Magic Quadrant™ pour la gestion des accès privilégiés 2025 : Netwrix reconnue pour la quatrième année consécutive. Téléchargez le rapport.

Contactez-nousSupportCommunauté
English Español Italiano Français Deutsch Português
Plateforme
Solutions

Data Security Posture Management

Découvrez et classez les données dans des environnements hybrides. Évaluez, priorisez et atténuez les risques pour les données sensibles.

Directory Management

Simplifiez et sécurisez l'administration des annuaires en réduisant la complexité, les risques et les efforts manuels.

Endpoint Management

Sécurisez les points de terminaison et prévenez la perte de données tout en maintenant la productivité des équipes, peu importe où elles travaillent.

Identity Management

Sécurisez chaque identité, simplifiez chaque processus et restez en avance sur la conformité — sans ajouter de complexité.

Identity Threat Detection & Response

Restez en avance sur les menaces basées sur l'identité — remédiez proactivement aux risques, bloquez les attaques et assurez une récupération rapide.

Privileged Access Management

Réduisez votre surface d'attaque en supprimant les privilèges permanents, en sécurisant les identifiants et en surveillant les sessions privilégiées.
Produits vedettes Voir tous les produits
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

La plateforme Netwrix 1Secure™

Explorez
Netwrix AI Environnements que nous protégeons Intégrations MSPs Risques de sécurité Active Directory Conformité Tarification
Centre de ressources Voir tout
BlogAttack CatalogConformitéTémoignages de clientsCadres de cybersécuritéGlossaire de la cybersécuritéÉvénementsFreewareGuidesIdeas PortalActualitésPodcastsPublicationsAnnonces de produitsRechercheWebinars
Asset not found

Témoignage client à la une

DXC Technology permet aux clients d'atteindre la conformité PCI DSS et de se concentrer sur des initiatives stratégiques
Partenaires
Programme PartenaireDevenez partenaireMSPsLocalisateur de partenairesWebinars
Asset not found

Histoire à la une d'un client

AppRiver améliore le contrôle sur Active Directory tout en réduisant considérablement le temps d'audit
Asset not found

Témoignage client à la une

Un MSP aide un client à se remettre d'un rançongiciel en 6 heures
Pourquoi Netwrix
À propos de nousLeadershipNetwrix AITémoignages clientsReconnaissanceActualitésCarrières
Asset not found

Histoire à la une d'un client

Horizon Leisure Centres accélère la classification des données pour se conformer au RGPD et économise 80 000 £ par an
Asset not found

Témoignage client à la une

L'Institut de R&D Samsung sécurise les données avec une utilisation multiplateforme et un déploiement rapide sur macOS grâce à Netwrix Endpoint Protector
Centre de ressourcesGuide
Meilleures pratiques pour la politique d'audit Windows

Meilleures pratiques pour la politique d'audit Windows

Comment mettre en œuvre une politique d'audit

Il existe deux méthodes pour configurer votre politique d'audit :

  • La politique d'audit de sécurité de base dans Windows (également appelée paramètres de sécurité locaux Windows) vous permet de définir l'audit par type d'événement. Les politiques de base se trouvent sous Configuration de l'ordinateur -> Paramètres Windows -> Paramètres de sécurité -> Stratégies locales -> Stratégie d'audit.
  • La politique d'audit de sécurité avancée aborde les mêmes problèmes que les politiques d'audit de base, mais vous permet de configurer l'audit de manière granulaire au sein de chaque catégorie d'événement. Ces paramètres se trouvent dans Configuration de l'ordinateur -> Stratégies -> Paramètres de sécurité Windows -> Configuration de la politique d'audit avancée -> Politiques d'audit système. Ils semblent se superposer (et non remplacer) aux politiques d'audit de sécurité de base.

Microsoft conseille aux organisations de ne pas utiliser à la fois les paramètres de stratégie d'audit de base et les paramètres avancés simultanément pour la même catégorie, car lorsque la stratégie d'audit avancée est configurée, elle remplacera toujours les stratégies d'audit de base, ce qui peut entraîner des « résultats inattendus dans les rapports d'audit ».

Vous pouvez consulter le journal de sécurité avec l'Observateur d'événements.

Avant de modifier des paramètres, vous devriez :

  • Déterminez quels types d'événements vous souhaitez auditer dans la liste ci-dessous et spécifiez les paramètres pour chacun d'entre eux. Les paramètres que vous spécifiez constituent votre politique d'audit. Notez que certains types d'événements sont audités par défaut.
  • Décidez comment vous allez collecter, stocker et analyser les données. Il y a peu de valeur à accumuler de grands volumes de données d'audit s'il n'y a pas de plan sous-jacent pour les gérer et les utiliser.
  • Définissez la taille maximale et d'autres attributs du journal de sécurité en utilisant les paramètres de la politique de journalisation des événements. Un point important à considérer est la quantité d'espace de stockage que vous pouvez allouer à la conservation des données collectées par l'audit. Selon le paramètre que vous choisissez, les données d'audit peuvent rapidement occuper l'espace disque disponible.
  • N'oubliez pas que les paramètres d'audit peuvent affecter les performances de l'ordinateur. Par conséquent, vous devriez effectuer des tests de performance avant de déployer de nouveaux paramètres d'audit dans votre environnement de production.
  • Si vous souhaitez auditer l'accès au service d'annuaire ou l'accès aux objets, configurez les paramètres de stratégie Audit directory service access et Audit object access.

Types d'événements que vous pouvez auditer

Voici les catégories de base des politiques d'audit de sécurité :

  • Auditez les événements de connexion des comptes. L'audit de connexion des utilisateurs est le seul moyen de détecter toutes les tentatives non autorisées de se connecter à un domaine. Il est essentiel d'auditer les événements de connexion — réussis et échoués — pour détecter les tentatives d'intrusion. Les événements de déconnexion ne sont pas suivis sur les contrôleurs de domaine.
  • Auditez la gestion des comptes. Une surveillance minutieuse de tous les changements de comptes d'utilisateurs aide à minimiser le risque de perturbation des affaires et d'indisponibilité du système.
  • Auditez l'accès aux services d'annuaire. Surveillez cela uniquement lorsque vous devez voir quand quelqu'un accède à un objet AD qui possède sa propre liste de contrôle d'accès système (par exemple, une OU).
  • Auditez les événements de connexion. Voir les tentatives réussies et échouées de se connecter ou de se déconnecter d'un ordinateur local est utile pour la détection d'intrus et la médecine légale post-incident.
  • Auditez l'accès aux objets. Auditez ceci uniquement lorsque vous devez voir quand quelqu'un a utilisé des privilèges pour accéder, copier, distribuer, modifier ou supprimer des fichiers sur des serveurs de fichiers.
  • Changement de politique d'audit. Des modifications inappropriées à un objet de stratégie de groupe peuvent gravement endommager la sécurité de votre environnement. Surveillez toutes les modifications des objets de stratégie de groupe pour réduire le risque d'exposition des données.
  • Auditez l'utilisation des privilèges.Activez cette politique lorsque vous souhaitez suivre chaque instance d'utilisation des privilèges par les utilisateurs. Il est recommandé de configurer cette fonction de manière granulaire dans l'Utilisation des Privilèges Sensibles des politiques d'audit avancées.
  • Suivi du processus d'audit. L'audit des événements liés aux processus, tels que la création de processus, la terminaison de processus, la duplication de descripteur et l'accès indirect aux objets, peut être utile pour les enquêtes d'incidents.
  • Auditez les événements système.Configurer la politique d'audit système pour enregistrer les démarrages, arrêts et redémarrages de l'ordinateur, ainsi que les tentatives d'un processus ou programme d'effectuer une action pour laquelle il n'a pas la permission, est précieux car tous ces événements sont très significatifs. Par exemple, si un logiciel malveillant essaie de modifier un paramètre sur votre ordinateur sans votre permission, l'audit des événements système enregistrerait cette action.

Paramètres d'audit Windows recommandés

Les paramètres de stratégie d'audit de sécurité avancée suivants sont recommandés :

Connexion au compte

  • Audit de la validation des identifiants : succès et échec

Gestion des comptes

  • Audit de la gestion des comptes d'ordinateurs : succès et échec
  • Auditez les autres événements de gestion de compte : Succès et échec
  • Audit de la gestion des groupes de sécurité : succès et échec
  • Audit de la gestion des comptes utilisateurs : succès et échecs

Accès DS (Directory Service Access)

  • Audit de l'accès DirectoryService : Réussite et échec sur DC
  • Auditez les modifications du service d'annuaire : succès et échecs sur DC

Connexion/Déconnexion

  • Audit du verrouillage de compte : Réussite
  • Audit Déconnexion : Réussite
  • Audit de connexion : Réussite et Échec
  • Audit de l'ouverture de session spéciale : succès et échec

Accès aux objets

  • Activez ces paramètres uniquement si vous avez une utilisation spécifique pour les données qui seront enregistrées, car ils peuvent provoquer la génération d'un grand volume d'entrées dans vos journaux de sécurité.

Changement de politique

  • Audit de la modification de la politique d'audit : succès et échec
  • Audit de changement de politique d'authentification : succès et échec

Utilisation des privilèges

  • Activez ces paramètres uniquement si vous avez une utilisation spécifique pour les données qui seront enregistrées, car ils peuvent provoquer la génération d'un grand volume d'entrées dans vos journaux de sécurité.

Suivi des processus

  • Création de processus d'audit : Réussite
    Activez ces paramètres uniquement si vous avez une utilisation spécifique pour les informations qui seront enregistrées, car ils peuvent provoquer la génération d'un grand volume d'entrées dans vos journaux de sécurité.

Système

  • Audit de l'état de sécurité : Succès et échec
  • Auditez les autres événements système : Succès et Échec
  • Audit de l'intégrité du système : Succès et échec

Qu'est-ce que la politique d'audit dans Windows ?


La politique d'audit Windows définit les types d'événements qui sont consignés dans les journaux de sécurité de vos serveurs Windows. Établir une politique d'audit efficace vous aide à détecter les problèmes de sécurité potentiels, à garantir la responsabilité des utilisateurs et à fournir des preuves en cas de violation de la sécurité.

Les paramètres de politique d'audit recommandés fournis ici sont destinés à servir de base aux administrateurs système qui commencent à définir des politiques d'audit AD. Vous devez vous assurer de prendre en compte les risques de cybersécurité et les exigences de conformité de votre organisation. De plus, testez et affinez vos politiques avant de les mettre en œuvre dans votre environnement de production.

Partager sur

Ressources associées

Approfondissez avec nos ressources associées

Centre de ressources
eBook

Faciliter la prévention de la perte de données avec les solutions Netwrix

Prévention des pertes de données
eBook

Déploiement de logiciels sur Windows : douloureux mais pas nécessaire

Endpoint Management