Comment suivre les activités des utilisateurs privilégiés dans Active Directory ?

Le contrôle des activités des utilisateurs privilégiés peut permettre à une organisation de protéger ses actifs critiques, de satisfaire aux exigences de conformité, de repérer les activités anormales et d'atténuer les menaces externes et internes.

Examinez les activités des utilisateurs privilégiés

Essai gratuit et entièrement fonctionnel pendant 30 jours

Accueil

  • Avec audit AD natif

  • Avec ADAudit Plus

Comment suivre les activités des utilisateurs privilégiés avec ADAudit Plus ?

Les activités des utilisateurs privilégiés peuvent être suivies en suivant les étapes mentionnées ci-dessous :

  • Connexion à ADAudit Plus
  • Sélectionnez le domaine requis dans la liste déroulante
  • Allez à l’onglet Rapports
  • Allez dans la gestion des comptes
  • Sélectionnez Actions administratives de l'utilisateur how-to-track-privileged-user-activity-in-active-directory-4how-to-track-privileged-user-activity-in-active-directory-5

  • Voici quelques-uns des détails que vous trouverez dans ce rapport :

  • Nom d'utilisateur du compte privilégié qui a effectué les modifications

  • Nom d'utilisateur du compte privilégié qui a effectué les modifications

  • L'ordinateur ou le serveur à partir duquel les modifications ont été effectuées

  • La description des modifications apportées

Suivi des activités des utilisateurs privilégiés grâce à l'audit AD natif

Avec l'audit AD natif, voici comment vous pouvez surveiller les comptes d'utilisateurs privilégiés :

  • Étape 1 : Identifier les comptes d'utilisateurs privilégiés.

  • Si un membre répond à l'un des critères mentionnés ci-dessous, il peut être identifié comme un utilisateur privilégié.

  • Les utilisateurs/groupes qui sont membres d'un groupe administratif.

  • Utilisateurs/groupes ayant reçu des privilèges administratifs par l'intermédiaire de leur unité organisationnelle.

  • Les comptes d'utilisateurs locaux et les comptes de service qui peuvent avoir reçu des privilèges administratifs localement sur les contrôleurs de domaine.

  • Utilisateurs ayant reçu des privilèges pour réinitialiser les mots de passe et déverrouiller les comptes d'autres utilisateurs.

  • Utilisateurs disposant de privilèges administratifs leur permettant d'accéder aux comptes de service.

  • Utilisateurs ayant un accès en écriture aux objets de stratégie de groupe liés aux contrôleurs de domaine.

  • Utilisateurs ayant accès à toute application gérant Active Directory.

  • Utilisateurs qui sont administrateurs de l'environnement du système virtuel.

  • Vous pouvez dresser la liste de tous les utilisateurs privilégiés en utilisant Utilisateurs et ordinateurs Active Directory et la console de gestion des stratégies de groupe.

  • Pour découvrir d'autres comptes d'utilisateurs privilégiés, des scripts personnalisés doivent être exécutés. Par exemple, tout membre d'un groupe administratif est un utilisateur privilégié.

  • Étape 2 : Activez les stratégies d'audit requises

  • Lancez le Gestionnaire de serveur dans votre instance Windows Server.

  • Sous Gérer, sélectionnez Gestion des stratégies de groupe et lancez la console de gestion des stratégies de groupe.

  • Allez dans la forêt ➔ Domaine ➔ Votre domaine ➔ Contrôleurs de domaine.

  • Créez un nouveau GPO et liez-le au domaine contenant l'objet utilisateur, ou modifiez un GPO existant lié au domaine pour ouvrir l'Éditeur de gestion de stratégie de groupe.

  • Allez dans Configuration de l'ordinateur ➔ Paramètres Windows ➔ Paramètres de sécurité ➔ Stratégies locales ➔ Stratégie d'audit.

  • La stratégie d'audit énumère toutes ses sous-stratégies dans le panneau de droite, comme le montre la figure ci-dessous.

  • Sélectionnez les stratégies que vous souhaitez activer pour les événements de succès et d'échec. En cas de défaillances multiples, l'organisation peut mettre en place un protocole de sécurité, si nécessaire.

  • Cliquez sur Appliquer et OK pour fermer la fenêtre Propriétés.

    how-to-track-privileged-user-activity-in-active-directory-1
  • Étape 3 - Configuration de la stratégie d'audit avancée

  • Lancez le Gestionnaire de serveur dans votre instance Windows Server.

  • Sous Gérer, sélectionnez Gestion des stratégies de groupe et lancez la console Gestion des stratégies de groupe.

  • Allez dans Configuration de l'ordinateur ➔ Paramètres Windows ➔ Paramètres de sécurité ➔ Configuration avancée de la stratégie d'audit ➔ Stratégies d'audit du système.

  • Sélectionnez les stratégies d'audit requises que vous souhaitez activer et sélectionnez les événements Succès et Échec.

  • Forcer les paramètres de sous-catégorie de la stratégie d'audit à remplacer les paramètres de catégorie de la stratégie d'audit dans la stratégie de groupe pour s'assurer que l'audit de base est désactivé.

    how-to-track-privileged-user-activity-in-active-directory-2
  • Étape 4 - Afficher les événements à l'aide de l’Observateur d’événements Windows

  • Cliquez sur Démarrer ➔ Outils administratifs ➔ Observateur d'événements

  • Cliquez sur Journaux Windows et sélectionnez Sécurité. Vous verrez tous les événements enregistrés dans les journaux de sécurité.

  • Effectuez une recherche à l'aide de l’option Rechercher ou créez une vue personnalisée pour afficher les événements générés par un compte privilégié spécifique.

    how-to-track-privileged-user-activity-in-active-directory-3

L’audit natif devient-il un peu trop compliqué ?

Simplifiez l'audit et le reporting d'Active Directory avec ADAudit Plus.

Obtenez votre essai gratuitEssai gratuit et entièrement fonctionnel pendant 30 jours

ADAudit Plus simplifie le suivi des utilisateurs privilégiés en vous offrant un rapport de surveillance d'activité utilisateur privilégié ainsi qu’une représentation graphique intuitive de cela pour une compréhension facilitée. ADAudit Plus vous offre également la possibilité de générer des rapports personnalisés et de les exporter dans le format de votre choix (.pdf, .xls, .html et .csv).