Avec audit AD natif
Avec ADAudit Plus
Comment vérifier l'activité de connexion d'un contrôleur de domaine avec ADAudit Plus ?
Une fois installé, ADAudit Plus configure automatiquement les stratégies d'audit requises pour l'audit d'Active Directory.
Pour activer la configuration automatique : Connectez-vous à la console web AADAudit Plus → Paramètres du domaine → Stratégie d’audit : Configurer..
Les changements de autorisations dans les enregistrements DNS peuvent être identifiés en suivant les étapes mentionnées ci-dessous :
Se connecter à ADAudit Plus.
SSélectionnez le domaine requis dans la liste déroulante..
Allez dans l’onglet Rapports.
Naviguez jusqu’à Rapports de connexion des utilisateurs..
Sélectionnez Activité de connexion du contrôleur de domaine..
ADAudit Plus permet aux administrateurs informatiques d'avoir une vue d'ensemble de toutes les activités qui se déroulent au sein du réseau de leur organisation. Les capacités de surveillance en temps réel et les rapports prêts à l'emploi offerts par ADAudit Plus facilitent le suivi des événements critiques de connexion aux contrôleurs de domaine, ainsi que la détection et la prévention des incidents.
Avec l'audit AD natif, voici comment vous pouvez surveiller l'activité de connexion des contrôleurs de domaine :
Étape 1 : Activez les stratégies d'audit requises
Lancez le Gestionnaire de serveur dans votre instance Windows Server.
Sous Gérer, sélectionnez Gestion des stratégies de groupe et lancez la console de gestion des stratégies de groupe..
Allez dans la forêt ➔ Domaine ➔ Votre domaine ➔ Contrôleurs de domaine..
Créez un nouveau GPO et reliez-le au domaine contenant le DC à surveiller, ou modifiez un GPO existant lié au domaine pour ouvrir l’éditeur de gestion de stratégie de groupe..
Allez dans Configuration de l'ordinateur ➔ Paramètres Windows ➔ Paramètres de sécurité ➔ Stratégies locales ➔ Stratégie d'audit..
La stratégie d'audit énumère toutes ses sous-stratégies dans le panneau de droite, comme le montre la figure ci-dessous.
Sous Stratégie d'audit, activez l'audit pour les événements de succès et d'échec des stratégies suivantes :
Audit des événements de connexion au compte
Audit des événements de connexion
Cliquez sur Appliquer et OK pour fermer la fenêtre Propriétés .
Pour appliquer ces modifications à l'ensemble du domaine, exécutez la commande gpupdate /force, dans la console Exécuter.
Étape 2 : Afficher les événements dans l’Observateur d'événements
Dans la fenêtre de l’Observateur d'événements, allez dans Journaux Windows ➔ Journaux de sécurité..
Cliquez sur Filtrer le journal actuel sous Action dans le panneau de droite.
Recherchez les ID d’événements 4624 et 4634, qui indiquent respectivement quand un compte a été connecté ou déconnecté.
Vous pouvez double-cliquer sur l'événement pour afficher les propriétés d’événement..
Ces étapes doivent être répétées pour tous les contrôleurs de domaine de l'environnement Active Directory afin d'auditer l'activité de connexion. Contrôler manuellement chaque événement est un processus qui prend du temps, est inefficace et pratiquement impossible pour les grandes organisations.
L’audit natif devient-il un peu trop compliqué ?
Simplifiez l'audit et le reporting LDAP avec ADAudit Plus.
Obtenez votre essai gratuit Essai de 30 jours entièrement fonctionnelADAudit Plus simplifie la surveillance de l'activité de connexion au contrôleur de domaine en proposant des rapports prédéfinis sur l'activité de connexion au contrôleur de domaine ainsi qu'une représentation graphique intuitive de ces rapports pour en faciliter la compréhension. ADAudit Plus offre également la possibilité de générer des rapports personnalisés et de les exporter dans le format de votre choix (PDF, XLS, HTML et CSV).