Vous pouvez passer en revue les journaux de IIS et les journaux de sécurité Windows afin de surveiller les événements de sécurité sur des périodes de temps étendues. Vous pouvez utiliser ensuite la console MMC (Microsoft Management Console) pour afficher le journal de sécurité Windows. Vous pouvez afficher les journaux de IIS à l'aide d'un éditeur de texte ou d'un traitement de texte. Pour plus d'informations sur l'affichage des journaux de IIS, consultez Enregistrement de l'activité d'un site dans le journal .
Dans le journal de sécurité Windows, vous pouvez détecter les tentatives d'accès non autorisé, qui peuvent apparaître dans le journal en tant qu'erreurs ou en tant qu'avertissements. Vous pouvez également archiver ces journaux pour une utilisation ultérieure. Pour plus d'informations sur l'audit, consultez la documentation de Windows.
Pour détecter d'éventuels problèmes de sécurité en passant en revue le journal de sécurité Windows
- Cliquez sur Démarrer, pointez sur Paramètres, cliquez sur Panneau de configuration, double-cliquez sur Outils d'administration, puis double-cliquez sur Gestion de l'ordinateur.
- Développez Outils système.
- Développez Observateur d'événements.
- Sélectionnez Journal sécurité.
Remarque Si vous ne parvenez pas à afficher le journal de sécurité, cela signifie que le compte utilisateur que vous utilisez ne dispose pas des privilèges pour le faire. Ceci est dû au fait que les stratégies de sécurité au niveau du domaine annulent les stratégies de sécurité au niveau de l'ordinateur local. Cela signifie que vous pouvez être connecté en tant qu'administrateur à votre ordinateur local, mais vous ne pouvez pas accéder à son journal de sécurité. Pour obtenir ces autorisations, consultez votre administrateur réseau. Pour plus d'informations sur les stratégies de sécurité, consultez la documentation de Windows.
- Recherchez dans les journaux les événements de sécurité suspects, y compris les suivants :
- Tentatives d'ouverture de session non valide.
- Échec de l'utilisation de privilèges.
- Échec des tentatives d'accès aux fichiers .bat ou .cmd et des tentatives de modification de ces mêmes fichiers.
- Tentatives de modification des privilèges de sécurité ou du journal d'audit.
- Tentatives d'arrêt du serveur.
Pour archiver un journal de sécurité Windows
- Cliquez sur Démarrer, pointez sur Paramètres, cliquez sur Panneau de configuration, double-cliquez sur Outils d'administration, puis double-cliquez sur Gestion de l'ordinateur.
- Développez Outils système.
- Développez Observateur d'événements.
- Sélectionnez Sécurité.
- Dans le menu Action, cliquez sur Enregistrer le fichier journal sous.
- Dans la boîte de dialogue Enregistrer sous, sélectionnez le répertoire dans lequel vous souhaitez enregistrer le fichier, puis tapez un nom pour le fichier.
Remarque Le journal de sécurité peut être enregistré en tant que fichier événement (.evt), fichier texte (.txt), ou fichier de valeurs séparées par des virgules (.csv).
Pour ouvrir un journal de sécurité Windows archivé
- Cliquez sur Démarrer, pointez sur Paramètres, cliquez sur Panneau de configuration, double-cliquez sur Outils d'administration, puis double-cliquez sur Gestion de l'ordinateur.
- Développez Outils système.
- Développez Observateur d'événements.
- Dans le menu Journal, sélectionnez Sécurité.
- Dans le menu Action, pointez sur Nouveau, puis cliquez sur Affichage du journal.
- Dans la boîte de dialogue Ajouter un autre affichage de journal, sélectionnez Enregistré (affiche un journal précédemment enregistré) et recherchez le fichier.
- Dans la zone de liste déroulante Type de journal, sélectionnez Sécurité.
- Cliquez sur OK pour ouvrir le fichier dans la visionneuse.
Pour détecter d'éventuels problèmes de sécurité en passant en revue les fichiers journaux de IIS
- Dans un éditeur de texte, tel que le Bloc-notes, ouvrez le fichier journal. Pour plus d'informations sur les fichiers journaux, consultez Enregistrement de l'activité d'un site dans le journal.
- Recherchez dans les journaux les événements de sécurité suspects, y compris les suivants :
- Échec de plusieurs commandes destinées à lancer des fichiers ou scripts exécutables. (Vous devez surveiller de près le répertoire Scripts).
- Échec d'un trop grand nombre de tentatives d'ouverture de session de la part d'une même adresse IP. Le but de ces tentatives était peut-être d'augmenter le trafic sur le réseau ou de refuser l'accès aux autres utilisateurs.
- Échec des tentatives d'accès aux fichiers .bat ou .cmd et des tentatives de modification de ces mêmes fichiers.
- Tentatives non autorisées de transfert de fichiers vers un répertoire contenant des fichiers exécutables.
© 1997-1999 Microsoft Corporation. Tous droits réservés.