Comment suivre les modifications de la stratégie de groupe

Il est important que les administrateurs informatiques vérifient toutes les modifications apportées à la stratégie de groupe, car celle-ci contrôle l'environnement de travail de tous les objets Active Directory (AD), y compris les utilisateurs et les ordinateurs. La stratégie de groupe définit la manière dont les différents systèmes, utilisateurs et autres objets AD interagissent les uns avec les autres. Un ensemble de configurations de stratégie de groupe définies par un administrateur informatique est appelé un objet de stratégie de groupe (GPO).

Les attaquants qui cherchent à compromettre un environnement AD peuvent tenter de cibler les GPO et d'y apporter des modifications malveillantes. L'audit des modifications apportées aux GPO permet à l'administrateur de savoir exactement quelle modification a été effectuée, quand elle a été effectuée, qui l'a effectuée et où elle a été effectuée. Ceci renforce la sécurité de l'environnement AD et permettra également à l'administrateur d'annuler toute modification non autorisée.

Pour auditer les modifications apportées à la stratégie de groupe, les administrateurs informatiques doivent d'abord activer l'audit des objets DS, des objets conteneurs de stratégie de groupe et du dossier SYSVOL.

• Comment activer l'audit des objets DS

• Lancez le Gestionnaire de serveur dans votre système d'exploitation Windows Server.

• Allez dans Outils -> Gestion de la stratégie de groupe.

• Allez dans Domaines -> Contrôleurs de domaine.

• Faites l'une des deux choses suivantes :

  1. Faites un clic droit sur Stratégie de contrôleurs de domaine par défaut, puis cliquez sur Modifier pour lancer l'éditeur de gestion de stratégie de groupe, ou
  2. Créez un nouveau GPO.

• Allez dans Configuration de l'ordinateur -> Stratégies -> Paramètres Windows -> Paramètres de sécurité -> Configuration de la politique d'audit avancée -> Stratégies d'audit -> Accès DS.

• Activez l'audit des « succès » et des « échecs » pour chacune des options suivantes : Audit de la réplication du service d’annuaire détaillé, Audit de l'accès aux services d'annuaire, Audit des changements de service d'annuaire et Audit de la réplication du service d’annuaire.

• Allez maintenant dans Configuration de la stratégie d'audit avancée -> Stratégie d'audit -> Accès aux objets.

• Activer l'audit des « succès » et des « échecs » pour les 14 sous-catégories de types d'événements.

• Comment activer l'audit des objets conteneurs de stratégie de groupe ?

• Accédez au Gestionnaire de serveur -> Outils -> ADSI Edit.

• Faites un clic droit sur ADSI Edit dans le volet de gauche et sélectionnez « Se connecter » pour ouvrir les Paramètres de connexion. Vous remarquerez que le chemin d'accès pointe vers votre contrôleur de domaine.

  

• Cliquez sur OK pour vous connecter.

• Ouvrez le contexte d’attribution de noms par défaut.

• Accédez au contrôleur de domaine = Domain -> DC = com -> CN=System -> CN=Policies.

• Faites un clic droit sur CN=Policies et allez dans Propriétés.

• Allez dans Sécurité -> Avancé -> Audit -> Ajouter.

• Dans l'assistant Entrée d'audit pour les stratégies, sélectionnez « Tout le monde » pour le principal.

  

• Le type doit être « Succès », et « S'applique à » doit être « Cet objet et tous les objets descendants ».

• Sous Autorisations, sélectionnez toutes les entrées pour lesquelles des actions seront auditées. Vous souhaiterez peut-être au moins vérifier les éléments suivants : « Créer Objets du conteneur Stratégie de groupe », « Supprimer », « Modifier » « Autorisations » et « Écrire Numéro de version ».

• Cliquez sur OK.

• Comment activer l'audit du dossier SYSVOL ?

• Allez dans votre dossier SYSVOL qui se trouve généralement dans C:\Windows\SYSVOL.

• Faites un clic droit sur le dossier SYSVOL et sélectionnez Propriétés.

• Allez dans Sécurité -> Avancé pour ouvrir les paramètres de sécurité avancés pour le dossier SYSVOL.

• Cliquez sur l'onglet Audit, puis sur Ajouter.

• Sous Principal, choisissez « Tout le monde » pour activer l'audit des modifications effectuées par tous les membres de votre AD.

  

• Sélectionnez vos entrées d'audit.

• Cliquez sur OK.

Il existe deux façons d'auditer les GPO :

1) Utilisation d'outils natifs tels que l’Observateur d'événements, et 2) L’utilisation d'une solution d'audit AD complète telle qu’ADAudit Plus. Dans cet article, nous allons comparer les deux méthodes.

• Utilisation des outils d'audit natifs (Observateur d'événements)

• Allez dans le menu Démarrer -> Panneau de configuration -> Outils administratifs -> Observateur d'événements.

• Filtrez les événements pour l'ID d'événement 5136, car cela donne la liste des changements de stratégie de groupe, de valeurs et de liens GPO.

Voici un exemple de capture d'écran d'une recherche sur l'ID d'événement 5136 :

• 

L'utilisation de l'Observateur d'événements pour auditer les modifications apportées aux GPO présente plusieurs inconvénients :

• Il n'est pas facile à utiliser, car les données existent dans différents journaux. L'administrateur doit donc consulter plusieurs journaux pour avoir une vue d'ensemble de ce qui s'est passé.

• L’Observateur d'événements ne contient pas de rapports tabulaires ni de graphiques à l'usage de l'administrateur informatique. Il est donc difficile de visualiser les données.

• L'administrateur doit examiner les journaux manuellement, prendre des notes et déployer des efforts considérables pour analyser les GPO qui ont été modifiées, les personnes qui les ont modifiées, le moment où elles les ont modifiées et l'endroit où elles les ont modifiées.

Il est toujours préférable d'utiliser une solution d'audit AD complète comme ADAudit Plus pour auditer tous les changements de GPO. Vous contribuerez ainsi grandement à la protection de l'AD au sein de votre organisation.