Comment trouver la source des échecs de connexion ?

Les événements de connexion sont l'un des principaux événements à surveiller dans Active Directory. La raison en est évidente. Les événements de connexion permettent de détecter les risques de sécurité de plusieurs manières. Par exemple, un employé qui se connecte à sa station de travail longtemps après les heures de travail peut constituer une menace potentielle.

Même un échec de connexion peut être le signe d'une menace pour la sécurité. Un utilisateur qui ne parvient pas à se connecter peut simplement avoir oublié son mot de passe, mais il peut aussi s'agir d'une personne qui tente de s'introduire dans un compte d'utilisateur légitime. Dans ce cas, il est important de remonter à la source de la tentative de connexion. Il est possible de le faire dans la version native d'AD en utilisant la stratégie d'audit, mais ADAudit Plus offre une solution plus simple. ADAudit Plus, un outil d'audit et de reporting pour Active Directory, dispose de plus de 200 rapports d'audit préconfigurés, notamment sur les événements d’échec de connexion. En quelques clics, vous disposez de rapports détaillés sur tous les événements Active Directory importants.

Voici une comparaison entre la recherche de la source des échecs de connexion dans AD natif et l'utilisation d'ADAudit Plus.

Version d'essai gratuite de 30 jours entièrement fonctionnelle

  • Avec audit AD natif

  • Avec ADAudit Plus

Avec ADAudit Plus

Étape 1 : Activez la stratégie d'audit des événements de connexion

  • Ouvrez le « Gestionnaire de serveur » sur votre serveur Windows

  • Sous « Gérer », sélectionnez « Gestion des stratégies de groupe » pour afficher la « Console de gestion des stratégies de groupe ».

  • Allez dans la forêt>Domaine>Votre domaine>Contrôleurs de domaine Vous pouvez soit créer un nouvel objet de stratégie de groupe, soit modifier un GPO existant.

  • Dans l'éditeur de stratégie de groupe, allez dans Configuration de l'ordinateur > Paramètres Windows > Paramètres de sécurité > Stratégies locales > Stratégie d'audit.

  • Dans les stratégies d'audit, sélectionnez « Audit des événements de connexion » et activez-le pour « échec ».

Étape 2 : Utiliser l’Observateur d'événements pour trouver la source des échecs de connexion ?

L’Observateur d'événements enregistre désormais un événement chaque fois qu'une tentative de connexion échoue dans le domaine. Recherchez l'ID d'événement 4625 qui est déclenché si un échec de connexion est enregistré.

Étape 1 : Activez la « stratégie d'audit de connexion » dans Active Directory.

Étape 2 : Lancer ADAudit Plus

  • Trouvez l’ongletRapports, puis Rapports de connexion des utilisateurs et cliquez sur Échecs de connexion.

Cette opération génère un rapport détaillé comprenant l'adresse IP, l'heure de connexion, le contrôleur de domaine et le motif de l'échec de la connexion. Ce rapport aidera l'administrateur à décider si l'échec de la connexion doit être considéré comme une menace pour la sécurité.

L’audit natif devient-il un peu trop compliqué ?

Simplifiez l'audit des serveurs de fichiers et l'établissement de rapports grâce à ADAudit Plus.

Obtenir votre version d'essai gratuite Version d'essai de 30 jours entièrement fonctionnelle

Demander de l'aide

  •  
  •  
  •  
  •  
  • En cliquant sur 'Envoyer la demande' vous acceptez le traitement des données personnelles conformément à la politique. de confidentialité.

Thanks

One of our solution experts will get in touch with you shortly.

Zoho Corporation Pvt. Ltd. Tous droits réservés.