Espérons que vos ordinateurs soient corrigés et mis à jour et que votre réseau est sécurisé. Cependant, il est assez inévitable que vous soyez à un moment donné victime d'une activité malveillante - virus, ver, cheval de Troie, attaque ou autre. Lorsque cela se produit, si vous avez bien agi avant l'attaque, vous aurez plus de facilité à déterminer quand et comment l'attaque a réussi.
Si vous avez déjà regardé la série télévisée "CSI" ou à peu près n'importe quelle autre émission télévisée consacrée à la police ou aux médias, vous savez que même avec la moindre parcelle de preuves médico-légales, les enquêteurs peuvent identifier, identifier et identifier l'auteur d'un crime.
Mais ne serait-il pas agréable de ne pas avoir à passer au crible les fibres pour trouver le seul poil qui appartient réellement à l'auteur et à faire des tests ADN pour identifier son propriétaire? Et s'il y avait un enregistrement sur chaque personne avec qui elle est entrée en contact et quand? Et si on tenait un registre de ce qui avait été fait à cette personne?
Si tel était le cas, des enquêteurs comme ceux de "CSI" pourraient être en faillite. Les policiers trouvaient le corps, vérifiaient dans le procès-verbal qui avait eu le dernier contact avec le défunt et ce qui avait été fait. Ils auraient déjà l'identité sans avoir à creuser. C'est ce que la journalisation fournit en termes de fourniture de preuves judiciaires en cas d'activité malveillante sur votre ordinateur ou votre réseau.
Si un administrateur réseau n'active pas la journalisation ou ne consigne pas les événements appropriés, il peut être aussi difficile de rechercher des preuves médico-légales pour identifier l'heure et la date ou la méthode d'un accès non autorisé ou d'une autre activité malveillante. meule de foin. Souvent, la cause première d'une attaque n'est jamais découverte. Les machines piratées ou infectées sont nettoyées et tout le monde reprend son activité habituelle sans vraiment savoir si les systèmes sont mieux protégés que lorsqu’ils ont été touchés.
Certaines applications enregistrent des éléments par défaut. Les serveurs Web comme IIS et Apache enregistrent généralement tout le trafic entrant. Ceci est principalement utilisé pour voir combien de personnes ont visité le site, quelle adresse IP elles ont utilisée et d'autres informations de type métrique concernant le site. Mais, dans le cas de vers comme CodeRed ou Nimda, les blogs Web peuvent également vous indiquer que des systèmes infectés tentent d'accéder à votre système, car ils ont certaines commandes qu'ils tenteront d'afficher dans les journaux, qu'ils réussissent ou non.
Certains systèmes intègrent diverses fonctions d’audit et de journalisation. Vous pouvez également installer un logiciel supplémentaire pour surveiller et consigner diverses actions sur l’ordinateur (voir Outils dans la zone de lien à droite de cet article). Sur un ordinateur Windows XP Professionnel, des options permettent d’auditer les événements de connexion de compte, la gestion de compte, l’accès au service d’annuaire, les événements de connexion, l’accès aux objets, la modification de stratégie, l’utilisation des privilèges, le suivi des processus et les événements système.
Pour chacun de ces éléments, vous pouvez choisir d’enregistrer le succès, l’échec ou rien. Si vous utilisiez Windows XP Pro, par exemple, si vous n’activiez aucune journalisation pour l’accès aux objets, vous ne pouviez pas savoir quand un fichier ou un dossier avait été accédé pour la dernière fois. Si vous activiez uniquement la journalisation des échecs, vous auriez un enregistrement indiquant le moment où une personne tenterait d'accéder au fichier ou au dossier, mais échouant faute d'autorisations ou d'autorisations adéquates, mais sans enregistrer le moment où un utilisateur autorisé accédait au fichier ou au dossier. .
Puisqu'un pirate peut très bien utiliser un nom d'utilisateur et un mot de passe fissurés, il est possible qu'il puisse accéder aux fichiers avec succès. Si vous consultez les journaux et constatez que Bob Smith a supprimé les états financiers de la société dimanche à 3 heures, il peut être prudent de supposer que Bob Smith dormait et que son nom d'utilisateur et son mot de passe ont peut-être été compromis. Quoi qu'il en soit, vous savez maintenant ce qu'il est advenu du fichier et à quel moment. Cela vous donne un point de départ pour enquêter sur la manière dont cela s'est passé.
La journalisation des échecs et des succès peut fournir des informations et des indices utiles, mais vous devez équilibrer vos activités de surveillance et de journalisation avec les performances du système. En utilisant l'exemple du registre des personnes ci-dessus, cela aiderait les enquêteurs si les personnes gardaient un journal de toutes les personnes avec lesquelles elles entraient en contact et de ce qui s'était passé pendant l'interaction, mais cela ralentirait certainement les gens.
Si vous deviez vous arrêter et noter qui, quoi et quand pour chaque rencontre que vous avez eue toute la journée, cela pourrait avoir un impact important sur votre productivité. La même chose est vraie de la surveillance et de la journalisation de l'activité de l'ordinateur. Vous pouvez activer toutes les options de journalisation des échecs et des réussites possibles et vous aurez un enregistrement très détaillé de tout ce qui se passe sur votre ordinateur. Toutefois, les performances seront sérieusement affectées, car le processeur sera occupé à enregistrer 100 entrées différentes dans les journaux chaque fois que quelqu'un appuie sur un bouton ou clique sur sa souris.
Vous devez évaluer les types de journalisation qui pourraient avoir un impact positif sur les performances du système et trouver la balance qui vous convient le mieux. N'oubliez pas non plus que de nombreux outils de piratage et programmes de chevaux de Troie, tels que Sub7, incluent des utilitaires leur permettant de modifier les fichiers journaux pour dissimuler leurs actions et masquer l'intrusion, de sorte que vous ne pouvez pas vous fier à 100% aux fichiers journaux.
Vous pouvez éviter certains problèmes de performances et éventuellement les problèmes de dissimulation d’outil de piratage en tenant compte de certains éléments lors de la configuration de votre journalisation. Vous devez évaluer la taille des fichiers journaux et vous assurer que vous disposez d'un espace disque suffisant en premier lieu.Vous devez également définir une stratégie indiquant si les anciens journaux doivent être écrasés ou supprimés ou si vous souhaitez les archiver de manière quotidienne, hebdomadaire ou périodique, afin de pouvoir également consulter des données plus anciennes.
S'il est possible d'utiliser un disque dur dédié et / ou un contrôleur de disque dur, vous aurez moins d'impact sur les performances car les fichiers journaux peuvent être écrits sur le disque sans avoir à vous battre avec les applications que vous tentez de lancer pour accéder au lecteur. Si vous pouvez diriger les fichiers journaux vers un autre ordinateur, éventuellement dédié au stockage des fichiers journaux et avec des paramètres de sécurité complètement différents, vous pourrez peut-être empêcher les intrus de modifier ou de supprimer les fichiers journaux également.
Une dernière remarque est qu'il ne faut pas attendre qu'il soit trop tard et que votre système est déjà en panne ou déjà compromis avant de consulter les journaux. Il est préférable de consulter les journaux périodiquement afin de savoir ce qui est normal et d'établir une base de référence. Ainsi, lorsque vous rencontrez des entrées erronées, vous pouvez les reconnaître en tant que telles et prendre des mesures proactives pour renforcer votre système plutôt que de mener l'enquête judiciaire après qu'il soit trop tard.
