Comment suivre les temps de connexion et de déconnexion des utilisateurs dans Active Directory ?

Bien que les heures de connexion soient faciles à suivre dans Active Directory, vous obtiendrez probablement une heure de dernière connexion différente pour chacun de vos contrôleurs de domaine. En effet, les contrôleurs de domaine Active Directory évitent de se répliquer les uns les autres à chaque connexion et déconnexion, car cela entraînerait un trafic énorme. La recherche des temps de connexion des utilisateurs est cependant crucial, aussi bien du point de vue de la sécurité que de la productivité.

Le contrôle des heures de connexion des utilisateurs peut contribuer à atténuer les menaces dangereuses pour la sécurité. Par exemple, un utilisateur qui passe trop de temps connecté en dehors des heures de travail peut constituer une menace interne potentielle. La surveillance de cet utilisateur et l'observation de toute activité réseau inhabituelle en rapport avec lui pourraient permettre d'éviter une violation du réseau. On ne saurait donc trop insister sur l'importance des événements de connexion des utilisateurs.

ADAudit Plus, un outil d'audit et de reporting pour Active Directory, comporte une section spéciale consacrée à l'audit des événements de connexion. Ces rapports sont générés par le traitement d'informations provenant de plusieurs événements dans Active Directory. Ils constituent donc une solution unique pour tous vos problèmes d'audit. La génération de ces rapports ne nécessite aucune manœuvre complexe - il suffit de quelques clics.

Télécharger GRATUITEMENT Demander une démonstration individuelle

Avec audit AD natif

Étape 1 : Activer la stratégie d'audit

Étape 1 : Activer la stratégie d'audit
Sous l’onglet Gérer, cliquez sur Gestion des stratégies de groupe pour ouvrir la console de gestion des stratégies de groupe.
Allez dans la forêt>Domaine>Votre domaine>Contrôleurs de domaine.
Vous pouvez choisir de modifier un objet de stratégie de groupe existant ou d'en créer un nouveau.
Dans l'Éditeur de stratégie de groupe, accédez à Configuration de l'ordinateur> Paramètres Windows>Paramètres de sécurité>Stratégies locales>Stratégie d'audit.
Dans la stratégie d'audit, sélectionnez « Audit des événements de connexion » et activez-le pour « Succès » et « Échec ».

Étape 2 : Activer la connexion et la déconnexion

Revenez à la Configuration de l'ordinateur et accédez à Paramètres Windows> Paramètres de sécurité> Configuration avancée de la stratégie d'audit> Stratégie d'audit> Connexion/déconnexion.
Sous cette rubrique, activez l'audit pour « Auditer la connexion », « Auditer la déconnexion » et « Auditer la connexion spéciale » et activez-le pour « Succès » et « Échec ».
Ouvrez la console de gestion des stratégies de groupe et sélectionnez le GPO que vous avez modifié ou créé. Dans le volet de droite, sous Filtrage de sécurité, ajoutez les utilisateurs dont les connexions doivent être auditées. Si vous souhaitez auditer tout le monde, l'option est disponible. D'autre part, si vous souhaitez auditer un groupe spécifique de personnes, le groupe peut également être ajouté.

Étape 3 : Utiliser l’Observateur d'événements Active Directory pour vérifier les journaux

Lorsque l'audit des connexions est activé, l’Observateur d'événements Active Directory les enregistre en tant qu'événements avec des identifiants spécifiques. Pour afficher les événements, ouvrez l'Observateur d'événements, accédez à Journaux Windows> Sécurité. Recherchez les ID d'événement 4624 (le compte a été connecté), 4634 (le compte a été déconnecté), 4647 (déconnexion initiée par l'utilisateur) et 4672 (connexion spéciale), 4800 (la station de travail a été verrouillée), 4801 (la station de travail a été déverrouillée).

Cliquez sur « Filtrer le journal actuel », sur le côté droit, pour filtrer les journaux en fonction des identifiants d'événements ou de l'intervalle de temps pour lequel vous avez besoin d'informations.

Avec ADAudit Plus

Activez la stratégie d'audit et activez l'audit des connexions/déconnexions comme indiqué aux étapes 1 et 2 de la section sur l'audit AD natif.

Cliquez sur l'onglet « Rapports » et sélectionnez « Connexion-déconnexion locale ». Ici, il y a plusieurs rapports qui vous donnent les informations de connexion dont vous avez besoin et plus encore. L'activité de connexion montre les tentatives de connexion, avec le nom d'utilisateur, l'heure de connexion, le nom de la station de travail, le type de connexion, entre autres exemples. La durée de connexion vous indique l'heure de connexion, l'heure de déconnexion et la durée de chaque session connectée. Les heures de travail de l'utilisateur indiquent le temps total que l'utilisateur a passé connecté à la station de travail.

Voici un exemple de rapport sur l'activité de connexion :

Cliquez sur « Recherche avancée » en haut pour filtrer le rapport. Divers paramètres tels que le nom d'utilisateur, l'ID d'événement, le domaine peuvent être utilisés pour filtrer le rapport.

Comment suivre les temps de connexion et de déconnexion des utilisateurs dans Active Directory ?

Avec audit AD natif

Étape 1 : Activer la stratégie d'audit

Étape 2 : Activer la connexion et la déconnexion

Étape 3 : Utiliser l’Observateur d'événements Active Directory pour vérifier les journaux

Avec ADAudit Plus

L’audit natif devient-il un peu trop compliqué ?

Simplifiez l'audit et le reporting LDAP avec
ADAudit Plus.

Comment suivre les temps de connexion et de déconnexion des utilisateurs dans Active Directory ?

Avec audit AD natif

Étape 1 : Activer la stratégie d'audit

Étape 2 : Activer la connexion et la déconnexion

Étape 3 : Utiliser l’Observateur d'événements Active Directory pour vérifier les journaux

Avec ADAudit Plus

L’audit natif devient-il un peu trop compliqué ?

Simplifiez l'audit et le reporting LDAP avec ADAudit Plus.

Simplifiez l'audit et le reporting LDAP avec
ADAudit Plus.