Table des Matières
Publicité
Spécification des actions non autorisées : authentification de mot de passe
Si des journaux ont ECHEC comme résultat pour des authentifications de mot de passe
(ID opération : 01, 02, 11, 16, 17), il se peut que des éléments protégés par des mots de
passe aient fait l'objet d'une attaque.
• Les entrées de journaux indiquant un échec d'authentification de mot de passe
(ECHEC) indiquent qui a effectué l'opération et si des opérations non autorisées ont été
effectuées lors de l'échec d'authentification du mot de passe.
• Même si l'authentification du mot de passe a réussi (OK), l'entrée indique si un
utilisateur légitime a créé l'ID d'opération. Il est nécessaire de contrôler soigneusement
ce qui s'est passé lorsqu'une authentification réussit après une série d'échecs, surtout
en dehors des horaires de bureau.
Spécification des opérations non autorisées : opérations autres que des
authentifications de mot de passe en accès sécurisé.
Tous les résultats d'opérations autres que des authentifications de mot de passe seront
positifs (OK), il est donc nécessaire de déterminer s'il y a eu des opérations non
autorisées par ID et ID d'opération.
• Étant donné que vous ne pouvez pas spécifier ce qui a été attaqué uniquement à partir
de l'ID, il est nécessaire de se reporter à l'ID d'opération et au tableau de la page
précédente pour déterminer si les opérations non autorisées ont été faites sur une boîte
d'utilisateur, une impression confidentielle ou des données dans un boîte confidentielle
de télécopie.
• Contrôlez l'heure et vérifiez si l'utilisateur du sujet en question a effectué des opérations
non autorisées.
(Exemple)
Si un document enregistré dans un boîte a été imprimé à l'aide d'une autorisation
frauduleuse, l'entrée de journal d'audit suivante sera créée.
1. Authentification de mot de passe pour la boîte :
ID opérations = 11
N° boîte = Boîte avec laquelle l'authentification a été faite
Résultat = OK/ECHEC
2. Accès au document dans la boîte :
ID opérations = 13
N° boîte = Boîte avec laquelle l'authentification a été faite
Vérifiez la date et l'heure à laquelle l'opération ci-dessus a été effectuée et vérifiez si
l'opération sur le document dans la boîte spécifiée a été faite par un utilisateur de boîte
autorisé.
Actions à prendre si des opérations non autorisées sont découvertes
• Si vous découvrez qu'un mot de passe a été découvert après analyse du journal d'audit,
changez immédiatement ce mot de passe.
• Il est possible qu'un mot de passe ait été décodé et/ou modifié, et que les utilisateurs
autorisés ne puissent plus accéder à une boîte. Le responsable doit contacter
l'utilisateur pour voir ce qu'il en est et, si tel est le cas, le responsable doit changer le mot
de passe et supprimer les données enregistrées dans la boîte.
• Si vous ne parvenez pas à trouver les documents qui devraient être dans une boîte ou si
vous trouvez un document dont le contenu a été modifié, il se peut que des opérations
non autorisées aient eu lieu. Des contre-mesures similaires sont nécessaires.
Fonctions de sécurité de responsable (suite)
- 31 -
Publicité
Table des Matières
