personnalisés. Ensuite, l’Agent d’alertes de GFI LANguard S.E.L.M. compare les évènements récupérés au tableau de Règles de Catégorisation, et les classes selon le niveau de sécurité, faible, moyen, élevé, critique. L’Agent d’Alertes envoie une notification d’évènements critiques à une adresse email de l’administrateur configuré (par ex., un pager) pour l’informer immédiatement des tentatives éventuelles d’intrusions. Pour chaque ordinateur surveillé, l’administrateur peut spécifier la fréquence des collections d’évènements, identifier les temps d’activité normale, et préciser le niveau de sécurité d’un ordinateur (faible, moyen ou élevé). Le paramétrage du niveau de sécurité permet à l’agent d’interpréter comme plus sévère n’importe quel évènement suspect survenu sur les systèmes qui possèdent des informations ou des procédés plus sensibles, réduisant ainsi le taux de faux positifs rapportés à l’administrateur. Ces derniers peuvent se servir du visualisateur d’évènements avancé de GFI LANguard S.E.L.M. ou du GFI LANguard S.E.L.M. Reporter pour effectuer des analyses régulières de tous les évènements de sécurité. Pour assurer un équilibre entre la consommation des ressources et les alertes opportunes, les administrateurs peuvent préciser une fréquence de récupération pour chaque ordinateur. L’Agent d’Archivage déplace régulièrement les anciennes activités enregistrées sur la base de données active vers une archive pour un enregistrement à long terme. GFI LANguard S.E.L.M. utilise les technologies MSMQ pour obtenir une communication de haute qualité entre ses agents internes. Surveillance en temps réel & catégorisation des évènements de sécurité Au coeur des possibilités intelligentes d’alertes de GFI LANguard S.E.L.M. se trouve le nœud des Règles de Traitement des Evènements de la console MMC de configuration de GFI LANguard S.E.L.M.
WWW.GFSFRANCE.COM
Comment procéder à la surveillance de journaux d’évènements de sécurité du réseau • 4
La console MMC de configuration de GFI LANguard S.E.L.M. Les règles de catégorisation de sécurité par défaut de GFI LANguard S.E.L.M. sont conçues pour reconnaître et prévenir l’administrateur des évènements de sécurité importants tout en évitant de le déranger avec des fausses alarmes. Les règles permettent à GFI LANguard S.E.L.M. de rechercher des signes rapporteurs tels que des évènements qui se passent à des heures inhabituelles ou sur des ordinateurs sous haute surveillance. Les évènements à plus faible priorité ne déclenchent pas d’alerte immédiate mais sont toujours disponibles pour l’analyse quotidienne ou hebdomadaire de l’administrateur. GFI LANguard S.E.L.M. catégorise chaque évènement par niveau de sécurité, faible, moyen, élevé ou critique. Pour se faire le produit analyse l’identité de l’évènement (par ex., l’identité de l’évènement qui correspond à une connexion échouée, un verrouillage de compte, un accès au fichier) et les caractéristiques y compris le Système d’Exploitation, le rôle du domaine, le niveau de sécurité et les heures de traitement normales de l’ordinateur sur lequel l’évènement s’est passé, et ensuite applique les règles de catégorisation à cette information. Les administrateurs peuvent paramétrer les règles de traitement de GFI LANguard S.E.L.M. selon les caractéristiques spécifiques de leur réseau. Catégorisation basée là où l’évènement a été récupéré GFI LANguard S.E.L.M. traite les différences obscures de la même façon que Windows NT et Windows 2000/XP/2003 enregistrent les évènements, en s’adaptant à la version particulière du système d’exploitation sur lequel il est exécuté. Il peut aussi distinguer la différence entre les stations de travail, les membres du serveur et les contrôleurs de domaine. Il interprète également différemment un évènement selon le rôle du domaine de l’ordinateur.
WWW.GFSFRANCE.COM
Comment procéder à la surveillance de journaux d’évènements de sécurité du réseau • 5
Prenez comme exemple les connexions de réseau pour comprendre pourquoi le produit doit pouvoir différencier les rôles des systèmes d’exploitation et des domaines. Lorsque quelqu’un se connecte à un ordinateur à travers le réseau (par ex. en accédant à un dossier de partages), Windows NT enregistre l’identité de l’évènement sous ID 528 avec une connexion de type 2, alors que Windows 2000 l’enregistre sous ID 540. De part le fait que GFI LANguard S.E.L.M. prend en considération le système d’exploitation, il peut identifier correctement l’identité de l’évènement, selon qu’il apparaît sur un système Windows NT ou 2000/XP/2003. Les connexions de réseau à des contrôleurs de domaines ou de serveurs sont communes et ne doivent pas être considérées comme suspectes lors des heures ouvrables habituelles. Cependant, les utilisateurs n’ont, en général, pas besoin d’avoir accès aux ressources des stations de travail des autres utilisateurs. Les connexions de réseau à des stations de travail doivent au contraire être considérées comme suspectes car les attaqueurs qui obtiennent un accès distant à une station de travail peuvent prendre l’identité de l’utilisateur de cette station et se servir de ses coordonnées pour avoir accès à d’autre serveurs sur le réseau. Par conséquent, GFI LANguard S.E.L.M. considère les connexions de réseau à des stations de travail comme étant plus graves que les connexions réseau à des contrôleurs ou des serveurs de domaine. Surveillance des stations de travail ainsi que des serveurs sur l’ensemble du réseau Puisque la sécurisation de Windows est repartie sur tous les ordinateurs dans le domaine, des déploiements vastes de GFI LANguard S.E.L.M. obtiennent le plus de résultats. En faisant en sorte que GFI LANguard S.E.L.M. surveille toutes les stations de travail, tous les serveurs membres et tous les contrôleurs de domaine sur un réseau, le produit peut établir une sécurisation plus complète. Dans le cas d’un déploiement plus vaste, la catégorisation des règles de GFI LANguard S.E.L.M. reconnaît des scénarios bien plus spécifiques, y compris : • Echec de connexions • Verrouillage des comptes • Création de compte après heures ouvrables et changements d’appartenance à un groupe • Connexions hors des heures ouvrables à des systèmes sous haute surveillance • Accès aux stations de travail des utilisateurs par le biais de connexions réseau • Changements de stratégies d’audit • Suppression des journaux de sécurité • Accès refusé ou accepté à un fichier (y compris l’accès à des noms de fichiers précis). Un évènement peut être interprété de plusieurs façons, selon les circonstances. De ce fait, lorsque GFI LANguard S.E.L.M. catégorise un évènement, le produit ajoute une description qui explique la décision de catégorisation. Celle-ci explique aussi la signification de l’évènement et recommande à l’administrateur des mesures à prendre pour qu’il puisse confirmer et réagir
WWW.GFSFRANCE.COM
Comment procéder à la surveillance de journaux d’évènements de sécurité du réseau • 6
face à la situation. Par défaut, GFI LANguard S.E.L.M. rapporte les évènements critiques par le biais de la messagerie SMTP, mais les administrateurs peuvent choisir que la notification soit faite à un niveau de sécurité d’évènement plus faible. Pour garder le contrôle des évènements de sécurité faibles non « déclarés », les administrateurs peuvent suivre les recommandations de la section d‘analyses appropriées ci-dessous
Promptitude des analyses Pour satisfaire les demandes de révision des contrôles généraux des auditeurs et des agences de réglementation ( Sarbanes-Oxley Act ! ), les entreprises devraient implémenter un contrôle complémentaire en temps réel avec révision régulière des évènements de sécurité faibles. Afin d’aider les administrateurs à suivre cette recommandation sans y passer tout leur temps, GFI LANguard S.E.L.M. contient plusieurs rapports types préconçus. Les administrateurs peuvent assurer un suivi des évènements à chaque niveau de sévérité en ouvrant les rapports d’Evènements de Haute Sécurité d’Hier, les Evènements de Sécurité Moyenne de la Semaine Dernière, et les Evènements de Sécurité Faible du Mois Dernier. Cela peut se faire de façon quotidienne, hebdomadaire ou mensuelle. Des rapports supplémentaires laissent les administrateurs passer en revue les activités du jour ou les évènements de sécurité moyenne-faible, plus fréquemment.
Stratégies de maximalisation des valeurs GFI LANguard S.E.L.M. offre une option de gestion de journaux d’évènements plus flexible, mais lors du déploiement du produit, il est important de prendre en considération les besoins individuels des entreprises et de faire en sorte que les alertes de faux positifs soient minimales. Lors du déploiement de GFI LANguard S.E.L.M., l’administrateur doit bien évaluer le niveau de sécurité de ses ordinateurs, le potentiel des performances en relation avec l’actualisation des alertes, et les scénarios de risques pour son environnement.
Le bon choix de niveaux de sé curité pour les ordinateurs C’est à l’administrateur de sélectionner le bon niveau de sécurité pour chaque ordinateur à surveiller. Lors de l’enregistrement des stations de travail, l’administrateur doit prendre en considération l’utilisateur assigné à chaque station. Les stations des utilisateurs qui ont accès à des ressources importantes les administrateurs, par exemple et les utilisateurs qui mènent des transactions financières doivent être configurés sous haute sécurité. D’autres stations qui peuvent être classées sous haute sécurité sont celles qui sont situées dans la sale des ordinateurs et celles qui accueillent des procédés critiques, tels que le système d’accès physique de l’entreprise. Les stations de travail des utilisateurs qui ont un accès limité aux informations ou aux procédés critiques doivent être configurés sous un niveau de sécurité
WWW.GFSFRANCE.COM
Comment procéder à la surveillance de journaux d’évènements de sécurité du réseau • 7
faible. La classe de sécurité moyenne peut être utilisée pour les stations des utilisateurs types qui se trouvent entre ces deux extrémités. Etant donné le rôle important des contrôles en matière de sécurité, les administrateurs doivent classer ces ordinateurs sous le groupe de sécurité moyenne ou élevée. Généralement, les ordinateurs dans la zone démilitarisée (DMZ) par ex., les passerelles de messagerie et les serveurs Web doivent être classés sous le niveau de sécurité élevée, tout comme les serveurs où sont enregistrées les données des ressources humaines, financières et de recherche et de développement. Les serveurs d’application et les bases de données comportent normalement des informations et des procédés importants et doivent être classés sous un niveau de sécurité moyen ou élevé. Les niveaux de sécurité faible et moyen doivent être utilisés pour les serveurs qui contiennent les informations générales des départements. Les entreprises qui possèdent déjà un système de classification d’informations de sécurité peuvent l’utiliser pour déterminer les stations de travail des utilisateurs et les serveurs qui comportent des données confidentielles.
Equilibre de la consommati on des ressources et des alertes opportunes La fréquence à laquelle GFI LANguard S.E.L.M. récupère les données de chaque ordinateur surveillé a un impact sur l’utilisation de l’unité centrale des machines et sur l’ensemble de la bande passante du réseau. Bien entendu, plus le niveau de sécurité d’un ordinateur est élevé, plus l’ordinateur sera surveillé. Le rôle de la machine affectera aussi la fréquence de récupération des données. Une station de travail sous haute sécurité, par exemple, est normalement moins importante qu’un serveur sous haute sécurité. Le tableau ci-dessous établit les fréquences de récupération recommandées selon le rôle du domaine et le niveau de sécurité du système. Etant donné le grand nombre de stations de travail dans la plupart des entreprises, consulter les stations de travail moins souvent vous fera économiser de la bande passante. Rôle Contrôleur de domaine Serveur membre Station de travail
Niveau de sécurité Elevé Moyen Faible Elevé Moyen Faible Elevé
Fréquence récupération 1 minute 5 minutes 15 minutes 1 minute 5 minutes 1 heure 5 minutes
de
WWW.GFSFRANCE.COM
Comment procéder à la surveillance de journaux d’évènements de sécurité du réseau • 8
Moyen Faible Fréquences de récupération conseillées
6 heures 1 journée
Assurer la maintenance et l’intégrité du journal de sécurité En principe, une attaque automatique bien orchestrée sur un système dont la configuration n’est pas au point pourrait permettre à un intrus d’acquérir l’autorité d’un administrateur sur l’ordinateur, lui donnant ainsi la possibilité de nettoyer le journal avant que GFI LANguard S.E.L.M. n’entame la prochaine récupération. Cependant, Windows enregistre soigneusement un évènement précis pour lequel le journal serait vide même quand l’audit a été désactivé et par défaut, GFI LANguard S.E.L.M. classe cet évènement comme critique sur chaque système. Donc, prenez bien note de ne jamais vider manuellement un journal sur les ordinateurs surveillés par GFI LANguard S.E.L.M. (Cela est la meilleure chose à faire dans beaucoup de cas car les journaux ne sont ainsi jamais perdus et cela préserve ainsi les responsabilités parmi les administrateurs.) Par défaut, GFI LANguard vide automatiquement le journal de sécurité chaque fois que le programme récupère des évènements, donc le nettoyage manuel du journal n’est pas nécessaire. Windows demande une configuration maximum de la taille du journal pour chaque ordinateur. Lorsque la limite est atteinte, le système d’exploitation interrompt l’activité de journalisation. Donc, si le journal est complet entre deux récupérations de GFI LANguard S.E.L.M., une activité importante pourrait être perdue. Les administrateurs doivent configurer la taille du journal de sécurité du système au maximum selon la fréquence de récupération de GFI LANguard S.E.L.M. pour l’ordinateur concerné et la totalité de l’activité sur l’ordinateur. Pour des systèmes avec une fréquence de récupération élevée de GFI LANguard S.E.L.M., même un journal extrêmement petit n’aura pas la possibilité de se remplir. Cependant, vue les capacités de mémoire des disques aujourd’hui, il est inutile de paramétrer un journal de petite taille. Les administrateurs peuvent supprimer toute incertitude simplement en utilisant un journal d’évènement de taille standard de Windows de 5 à 10 Mo. Dans un environnement Active Directory, les administrateurs peuvent facilement utiliser un Group Policy Object (GPO), lié au domaine racine, pour configurer les ordinateurs sous Windows 2000 avec une taille de journal standard. Les administrateurs doivent configurer manuellement les ordinateurs Windows NT ainsi que les ordinateurs Windows 2000 qui ne sont pas gérés par AD. Windows peut être configuré de façon à ce que le système se plante lorsque le journal de sécurité est plein. Pour des ordinateurs critiques sous haute sécurité ou pour respecter les conditions d’audit (par ex., sur des systèmes qui contrôlent les virements télégraphiques), ce paramétrage peut être nécessaire. Toutefois, pour minimiser la possibilité d’un tel plantage, les
WWW.GFSFRANCE.COM
Comment procéder à la surveillance de journaux d’évènements de sécurité du réseau • 9
administrateurs doivent paramétrer un enregistrement de grande taille et un court intervalle de récupération de GFI LANguard S.E.L.M. de façon à garantir que l’ordinateur ne traite pas suffisamment d’activité pour remplir le journal avant la prochaine récupération de GFI LANguard S.E.L.M.
L’audit d’accès aux fichiers pour une sécurisation interne Le système d’audit de fichiers de Windows permet aux administrateurs d’activer l’audit sur les fichiers sélectionnés pour des types d’accès précis. L’audit de fichiers de Windows est très utile pour la surveillance des accès aux documents des utilisateurs tels que Microsoft Excel et les fichiers Microsoft Word. Cependant, ce type d’audit peut aussi être utilisé pour surveiller les changements sur des dossiers qui contiennent des exécutables ou les tentatives non autorisées d’accès aux fichiers de base de données. Les administrateurs peuvent auditer les tentatives échouées ou réussies d’ouverture de fichier ou de dossier pour une lecture seule, une écriture, une suppression et autres types d’accès. (Pour surveiller les changements d’un objet, activez l’audit pour les écritures réussies. Pour surveiller les utilisateurs qui tentent de lire les fichiers sans être autorisés à le faire, activez l’audit pour lectures échouées.) Notez que Windows enregistre les changements éventuels et non les changements définis : les évènements d’audit d’objet sont interceptés au moment où une application ouvre l’objet pour le type d’accès demandé. Par exemple, un utilisateur peut ouvrir un document Word pour un accès de lecture et d’écriture mais le ferme sans avoir apporter de changements. Dans ce cas, Windows enregistrera un évènement ouvert (identité de l’évènement 560) et un évènement fermé (identité 562) pour montrer qu’un ’utilisateur a ouvert l’objet pour un accès d’écriture. Comme on peut s’y attendre, GFI LANguard S.E.L.M. contient des règles de catégorisation pour tous les évènements d’objet. Mais GFI LANguard S.E.L.M. offre aussi la possibilité de promouvoir des évènements accès objet qui sont connectés à des fichiers (spécifiés par l’administrateur) ou des registres importants. Cela permet à l’administrateur d’activer l’audit pour autant de fichiers et de dossiers qu’il désire, mais en même temps, configurer GFI LANguard S.E.L.M. de façon à ce qu’il soit attentif aux fichiers et dossiers cruciaux. Il faut tout simplement configurer l’audit pour tous les objets voulus, ensuite configurer GFI LANguard S.E.L.M. pour promouvoir l’état critique à tous les évènements qui sont connectés aux noms de fichiers ou de dossiers spécifiés. Windows fait du bon travail en matière d’enregistrement des accès échoués ou réussis aux objets, mais l’audit d’objet est le type d’audit le plus laborieux à analyser à cause de la quantité d’informations qu’il produit. Pour déterminer le niveau d’activité des fichiers importants sans passer des heures à parcourir les journaux de sécurité, les administrateurs doivent combiner GFI LANguard S.E.L.M. à une configuration d’audit d’objet bien pensée. Lors de la configuration de l’audit d’objet, un administrateur doit prendre en considération trois vecteurs : • Quel objet auditer
WWW.GFSFRANCE.COM
Comment procéder à la surveillance de journaux d’évènements de sécurité du réseau • 10
• Quoi suivre pour chaque objet (par ex., les utilisateurs ou les groupes) • Et quel type d’accès auditer pour chaque suivi. Après avoir déterminé les objets à auditer, les administrateurs doivent se souvenir que GFI LANguard S.E.L.M. peut aussi être attentif aux sous ensembles de ces objets. C’est pourquoi il faut avant tout faire attention à conserver les ressources du système. Plus vous auditez d’objets, plus vous consommez de bande passante, d’espace disque et de temps d’unité centrale. Lorsque vous établissez les utilisateurs ou les groupes à suivre pour un objet particulier, le meilleur choix est en général celui du groupe ‘Everyone’ (tout le monde). La limitation des sujets pourrait exposer une société à des réclamations contre injustice ou persécution de la part de certains employés si le journal de sécurité vise des personnes en particulier. L’utilisation d’autres groupes que ‘Tout le monde’ en sujet est risqué car des évènements importants d’accès peuvent passer inaperçus si quelqu’un est accidentellement autorisé à accéder à un objet. L’administrateur doit faire très attention lorsqu’il décide quels types d’accès auditer. Tout d’abord, ce vecteur est un accélérateur de contrôle qui permet de connaître le nombre de parasites enregistrés. En général, tout type d’accès lecture réussi devrait être ignoré ; autrement le journal serait rapidement encombré d’évènements inoffensifs. Avoir conscience des tentatives d’écriture réussies est utile car il se peut que vous ayez besoin de savoir qui a altéré un objet ou de connaître les changements d’objets douteux (par ex., HTML, image, ou Active Server Pages ASP fichiers sur un serveur Web) qui ne devraient être mis à jour que sous surveillance. Auditer les lectures ou les écritures échouées peut permettre d’identifier les utilisateurs non autorisés qui tentent d’ouvrir un objet mais qui ont bien été empêchés par la liste de contrôle des accès objets (Access Control List). La seule situation dans laquelle la limitation des audits d’un groupe précis (à la place du groupe ‘Everyone’) est utile, est lorsque l’administrateur veut être notifié quand l’ACL d’un objet manque d’empêcher un utilisateur non autorisé d’avoir accès à un objet d’une certaine façon. Par exemple, une compagnie financière peut posséder un service d’investissements bancaires ainsi qu’un service de courtage. Pour éviter les échanges internes, les courtiers ne doivent jamais être en mesure d’accéder à la base de données des Accès des banquiers d’affaires. Pour implémenter un système de sécurité failsafe, l’administrateur peut configurer Windows de façon à ce qu’il audit les tentatives de lecture réussies du groupe Courtiers de la base de données des banquiers d’affaires. Ainsi, même si l’ACL de la base de données est accidentellement affaiblie ou qu’un courtier soit accidentellement ajouté au groupe des banquiers d’affaires, Windows détectera le courtier lorsque celui-ci accèdera à la base de données. Si l’administrateur a configuré GFI LANguard S.E.L.M. pour promouvoir les évènements connectés au nom de fichier de la base de données des investissements bancaires, il sera averti aussitôt que quelqu’un tente d’avoir accès.
WWW.GFSFRANCE.COM
Comment procéder à la surveillance de journaux d’évènements de sécurité du réseau • 11
Cet exemple montre l’importance des limitations des utilisateurs, des groupes et des types d’accès que vous avez configuré pour l’audit de Windows. Vous pouvez configurer GFI LANguard S.E.L.M. de façon à ce qu’il surveille uniquement des objets précis, mais les types d’accès (par ex., échec de lecture, réussite de lecture, échec de l’écriture, réussite de l’écriture) que le produit suit de près dépendent de la configuration Windows au niveau des types d’accès. Donc, vous devriez essayer de configurer seulement les types nécessaires d’audit Windows, selon les types d’accès que vous voulez que GFI LANguard S.E.L.M. considère comme critiques. Disons par exemple que vous voulez surveiller le fichier payroll.xls pour des échecs de lecture. Si vous activez l’audit Windows pour tous les types d’accès, alors configurez GFI LANguard S.E.L.M. pour qu’il performe une surveillance des évènements payroll.xls. GFI LANguard S.E.L.M. vous alertera non seulement lorsque quelqu’un accède au fichier ou lorsque sa lecture a échouée, mais aussi chaque fois que quelqu’un a accès au fichier payroll.xls sous quelque forme que ce soit. Pour éviter cette surcharge d’alertes, vous aurez besoin d’activer l’audit Windows pour seulement des échecs de lecture.
Détection d’intrusion de serv eur Web et de modifications Le suivi des journaux de sécurité en temps réel des serveurs web est extrêmement important et efficace car l’identification des activités suspectes sur ces serveurs est plus facile que sur les serveurs de réseau internes. L’audit des accès fichiers est particulièrement avantageux pour la détection des modifications. La configuration de serveur web selon les « bonnes pratiques » aura des dossiers bien définis pour les fichiers HTML, ASP et les images. Ces fichiers sont assez statiques en comparaison des fichiers de bases de données ou autres qui sont modifiés à la suite de navigations du site web. En configurant l’audit Windows pour tout changements réussis sur ces registres et en configurant GFI LANguard S.E.L.M. de façon à promouvoir les évènements d’accès connectés à ces noms de fichiers dans les registres, l’administrateur sera averti de tous les changements sur le site Web. Pour éviter des faux positifs résultants de mises à jour légitimes du site Web, il est nécessaire de désactiver temporairement l’audit des évènements d’accès objet réussis. Cela empêchera Windows d’enregistrer les mises à jour. Si l’administrateur veut tout simplement arrêter l’envoi des alertes, la solution est de supprimer le nom du dossier concerné dans la liste de surveillance sous GFI LANguard S.E.L.M. Les changements seront toujours enregistrés par Windows et classés dans la base de données de GFI LANguard S.E.L.M. selon les règles de catégorisation du produit, mais les évènements ne seront pas promus au niveau critique et donc aucune alerte ne sera envoyée.
Les administrateurs rendus responsables L’un des problèmes inhérents du journal de Windows Security est le manque de responsabilité de l’administrateur. Bien que l’activité des administrateurs soit enregistrée (par ex., maintenance de compte, usage de privilèges), le journal de Sécurité est toujours vulnérable face à un administrateur qui décide de le vider, de désactiver l’audit, ou d’éteindre le système
WWW.GFSFRANCE.COM
© 2010-2024 YouScribe