Comment auditer les services de fédération Active Directory (ADFS)
Active Directory Federation Services (ADFS) fait de l'authentification une expérience transparente pour les utilisateurs. ADFS est utile sur les lieux de travail où les employés doivent accéder à plusieurs applications tierces. ADFS permet d'intégrer le processus d'authentification entre le réseau Active Directory et les applications tierces. Avec ADFS, les utilisateurs ne doivent se connecter qu'une seule fois à leur réseau et cela les authentifie également pour toutes les applications, pendant un certain temps. Cependant, cela complique la vie des administrateurs de réseau qui doivent empêcher que ces mots de passe ne tombent entre de mauvaises mains. Si ces mots de passe sont compromis, cela met en danger toute une série de données d'application. Par conséquent, il devient impératif de surveiller ADFS de façon constante.
ADAudit Plus est un outil d'audit et de rapport pour Active Directory qui permet de suivre de près tous les événements survenant sur le réseau. Cet outil dispose d'un ensemble exclusif de rapports ADFS, qui ne représente qu'une partie des plus de 200 rapports préconfigurés disponibles dans la console.
Voici une comparaison sur l'audit d'ADFS à l'aide de Windows PowerShell et d'ADAudit Plus.
Utilisation de Windows PowerShell
- Identifiez le domaine dont vous voulez obtenir les informations.
- Écrivez le code. L'exemple de commande cmdlet ci-dessous donne la liste de toutes les propriétés ADFS associées. Ajoutez des paramètres au script si nécessaire. Par exemple, le paramètre ExpandProperty donne plus de détails sur une propriété particulière qui est répertoriée.
- Compilez le script.
- Exécutez-le dans PowerShell.
- Le script doit être modifié en conséquence s'il doit être exporté dans un autre format.
Dans ce cas, le script ne nécessite aucune entrée. Il suffit d'exécuter Get-AdfsProperties pour que PowerShell répertorie toutes les propriétés associées au service ADFS dans ce domaine.
Pour définir les propriétés pertinentes, utilisez la commande cmdlet Set-AdfsProperties.
À l’aide d’ADAudit Plus
- Dans la console ADAudit Plus, trouvez l'onglet Rapports et cliquez sur Audit ADFS. Sous Audit ADFS, vous trouverez des rapports sur les réussites et les échecs de connexion, les verrouillages extranet, etc.
- Trouvez le domaine et l’UO correspondants.
- Cliquez sur Exporter pour exporter le rapport dans les différents formats listés dans la console (CSV, PDF, HTML, CSVDE, XLSX)
Voici un exemple de rapport sur la réussite de connexion :
Ce rapport donne la liste des connexions réussies avec le contrôleur de domaine concerné, l'adresse IP de la machine cliente et surtout l'application tierce avec laquelle ils se sont connectés. Cela permet aux administrateurs de retracer tout utilisateur qui s'est connecté à l'une des applications.
Voici un autre rapport sur les échecs de connexion :
Les tentatives de connexion échouées doivent être considérées comme des menaces potentielles pour la sécurité, car elles pourraient avoir été tentées par des personnes essayant de s'introduire dans un réseau. Ce rapport indique l'identité de l'utilisateur, l'adresse IP de la machine cliente et la raison de l'échec de la connexion.
Les inconvénients de l'utilisation de Windows PowerShell pour auditer ADFS :
- Plusieurs scripts PowerShell sont nécessaires pour effectuer un audit complet.
- Pour exporter le rapport dans un autre format, il faut réécrire certaines parties du script.
- Il est difficile de filtrer toutes les données que PowerShell énumère, alors qu'ADAudit Plus a des rapports clairement étiquetés, qui permettent aux administrateurs de trouver facilement ce dont ils ont besoin.
ADAudit Plus possède une interface conviviale et génère des rapports d'audit sans avoir recours à des scripts. Il ne se contente pas de répertorier les données, mais traite les données provenant de plusieurs sources dans Active Directory pour fournir très rapidement des rapports complets.
Ressources connexes:
Connexion-déconnexion
- Comment obtenir l'utilisateur actuellement connecté sur PowerShell
- Comment savoir sur quel ordinateur un utilisateur est connecté ?
- Comment voir à distance quels utilisateurs sont connectés à Windows ?
- Comment obtenir l'utilisateur connecté actuel
- Comment obtenir l'historique des connexions d'un utilisateur à l'aide de PowerShell
- Obtenir les identifiants du serveur Terminal
- Obtenir un rapport d'audit sur les activités de connexion et de déconnexion d'un compte d'utilisateur AD
- Comment obtenir les échecs des tentatives de connexion en utilisant powershell
- Get-rdusersession
- Comment obtenir le dernier utilisateur connecté sur un ordinateur distant à l'aide de Powershell ?
- Comment trouver l'ordinateur sur lequel un utilisateur s'est connecté à l'aide de powershell ?
- Comment obtenir la dernière connexion d'un utilisateur à l'aide de Powershell ?
- Comment déployer des services de bureau à distance à l'aide de Powershell ?
Blocage des comptes
- Afficher l'historique du verrouillage des comptes d'utilisateurs Active Directory
- Comment trouver des comptes d'utilisateurs verrouillés
- Comment trouver la source du blocage de compte
- Recherche de comptes verrouillés dans Active Directory
- Comment trouver la raison du blocage d'un compte à l'aide de Powershell ?
Journaux d'événements Windows
- Comment vérifier les journaux d'événements de Windows
- Comment auditer les journaux de sécurité à l'aide de powershell
- Get-winevent
- Script Powershell pour la sécurité
- Comment obtenir les journaux d'événements de sécurité sans powershell ?
- Comment surveiller le journal des événements à l'aide de powershell
Audit des serveurs de fichiers
- Comment surveiller les nouveaux fichiers dans un dossier ?
- Comment surveiller les modifications d'un dossier à l'aide de powershell
- Comment vérifier les permissions d'un dossier à l'aide de powershell
- Powershell Filesystemwatcher - Suivi des modifications de fichiers et de dossiers
- NTFSSecurity module powershell
- Get-fileintegrity
- Get-FileShare
- Comment auditer un cluster de basculement à l'aide de powershell
- How to get file creation date using powershell
- Comment obtenir le dernier fichier modifié dans un répertoire en utilisant powershell
- Script Powershell pour trouver des fichiers par propriétaire
Audit de l'Active Directory
- Comment savoir qui a créé un compte AD à l'aide de Powershell ?
- Comment auditer Active Directory à l'aide de powershell
- Obtenir des rapports sur Active Directory à l'aide de Powershell
- Comment savoir qui a supprimé un objet AD à l'aide de Powershell ?
- Comment obtenir un compte privilégié en utilisant powershell
- Obtenir des rapports sur les GPO sans powershell
- Comment auditer le mot de passe LAPS à l'aide de powershell ?
- Comment obtenir les propriétés d'adfs en utilisant powershell -ADAudit Plus
- Comment obtenir les diagnostics d'un serveur DNS à l'aide de Powershell ?
- Comment obtenir les liens vers les GPO à l'aide de Powershell
- Comment auditer les changements de l'Active Directory en utilisant powershel
- Comment surveiller un processus en temps réel à l'aide de powershell
Azure AD
Audit du serveur
Démarrage et arrêt des ordinateurs