Comment surveiller les activités des utilisateurs privilégiés ?

Grâce au suivi des activités des utilisateurs privilégiés, une organisation peut être capable de mieux protéger ses actifs critiques, de répondre aux exigences de conformité et d'atténuer les menaces externes et internes.

Examiner les activités des utilisateurs privilégiés
Essai gratuit et entièrement fonctionnel pendant 30 jours
Accueil

  • Avec audit AD natif

  • Avec ADAudit Plus

ADAudit Plus est un logiciel web en temps réel de rapports sur les changements de Windows Active Directory qui permet d'auditer, de suivre et d'établir des rapports sur Windows (Active Directory, connexion/déconnexion des stations de travail, serveurs de fichiers et serveurs), les utilisateurs organisés NetApp et les serveurs EMC afin de répondre aux exigences les plus strictes en matière de sécurité, d'audit et de conformité. Suivi des modifications autorisées/non autorisées de la gestion AD, de l'accès des utilisateurs, des GPO, des groupes, des ordinateurs et des UO. Suivez également toutes les modifications de fichiers et de dossiers, les changements d'accès et d’autorisations grâce à plus de 200 rapports détaillés spécifiques aux événements et à des alertes instantanées par e-mail. Ces rapports peuvent être exportés aux formats XLS, HTML, PDF et CSV de façon à faciliter l’interprétation et l’investigation informatique.

Vous pouvez configurer ces rapports pour qu'ils soient générés automatiquement et vous soient envoyés par e-mail à intervalles définis. Vous pouvez également exporter ces rapports dans le format de votre choix. Voici comment vous pouvez suivre les activités des utilisateurs privilégiés en utilisant ADAudit Plus :

Connectez-vous à ADAudit Plus → Allez dans l’onglet Rapports → sous Gestion des comptes → Naviguez jusqu’à Actions administratives de l'utilisateur.

  • file access report
    • Vous trouverez dans ce rapport les détails suivants :
      1. Nom d'utilisateur du compte privilégié qui a effectué les modifications
      2. L'heure à laquelle les changements ont été effectués
      3. L'ordinateur ou le serveur à partir duquel les modifications ont été effectuées
      4. La description des modifications apportées.
  • file access report

    • Ce rapport vous permet de suivre les activités de vos utilisateurs privilégiés. Cela vous permettra de surveiller tout changement important survenant dans votre domaine.

Avec l'audit natif, voici comment vous pouvez suivre les activités des utilisateurs privilégiés :

  • Étape 1 : Identifier les comptes d'utilisateurs privilégiés.
    • Si un membre répond à l'un des critères mentionnés ci-dessous, il peut être identifié comme un utilisateur privilégié.
      1. Les utilisateurs/groupes qui sont membres d'un groupe administratif.
      2. Utilisateurs/groupes ayant reçu des privilèges administratifs par l'intermédiaire de leur unité organisationnelle.
      3. Les comptes d'utilisateurs locaux et les comptes de service qui peuvent avoir reçu des privilèges administratifs localement sur les contrôleurs de domaine.
      4. Utilisateurs ayant reçu des privilèges pour réinitialiser les mots de passe et déverrouiller les comptes d'autres utilisateurs.
      5. Utilisateurs disposant de privilèges administratifs leur permettant d'accéder aux comptes de service.
      6. Utilisateurs ayant un accès en écriture aux objets de stratégie de groupe liés aux contrôleurs de domaine.

    • Vous pouvez dresser la liste de tous les utilisateurs privilégiés en utilisant Utilisateurs et ordinateurs Active Directory et la console de gestion des stratégies de groupe.

    Pour découvrir d'autres comptes d'utilisateurs privilégiés, vous devrez peut-être aussi exécuter des scripts personnalisés. Par exemple, tout membre d'un groupe administratif est un utilisateur privilégié.

  • Étape 2 : Activation des stratégies d'audit requises

  • Lancez le Gestionnaire de serveur dans votre instance Windows Server.

  • Sous Gérer, sélectionnez Gestion des stratégies de groupe et lancez la console de gestion des stratégies de groupe.

  • Allez dans la forêt ➔ Domaine ➔ Votre domaine ➔ Contrôleurs de domaine.

  • Créez un nouveau GPO et liez-le au domaine contenant l'objet utilisateur, ou modifiez un GPO existant lié au domaine pour ouvrir l'Éditeur de gestion de stratégie de groupe.

  • Allez dans Configuration de l'ordinateur → Paramètres Windows → Paramètres de sécurité → Stratégies locales → Stratégie d'audit.

  • La stratégie d'audit répertorie toutes ses sous-stratégies dans le panneau de droite, comme le montre la figure 1.

  • Sélectionnez les stratégies que vous souhaitez activer pour les événements de succès et d'échec. En cas de défaillances multiples, l'organisation peut, si nécessaire, mettre en place un protocole de sécurité.

  • Cliquez sur Appliquer et OK pour fermer la fenêtre Propriétés.

  • how-to-monitor-activities-of-privileged-users-policies
  • Étape 3 : Configuration de la stratégie d'audit avancée

  • Lancez le Gestionnaire de serveur dans votre instance Windows Server.

  • Sous Gérer, sélectionnez Gestion des stratégies de groupe et lancez la console Gestion des stratégies de groupe.

  • Allez dans Configuration de l'ordinateur → Stratégies → Paramètres Windows → Paramètres de sécurité → Configuration avancée de la stratégie d'audit. . Sélectionnez Stratégies d'audit.

  • Forcer les paramètres de sous-catégorie de la stratégie d'audit à remplacer les paramètres de catégorie de la stratégie d'audit dans la stratégie de groupe pour s'assurer que l'audit de base est désactivé.

  • how-to-monitor-activities-of-privileged-users-configure-policy

    • Décidez des stratégies que vous souhaitez activer et sélectionnez les options Succès et Échec.

  • Étape 4 : Affichez les événements à l'aide de l’Observateur d'événements Windows
    • Après avoir activé l'audit, vous pouvez utiliser l’Observateur d'événements pour consulter les journaux et enquêter sur les événements. Suivez les étapes mentionnées ci-dessous :
      1. Cliquez sur Démarrer → Outils administratifs → Observateur d'événements
      2. Cliquez sur Journaux Windows et sélectionnez Sécurité. Vous verrez tous les événements enregistrés dans les journaux de sécurité.
      3. Effectuez une recherche à l'aide de l’option Rechercher pour afficher les événements d'un compte privilégié spécifique ou créez une vue personnalisée pour afficher les événements générés par un utilisateur particulier uniquement.
  • how-to-monitor-activities-of-privileged-users-events

L’audit natif devient-il un peu trop compliqué ?

Simplifiez l'audit et le reporting LDAP avec ADAudit Plus.

Obtenez votre essai gratuitEssai de 30 jours entièrement fonctionnel