ATELIER P : Configuration de l’audit

Objectifs :
Etre capable de :
- Planifier une stratégie d’audit
- Configurer les paramètres d’audit,
- Configurer l’audit sur les ressources
- Afficher le journal de sécurité

Exercice 1 : Planification d'une stratégie d'audit

Durée : 15 minutes

Scénario
Votre SI est administré par 2 administrateurs ; vous voulez auditer les événements touchant à la
gestion des comptes et la modification des stratégies.
Vous désirer également enregistrer les ouvertures de sessions en échec et réussite.
Dans le même temps vous voulez activer pour tous les ordinateurs du domaine l’audit d’accès
aux ressources (fichiers, répertoire et imprimantes).

Tâches :
Dans le tableau suivant, notez les paramètres d'audit qui répondent à ce scénario:

Action à auditer Succès Echec

Evénements d'ouverture de
session des comptes
Gestion des comptes
Accès au service d'annuaire
Evénements d'ouverture de
session
Evénements d'accès aux objets
Modification de stratégie
Utilisation des privilèges
Suivi des processus
Evénements du système
 
 
 
 
 
 
 
 
 

Exercice 2 : Configuration des paramètres d'audit

Durée : 15 minutes

Scénario
Une fois que vous avez déterminé la stratégie d'audit à appliquer dans votre formation, vous devez
configurer votre domaine à l'aide des paramètres appropriés. pour ce faire, vous devez appliquer
au domaine les paramètres de la stratégie d'audit.
Vous utiliserez un objet GPO sur le domaine nommé Audit domaine.

Tâche:

 Créer la stratégie de groupe Audit domaine

1. Ouvrez une session en tant qu’administrateur

23244567.doc Page 1 sur 4

 2. Lancer la console Utilisateurs et Ordinateurs Active Directory
3. Sélectionner le domaine
4. Créer l’objet GPO Audit domaine

 Pour configurer la stratégie d'audit dans un objet GPO

1. Modifier l’objet pour activer l’audit
2. Dans l'arborescence de la console, développez Stratégies locales, puis cliquez sur Stratégie
d'audit.
3. Dans le volet de détails, double-cliquez sur chaque attribut d'audit puis, dans la boîte de
dialogue Paramètre de stratégie de sécurité locale, activez la case à cocher Essais ayant
réussi ou Essais ayant échoué comme indiqué dans la liste suivante:
 Auditer la gestion des comptes – Essais ayant réussi
 Auditer les événements de connexion – Essais ayant échoué
 Auditer l'accès aux objets – Essais ayant réussi et Essais ayant échoué
 Auditer les modifications de stratégie - Essais ayant réussi

23244567.doc Page 2 sur 4

  Pour actualiser la stratégie de sécurité

1. A l'invite, « secedit /refreshpolicy machine_policy /enforce».

2. Répéter l’opération sur les stations

Exercice 3 : Configuration de l'audit de fichiers

Scénario
Vous avez configuré votre ordinateur en appliquant les paramètres de la stratégie d'audit définie
pour votre formation. Vous devez à présent configurer les propriétés d'audit pour les fichiers dont
vous souhaitez enregistrer les événements.

Données complémentaires:
Fichier TestAudit.txt à créer dans le répertoire d:\Travail\Audit.
Auditer les accès suivants:
- Création de fichier/Ecriture de données
- Supprimer
- Modifier les autorisations
- Appropriation en Réussite et Echec.

 Pour configurer un audit de fichier

1. Dans l'explorateur Windows, placez vous dans le dossier d:\Travail\Audit, puis
affichez la boîte de dialogue Propriétés du fichier TestAudit.txt.
2. Dans la boîte de dialogue Propriétés de TestAudit.txt, dans l'onglet Sécurité, cliquez
sur Avancé.
3. Dans la boîte de dialogue Paramètres du contrôle d'accès pour TestAudit.txt, dans
l'onglet Audit, cliquez sur Ajouter.
4. Dans la zone Regarder dans, dans la boîte de dialogue Sélectionnez Utilisateurs,
Ordinateurs ou Groupes, vérifiez que def.fr s'affiche. Sous Nom, cliquez sur Tout le
monde, puis sur OK.
5. Dans la boîte de dialogue Audit de l'entrée pour TestAudit.txt, activez les cases à
cocher Réussite et Echec pour chacun des événements suivants:
• Création de fichiers/Ecriture de données
• Supprimer
• Modifier les autorisations
• Appropriation
6. Cliquez sur OK pour fermer la boîte de dialogue Audit de l'entrée pour TestAudit.txt,
puis cliquez sur OK pour fermer la boîte de dialogue Paramètres du contrôle d'accès
pour TestAudit.txt.

 Pour modifier les autorisations d'accès d'un fichier

1. Dans la boîte de dialogue Propriétés de TestAudit.txt, dans l'onglet Sécurité,

désactivez la case à cocher Permettre aux autorisations pouvant être héritées du
parent d'être propagées à cet objet, puis cliquez sur Copier lorsque vous êtes invité
à copier ou supprimer des autorisations existantes.
2. Dans la boîte de dialogue Propriétés de TestAudit.txt, accordez au groupe Tout le
monde un accès en Lecture.
3. Cliquez sur OK pour fermer la boîte de dialogue Propriétés de TestAudit.txt, puis
fermez l'Explorateur Windows.

23244567.doc Page 3 sur 4

Exercice 4 : Création et affichage d'entrées dans le journal de sécurité

Scénario
Vous avez configuré votre ordinateur à l'aide des paramètres de la stratégie d'audit définie pour
votre formation et configuré l'audit de fichiers. Vous souhaitez à présent vous assurer que Windows
2000 enregistre les événements des actions à suivre en effectuant des actions et en affichant les
résultats.

Tâche
Vous allez effacer le journal de sécurité de votre ordinateur. Ensuite, vous allez générer des
événements sur votre ordinateur en affichant et en modifiant les propriétés des objets à auditer.
Enfin, vous afficherez le journal de sécurité de votre ordinateur pour identifier les événements qui
ont été enregistrés.

Données complémentaires:
Tenter de modifier le fichier TestAudit.txt sous différents utilisateurs.

 Pour effacer le journal de sécurité d'un ordinateur

1. A partir du menu Outils d'administration, ouvrez l'Observateur d'événements.
2. Dans l'arborescence de la console, cliquez avec le bouton droit sur Journal sécurité,
puis cliquez sur Effacer tous les événements.
3. Dans le message Observateur d'événements, cliquez sur Non, puis fermez
l'Observateur d'événements.
4. Lorsque le message "Voulez-vous enregistrer "Journal sécurité" avant de l'effacer ?"
s'affiche, cliquez sur Non.

 Pour créer des entrées de fichier journal (fichier).

1. Dans l'explorateur Windows, placez-vous dans le dossier d:\Travail\Audit, ouvrez le
fichier TestAudit.txt, puis fermez le sans en modifier le contenu.
2. Ouvrez de nouveau le fichier TestAudit.txt, modifiez son contenu, puis essayez de
l'enregistrer.
3. Fermez le fichier sans enregistrer les modifications, puis fermez l'Explorateur
Windows.

 Pour créer des entrées de fichier journal (ouverture de session).

1. Redémarrer l'ordinateur.
2. Essayez d'ouvrir une session en utilisant des comptes différents
3. Redémarrez votre ordinateur.
4. Créer l’ UO Sport et des utilisateurs monit1 et monit2

 Pour afficher le journal de sécurité

1. Ouvrez une session en administrateur
2. A partir du menu Outils d'administration, ouvrez l'Observateur d'événements.
3. Dans l'arborescence de la console, cliquez sur Journal de sécurité.
4. Examinez le journal à l'aide des commandes Filtrer et Rechercher du menu
Affichage.
5. Vérifiez si des événements Ouverture/Fermeture de session ont été enregistrés.
6. Vérifiez si des événements Accès aux objets ont été enregistrés pour le fichier
TestAudit.txt.
7. Vérifiez si des événements Utilisation d'un privilège ont été enregistrés.
8. Fermez l'Observateur d'événements, puis la session.

23244567.doc Page 4 sur 4