locked
Audit activité compte AD RRS feed

  • Question

  • Bonjour,

    Actuellement dans mon AD (1 seul domaine 2008 R2), de nombreux comptes utilisateurs sont domain admins.

    On souhaite créer des comptes avec des droit étendus afin de séparer les comptes users standards et ceux avec les droits étendus mais on me demande d'analyser toutes les actions effectuées par ces comptes afin d'identifier les droits nécessaires.

    J'ai cherché sur le net, et je n'ai pas trouvé grand chose; pensez-vous qu'avec les logs natifs, on peut obtenir ces informations là ?

    lundi 13 mars 2017 19:19

Réponses

  • Tu souhaites auditer les actions, comme l'authentification, ouverture de session   etc  ?... ou également les modifications de documents (lecture écriture, suppression) etc  ? ...

    Il est possible d'activer les audits de sécurité de Windows : http://pbarth.fr/node/136 , mais cela a des limites :

    - par défaut quand le journal est rempli les enregistrements les plus anciens sont effacés, donc tu ne peux pas garantir de durée dans le temps. Maintenant il est possible de configurer l'archivage des journaux.

    - chaque serveur a ces logs : le DC , le serveur de fichier etc ... il est possible de créer des abonnements pour centraliser les événements

    - l'event vwr n'est pas forcément l'interface utilisateur la plus conviviale pour ce genre d'analyse


    Il existe des produits payant offrant plus de confort et des rapports.

    Pour la mise en place de restriction en générale on définit des rêgles par groupe d'utilisateurs, et on analyse les cas particulier. C'est un peu hasardeux de définir ce qui est convenable juste avec une analyse de l'activité.

    lundi 13 mars 2017 19:39

Toutes les réponses

  • Tu souhaites auditer les actions, comme l'authentification, ouverture de session   etc  ?... ou également les modifications de documents (lecture écriture, suppression) etc  ? ...

    Il est possible d'activer les audits de sécurité de Windows : http://pbarth.fr/node/136 , mais cela a des limites :

    - par défaut quand le journal est rempli les enregistrements les plus anciens sont effacés, donc tu ne peux pas garantir de durée dans le temps. Maintenant il est possible de configurer l'archivage des journaux.

    - chaque serveur a ces logs : le DC , le serveur de fichier etc ... il est possible de créer des abonnements pour centraliser les événements

    - l'event vwr n'est pas forcément l'interface utilisateur la plus conviviale pour ce genre d'analyse


    Il existe des produits payant offrant plus de confort et des rapports.

    Pour la mise en place de restriction en générale on définit des rêgles par groupe d'utilisateurs, et on analyse les cas particulier. C'est un peu hasardeux de définir ce qui est convenable juste avec une analyse de l'activité.

    lundi 13 mars 2017 19:39
  • Merci beaucoup de votre réponse et un spécial thanks pour votre site qui m'a beaucoup aidé pour d'autres actions.

    Oui cela fait pas mal de temps que les personnes de société mettaient de suite les droits admins du domaine, mais maintenant, pour définir les règles par groupe d'utilisateurs, il ne faut pas justement analyser les actions afin de mettre en place justement ces règles ?

    J'avoue ne pas savoir par ou commencer car cela me parait énorme d'analyser tous ces logs...

    lundi 13 mars 2017 19:46
  • Et auditer les utilisateurs directement ? 
    lundi 13 mars 2017 19:54
  • Bonsoir

    Quest propose une solution "Change Auditor for Active Directory" qui répond à votre besoin

    https://www.quest.com/fr-fr/products/change-auditor-for-active-directory/

    lundi 13 mars 2017 19:54
  • J'avais pensé à ça, mais bon, à voir.

    Une entité de cette société a Splunk; je ne connais pas ce produit, est ce qu'il fournit un audit plus précis et pouvant répondre davantage au besoin d'après vous ?

    • Modifié puffydee lundi 13 mars 2017 20:04 modification
    lundi 13 mars 2017 19:56
  • Je ne connais pas Splunk, mais je peux vous assurez que Change Auditor vous permet de recenser toutes les actions faites par des comptes utilisateurs.

    N'hesitez pas à nous contacter pour de plus amples informations

    lundi 13 mars 2017 20:24
  • En fait je répondais à Philippe Barth. Il n'est pas prévu de budget pour acheter un produit.
    lundi 13 mars 2017 21:20