Les catégories d'événements du journal de sécurité de Windows Server 2008 qui peuvent être enregistrées sont les suivantes
Le nombre d'événements enregistrables est incommensurable et de ce fait l'analyse du journal des événements de sécurité peut constituer une tâche qui prend du temps. Si vous souhaitez auditer les réussites, auditer les échecs ou ne pas auditer du tout ce type d'événement, vous devez définir la stratégie d'audit avancée requise dans les paramètres de sécurité locaux, en veillant à ce que seuls les journaux de sécurité nécessaires à l'audit soient collectés, ce qui vous garantit que des journaux indésirables ne rempliront pas l'espace disque rapidement.
Voici les événements de sécurité recommandés que vous devez définir pour être audités et que vous trouverez dans les paramètres de stratégie d'audit avancée : Pour les contrôleurs de domaine | Pour les serveurs de fichiers Windows | Pour les serveurs membres Windows | Pour les stations de travail Windows
Vous trouverez ci-dessous la liste des différentes catégories de stratégie d'audit avancée | |
Ouverture de session de compte | Documentez les tentatives d'authentification des données de compte sur un contrôleur de domaine ou sur un gestionnaire de comptes de sécurité (SAM) local. |
Gestion du compte | Surveillez les modifications apportées aux comptes et aux groupes d'utilisateurs et d'ordinateurs. |
Suivi détaillé | Surveillez les activités des applications et des utilisateurs individuels sur cet ordinateur. |
Accès aux services d'annuaire | Affichez une piste d'audit détaillée des tentatives d’accès et de modification d’objets dans les services de domaine Active Directory (AD DS). |
Ouverture / Fermeture de session | Suivez les tentatives de connexion à un ordinateur de manière interactive ou via un réseau. Ces événements sont particulièrement utiles pour suivre l'activité des utilisateurs et identifier les attaques potentielles visant les ressources réseau. |
Accès aux objets | Suivez les tentatives d’accès à des objets ou des types d'objets spécifiques sur un réseau ou un ordinateur. |
Changement de stratégie | Suivez les modifications et les tentatives de modification des stratégies de sécurité importantes sur un système ou un réseau local. |
Utilisation de privilège | Suivez les autorisations accordées sur un réseau afin que les utilisateurs ou les ordinateurs accomplissent des tâches définies. |
Système | Surveillez les modifications au niveau système apportées à un ordinateur qui ne sont pas incluses dans d'autres catégories et qui ont des implications potentielles sur la sécurité. |
Audit de l’accès aux objets globaux | Les administrateurs peuvent définir des listes de contrôle d'accès système (SACL) aux ordinateurs par type d'objet pour le système de fichiers ou pour le registre. |