Windows vous permet de définir un seuil de verrouillage de compte de façon à déterminer le nombre de fois qu'un utilisateur peut tenter de se connecter avec un mot de passe non valide avant que son compte ne soit verrouillé. Vous pouvez également définir la durée pendant laquelle un compte reste verrouillé à l'aide du paramètre Durée de verrouillage du compte. Ces stratégies de verrouillage des comptes permettent de défendre votre réseau contre les tentatives pour deviner les mots de passe et les attaques par force brute potentielles. Cependant, des stratégies strictes pourraient signifier que les utilisateurs tentent moins souvent de se souvenir de leurs mots de passe, ce qui les conduirait à se faire exclure de leurs comptes plus souvent.
Windows génère deux types d'événements liés aux verrouillages des comptes. L'ID d’événement 4740 est généré sur les contrôleurs de domaine, les serveurs Windows et les stations de travail chaque fois qu'un compte est verrouillé. L'ID d'événement 4767 est généré chaque fois qu'un compte est déverrouillé. Dans ce guide, nous allons nous concentrer sur l'ID d’événement 4740.
ID d'événement 4740 - Propriétés de l'événement
ID d'événement 4740 - Onglet Détails
Répartissons les propriétés de cet événement par Objet, Compte verrouillé et Informations supplémentaires, comme indiqué dans l'onglet Général (Fig. 1).
ID de sécurité Le SID du compte qui a effectué l'opération de verrouillage.
Nom du compte: Le nom du compte qui a effectué l'opération de verrouillage.
Domaine du compte: Le nom du domaine ou de l'ordinateur. Les formats peuvent varier et inclure le nom NETBIOS, le nom de domaine complet en minuscules ou le nom de domaine complet en majuscules.
Pour les principaux de sécurité bien connus, ce champ est « NT AUTHORITY », et pour les comptes d'utilisateurs locaux, ce champ contient le nom de l'ordinateur auquel le compte appartient.
ID de connexion : L'ID de connexion vous aide à établir une corrélation entre cet événement et des événements récents susceptibles de contenir le même ID de connexion (par ex ID d'événement 4625).
ID de sécurité Le SID du compte qui a été verrouillé. Windows tente de résoudre les SID et d'afficher le nom du compte. Si le SID ne peut pas être résolu, vous verrez les données source dans l'événement.
Nom du compte: Le nom du compte qui a été verrouillé.
Nom de l'ordinateur de l’appelant: Le nom du compte d'ordinateur (par exemple JOHN-WS12R2) à partir duquel la tentative de connexion a été générée.
Bien que vous puissiez attacher une tâche au journal de sécurité et demander à Windows de vous envoyer un e-mail, vous êtes limité à recevoir un e-mail lorsque l'ID d'événement 4740 est généré, et Windows n'a pas la possibilité d'appliquer des filtres plus granulaires.
Avec un outil comme ADAudit Plus, vous pouvez non seulement appliquer des filtres granulaires pour vous concentrer sur les menaces réelles, mais aussi être averti en temps réel par SMS.
Tirez parti des techniques avancées d'analyse statistique et d'apprentissage machine pour détecter les comportements anormaux sur votre réseau.
Respectez diverses normes de conformité, telles que SOX, HIPAA, PCI, FISMA, GLBA et RGPD, grâce à des rapports de conformité prêts à l'emploi.
Le téléchargement d'ADAudit Plus permet de recevoir des alertes en temps réel en moins de 30 minutes. Avec plus de 200 rapports et alertes préconfigurés, ADAudit Plus garantit la sécurité et la conformité de votre Active Directory.