Comment trouver la source des échecs de connexion ?

L'audit des événements de connexion dans Active Directory (AD) est une tâche obligatoire. La raison en est évidente. Toute anomalie dans le rapport d'audit nous aidera à détecter les risques de sécurité de multiples façons. Le verrouillage du compte d'un employé après plusieurs échecs de connexion constitue une menace pour la sécurité des données de l'entreprise.

L'échec d'une tentative de connexion peut être considéré comme l'une des plus grandes menaces pour la sécurité. Un échec de connexion peut simplement être dû à un employé qui a oublié ses informations d'identification. Dans un scénario extrême, il peut s'agir d'un pirate informatique qui tente de pénétrer dans le réseau par le biais du compte légitime d'un employé.

Il est donc important de suivre en permanence les tentatives de connexion qui ont échoué. Il est possible de le faire dans AD à l'aide de la stratégie d'audit, mais ADAudit Plus offre une solution plus simple. ADAudit Plus, un outil d'audit et de reporting pour Active Directory, dispose de plus de 200 rapports d'audit préconfigurés, notamment sur les événements d’échec de connexion. En quelques clics, vous disposez de rapports détaillés sur tous les événements Active Directory importants.

Voici une comparaison entre la recherche des tentatives de connexion échouées dans AD natif et l'utilisation d'ADAudit Plus.

Version d'essai gratuite de 30 jours entièrement fonctionnelle

  • Avec audit AD natif

  • Avec ADAudit Plus

ADAudit Plus est un logiciel web en temps réel de rapports sur les changements de Windows Active Directory qui permet d'auditer, de suivre et d'établir des rapports sur Windows (Active Directory, connexion/déconnexion des stations de travail, serveurs de fichiers et serveurs), les utilisateurs organisés NetApp et les serveurs EMC afin de répondre aux exigences les plus strictes en matière de sécurité, d'audit et de conformité. Suivi des modifications autorisées/non autorisées de la gestion AD, de l'accès des utilisateurs, des GPO, des groupes, des ordinateurs et des UO. Suivez également toutes les modifications de fichiers et de dossiers, les changements d'accès et d’autorisations grâce à plus de 200 rapports détaillés spécifiques aux événements et à des alertes instantanées par e-mail. Ces rapports peuvent être exportés aux formats XLS, HTML, PDF et CSV de façon à faciliter l’interprétation et l’investigation informatique.

ADAudit Plus permet aux administrateurs de voir toutes les tentatives d’ouverture de session échouées avec des informations sur la personne qui a tenté de se connecter, la machine sur laquelle elle a tenté de se connecter et à quel moment, et la raison de l'échec de l’ouverture de session.

  • Connectez-vous à ADAudit Plus ➔ Allez dans l'onglet Rapports ➔ Sous Rapports de connexion des utilisateurs ➔ Accédez à Échecs de connexion.

  • Sélectionnez le domaine.

  • Sélectionnez « Exporter en tant que » pour exporter le rapport dans l'un des formats préférés (CSV, PDF, HTML, CSVDE et XLSX).

  • Vous trouverez dans ce rapport les détails suivants :

    1. Nom d'utilisateur du compte dont la connexion a échoué.

    2. Adresse IP de l'utilisateur.

    3. Heure à laquelle l'échec de la connexion s'est produit.

    4. L'ordinateur ou le serveur sur lequel la panne s'est produite.

    5. Motif de l’échec de la connexion.

Avec l'audit natif, voici comment vous pouvez suivre les tentatives d'ouverture de session qui ont échoué.

  • Étape 1 : Activer l'audit pour les échecs de connexion ?

  • Connectez-vous à votre contrôleur de domaine avec des privilèges administratifs et lancez la console de gestion des stratégies de groupe.

  • Faites un clic droit sur l'objet de stratégie de groupe approprié associé au conteneur Contrôleurs de domaine et sélectionnez Modifier.

  • Étendez la configuration de l'ordinateur → Paramètres Windows → Paramètres de sécurité → Stratégies locales → Nœud Stratégie d'audit.

  • Configurez les stratégies d'audit comme suit :

    1. Gestion des comptes: Succès

    2. Auditer les événements de connexion de compte: Échec

    3. Auditer les événements de connexion: Échec

  • Étape 2 - Afficher les événements à l'aide de l’Observateur d’événements Windows

    Après avoir activé l'audit, vous pouvez utiliser l’Observateur d'événements pour consulter les journaux et enquêter sur les événements. Suivez les étapes mentionnées ci-dessous :

  • Ouvrez l’Observateur d'événements

  • Développez Journaux Windows > Sécurité

  • Créez une vue personnalisée pour l'ID d'événement 4625. Cet identifiant correspond à un échec de connexion.

  • Double-cliquez sur l'événement. Vous pouvez consulter des informations détaillées sur l'activité, telles que le nom du compte, la date et l'heure de l'échec de la connexion.

L’audit natif devient-il un peu trop compliqué ?

Simplifiez l'audit des serveurs de fichiers et l'établissement de rapports grâce à ADAudit Plus.

Obtenir votre version d'essai gratuite Version d'essai de 30 jours entièrement fonctionnelle

Demander de l'aide

  •  
  •  
  •  
  •  
  • En cliquant sur 'Envoyer la demande' vous acceptez le traitement des données personnelles conformément à la politique. de confidentialité.

Thanks

One of our solution experts will get in touch with you shortly.

Zoho Corporation Pvt. Ltd. Tous droits réservés.