Vous êtes sur la page 1sur 15

Chapitre 2 

: Détection des violations de


la sécurité

Présenté par : Khaled KILANI


Objectifs du chapitre
À la fin de ce chapitre, les étudiants comprendront que leur système d’exploitation
peut contenir la preuve d’une violation de la sécurité :

• Journaux des événements


• Tâches planifiées
• Comptes et groupes
1) Preuve de la violation
La détection de violations implique la recherche de preuves permettant
d’établir qu’un système a été compromis.
Dans la plupart des cas, les attaquants laissent des traces sur les
ordinateurs compromis.
Les systèmes de détection d’intrusions (IDS, Intrusion Detection
Systems), comme Microsoft Advanced Threat Analytics, automatisent
le processus de recherche de preuves. Cependant, si vous savez où
conduire des recherches, vous pouvez prouver l’existence d’une
violation dès qu’elle se produit.
1) Preuve de la violation
En général, vous suspectez la présence d’une violation quand vous
remarquez que quelque chose ne va pas dans un système.
Par exemple, vous constatez qu’un serveur charge des quantités
importantes de données en dehors des heures de bureau ou qu’une
quantité inhabituelle de mémoire ou de ressources processeur est
utilisée.
1) Preuve de la violation
• Vous devez alors inspecter le système pour déterminer d’éventuels
changements de configuration.
• Vous pouvez soit utiliser des outils intégrés pour examiner les
journaux des événements ou les tâches planifiées, soit rechercher des
comptes inhabituels ou des appartenances à des groupes.
• Vous pouvez également utiliser des outils comme la configuration de
l’état souhaitée pour savoir si la configuration du système a changé, ou
encore recourir à la suite d’outils Sysinternals pour examiner le
système d’exploitation et déterminer si une activité suspecte est
néfaste ou bénigne.
1) Preuve de la violation
Si vous établissez qu’une violation s’est produite, les procédures à
suivre varient généralement en fonction de la nature de la violation.
Par exemple, si votre organisation découvre que les données médicales
de patients ont été enfreintes, vous devrez peut-être suivre des
procédures légales spécifiques et établir une chaîne de preuves formelle
pendant le déroulement de l’enquête.
1) Preuve de la violation
2) Journaux des événements
3) Tâches planifiées

Les attaquants qui compromettent un système utilisent souvent des


tâches planifiées pour automatiser la persistance des attaques ou
s’assurer que les activités se produisent à des heures spécifiques.
Une attaque persistante signifie que l’attaquant peut toujours accéder
aux systèmes compromis ou configurer l’exécution automatique de
tâches même après le redémarrage du serveur compromis.
Les administrateurs doivent se familiariser avec les tâches qui
s’exécutent régulièrement sur leurs systèmes et les documenter.
Les administrateurs doivent configurer l’audit automatique du serveur
de manière à détecter la création et la modification de tâches planifiées.
3) Tâches planifiées

Les administrateurs doivent configurer l’audit automatique du serveur


de manière à détecter la création et la modification de tâches
planifiées.
4) Comptes et groupes

Les attaquants compromettent souvent les comptes d’utilisateur,


d’ordinateur et de service au cours de la phase de réaffectation de
privilèges d’une attaque.
Dans certains cas, la détection de changements au niveau des comptes
ou des appartenances à des groupes privilégiés, notamment au groupe
Admins du domaine, peut vous permettre d’identifier une violation de
la sécurité.
4) Comptes et groupes

Les changements suivants peuvent indiquer une violation de la sécurité


au sein de votre organisation :
• Apparition de nouveaux comptes. Il peut s’agir de comptes locaux
ou de comptes dans Active Directory. Votre organisation doit avoir un
processus en place qui détermine quand un compte a été créé, par qui et
pour quelle raison.
• Comptes existants avec de nouveaux privilèges. Dans la phase de
réaffectation de privilèges d’une attaque, un attaquant ajoute souvent
des privilèges à un compte déjà compromis.
4) Comptes et groupes

• Changements d’appartenance à des groupes privilégiés. Les


attaquants ciblent avant tout des groupes comme Admins du domaine et
Administrateurs local car ils offrent des chemins simples de
réaffectation de privilèges.
• Création de groupes. Les attaquants expérimentés qui ont compromis
l’environnement Active Directory d’une organisation créent des groupes
privilégiés spéciaux dotés de privilèges similaires à ceux des groupes
privilégiés intégrés, notamment Admins du domaine et Administrateurs
locaux.
4) Comptes et groupes

• Pour détecter ces changements, veillez à auditer régulièrement


l’activité de gestion des comptes.
Réf. 22744B Sécurisation Windows Server 2016

Vous aimerez peut-être aussi