Comment surveiller les connexions utilisateur
à votre domaine
Audit d'origine contre Netwrix Auditor for Active Directory
1.
Exécutez gpmc.msc → Créez un nouvel objet de stratégie de groupe → Modifiez-le : Allez à « Configuration ordinateur » → Stratégies → Paramètres Windows → Paramètres de sécurité → Configuration avancée de la stratégie d’audit → Stratégies d’audit → Ouvrir/fermer la session :
Exécutez Netwrix Auditor → cliquez sur « Rapports » → sélectionnez « Active Directory » → Activités de connexion → sélectionnez « Connexions réussies » ou « Connexions échouées » → cliquez sur « Afficher ».
Apprenez plus sur Netwrix Auditor for Active Directory
1.
Auditer l’ouverture de session → Sélectionnez : Réussites et échecs
Allez dans le Journal des événements → Définissez :
1.
1.
2.
Taille maximale du journal de sécurité : 4 Go
Méthode de conservation du journal de sécurité : « Remplacer les événements si nécessaire ».
Liez l’objet de stratégie de groupe à l’unité d’organisation dans Comptes d’ordinateurs : Allez à « Gestion des stratégies de groupe » → Cliquez avec le bouton droit sur l’unité d’organisation définie → Sélectionnez « Lier un objet de stratégie de groupe existant » → Sélectionnez l’objet de stratégie de groupe que vous avez créé.
3.
Forcez la mise à jour de la stratégie de groupe : Dans « Gestion des stratégies de groupe », cliquez avec le bouton droit sur l’unité d’organisation définie → cliquez sur « Mise à jour de la stratégie de groupe ».
4.
Ouvrez l’Observateur d’événements et recherchez dans le Journal de sécurité l’événement 4648 (Auditer l’ouverture de session).
5.
Toutes les connexions réussies et échouées à votre domaine s’affichent alors.
Auditer les événements de connexion pour identifier les tentatives d’accès non autorisées
Une vague inhabituelle d’événements de verrouillage de comptes peut indiquer qu’un attaquant tente d’entrer dans votre environnement. Cependant, un audit des seuls verrouillages de comptes peut ne pas suffire à détecter toutes les attaques. Par exemple, un logiciel malveillant qui génère au hasard des mots de passe pour des noms d’utilisateur inexistants n’entraînera pas de verrouillage de comptes. Un audit des connexions utilisateur est le seul moyen de détecter toutes les tentatives non autorisées de connexion à un domaine. Pour détecter les tentatives d’intrusion, il est nécessaire d’auditer les événements de connexion – réussis ou infructueux – même s’ils ne provoquent pas de verrouillage de comptes.
Netwrix Auditor for Windows Server permet aux professionnels de l’informatique d’obtenir des informations détaillées sur chaque tentative de connexion – réussie ou infructueuse – sur leurs serveurs Windows. Cette solution comprend des rapports complets pré-intégrés qui rationalisent la surveillance des connexions et aident les professionnels de l’informatique à minimiser les risques d’atteinte à la sécurité. Par exemple, le rapport Failed Logon Attempts (Tentatives de connexion infructueuses) permet aux professionnels de l’informatique de détecter les tentatives d’intrusion, et le rapport Successful Logons by User (Connexions réussies par utilisateur) leur permet de repérer les connexions réussies inhabituelles qui pourraient être le fait d’attaquants utilisant des identifiants valides volés.
Exécutez Netwrix Auditor → cliquez sur « Rapports » → sélectionnez « Active Directory » → Activités de connexion → sélectionnez « Connexions réussies » ou « Connexions échouées » → cliquez sur « Afficher ».
Apprenez plus sur Netwrix Auditor for Active Directory
1.
1.
Toutes les connexions réussies et échouées à votre domaine s’affichent alors.
Netwrix Auditor for AD