Contents
Importance des stratégies d'audit avancées.
L'objectif de l'audit de sécurité est de s'assurer que les événements sont enregistrés chaque fois qu'une activité se produit. Cependant, lorsque chaque activité est auditée, les journaux des événements sont inondés d'informations non pertinentes, ce qui empêche les administrateurs de réseau de distinguer les événements critiques des événements insignifiants. Les paramètres avancés de la stratégie d'audit permettent aux administrateurs d'exercer un contrôle granulaire sur les activités enregistrées dans les journaux, ce qui contribue à réduire le bruit des événements.
Par exemple, au lieu d'activer la catégorie de stratégie d'audit DS Access pour résoudre un problème de réplication(ce qui génère environ huit événements à chaque fois que cette activité se produit), un administrateur peut activer la sous-catégorie de stratégie d'audit avancée pour Réplication du service d’annuaire, ce qui ne génère qu'un seul événement au lieu de huit.
Les bases de la configuration d'une stratégie d'audit avancée.
- Identifiez les activités les plus importantes de votre réseau qui doivent être suivies. Pour commencer, consultez les 8 identifiants d'événements les plus critiques.
- Identifiez les paramètres d'audit de sécurité qui peuvent être utilisés pour suivre ces activités.
- Évaluez les avantages et les inconvénients potentiels (implications sur la taille du journal des événements, par exemple) de chacun de ces paramètres.
- Configurez et gérez les paramètres d'audit de sécurité (en plus des stratégies d'audit et des stratégies d'audit avancées, vous devez également configurer les listes de contrôle d'accès au système (SACL) pour permettre l'audit des objets du répertoire et des fichiers/dossiers).
Pour plus d'informations sur la configuration des SACL, consultez notre document d'aide.
Étapes à suivre pour configurer un paramètre de stratégie d'audit avancée.
La définition d'une stratégie d'audit avancée nécessite des autorisations de niveau administrateur ou des autorisations déléguées appropriées.
- À partir du contrôleur de domaine, cliquez sur Démarrer, et pointez sur Outils administratifs, puis sur Gestion de la stratégie de groupe..
- Dans l'arborescence de la console, cliquez sur le nom de votre forêt > Domaines > votre domaine, puis faites un clic droit sur la stratégie Domaine par défaut ou Contrôleurs de domaine correspondante (ou créez votre propre stratégie), puis cliquez sur Modifier.
- Sous Configuration de l'ordinateur, cliquez sur Stratégies > Paramètres Windows > Paramètres de sécurité > Configuration avancée de la stratégie d'audit > Stratégie d'audit, puis double-cliquez sur le paramètre de stratégie approprié.
- Dans le volet de droite, faites un clic droit sur la Sous-catégorie concernée, puis cliquez sur Propriétés.
- Sélectionnez Succès, Échec ou les deux dans la case des événements d'audit, puis cliquez sur OK.
![Steps to configure advanced audit policy setting](https://www.manageengine.com/fr/active-directory-audit/kb/images/configure-advanced-audit-policies-sprite-audit-events-checkbox.png)
Les dix catégories de la stratégie d'audit avancée en bref.
- Account Logon (four subcategories): Monitors attempts to authenticate account data on a domain controller or on a local Security Accounts Manager (SAM).
- Account Management (six subcategories): Monitors changes to user and computer accounts and groups.
- Detailed Tracking (five subcategories): Monitors the activities of individual applications and users on a computer, and shows how that computer is being used.
- DS Access (four subcategories): Provides a detailed audit trail of attempts to access and modify objects in Active Directory Domain Services.
- Logon/Logoff (11 subcategories): Tracks attempts to log on to a computer interactively or over a network.
- Object Access (14 subcategories): Tracks attempts to access specific objects or types of objects on a network or computer.
- Policy Change (six subcategories): Tracks changes to important security policies on a local system or network.
- Privilege Use (three subcategories): Tracks the use of certain permissions on one or more systems.
- System (five subcategories): Tracks system-level changes to a computer that are not included in other categories and that have potential security implications.
- Global Object Access Auditing (two subcategories): Allows administrators to define computer SACLs per object type for the file system or for the registry.
Choisir d'enregistrer les succès, les échecs ou les deux.
Vous devez évaluer les avantages et les inconvénients avant de choisir d'enregistrer les succès, les échecs ou les deux. Par exemple, pour les fichiers auxquels les utilisateurs légitimes accèdent fréquemment, les tentatives d'accès réussies rempliront rapidement le journal des événements avec des événements bénins. Comme les échecs de connexion peuvent indiquer des tentatives d'accès non autorisées, ces échecs (en tant qu’événements) doivent être audités dans ce scénario. En revanche, pour les fichiers contenant des informations sensibles, chaque tentative d'accès doit être enregistrée (qu'elle ait abouti ou non), afin de disposer d'une piste d'audit de chaque utilisateur ayant accédé au fichier.
Cinq points clés à garder à l'esprit.
- Les stratégies d'audit sont des stratégies informatiques. Cela signifie qu'une stratégie d'audit avancée doit être appliquée via les GPO appliqués aux UO contenant des ordinateurs et non aux UO d'utilisateurs.
- La stratégie de domaine par défaut est liée au domaine et affecte tous les utilisateurs et ordinateurs de ce domaine par le biais de l'héritage de la stratégie de groupe. Alors que la Stratégie des contrôleurs de domaine par défaut est liée à l’UO des contrôleurs de domaine et n'affecte que les contrôleurs de domaine. Les paramètres de stratégie appliqués au niveau de l’UO prévalent sur les paramètres de stratégie appliqués au niveau du domaine.
- Lorsque vous utilisez les paramètres de la stratégie d'audit avancée, veillez à activer l'option Forcer les paramètres de la stratégie d'audit avancée afin de remplacer les paramètres de la stratégie d'audit. Pour ce faire, rendez-vous sur Stratégies locales > Options de sécurité, et activez l'option Forcer les paramètres de la sous-catégorie de stratégie d'audit.
- Lancez l'assistant Résultats de la stratégie de groupe qui se trouve sous la console de gestion des stratégies de groupe pour afficher une liste consolidée de tous les paramètres de la stratégie d'audit qui seront appliqués.
- Si vous modifiez une stratégie d'audit avancée existante, effectuez une sauvegarde du GPO existant afin de pouvoir le restaurer à tout moment. Pour effectuer une sauvegarde, faites un clic droit sur le GPO concerné et utilisez la fonctionnalité Sauvegarder.
Passez du téléchargement d'ADAudit Plus de ManageEngine à la réception d'alertes de sécurité Active Directory en seulement une heure !
ADAudit Plus détecte automatiquement les contrôleurs de domaine, configure les paramètres de sécurité requis pour enregistrer les événements et configure les profils d'alerte par défaut, avec votre consentement bien sûr.