Comment auditer l'accès au mot de passe LAPS en utilisant Windows PowerShell et ADAudit Plus

La solution LAPS (Local Administrator Password Solution) a aidé à améliorer la sécurité du réseau en attribuant des mots de passe forts et uniques qui peuvent également être modifiés régulièrement. Cependant, comme ces mots de passe sont stockés de manière centralisée dans Active Directory, il existe un risque que des utilisateurs non autorisés puissent également accéder à la réserve de mots de passe et se connecter à l'un des postes de travail. Comme LAPS n'a pas de fonction d'audit intégrée, des applications tierces devront être utilisées pour auditer les utilisateurs qui accèdent aux mots de passe de l'administrateur local.

ManageEngine ADAudit Plus, une solution d'audit AD en temps réel, offre une alternative beaucoup plus simple au même processus, exécuté dans un AD natif.

Cet article détaille les moyens à votre disposition pour auditer l'accès au mot de passe LAPS en utilisant Windows PowerShell et ADAudit Plus.

Utilisation de Windows PowerShell

PowerShell peut mettre en place un audit de l'accès au mot de passe LAPS. Ceci permettra de vérifier les utilisateurs qui accèdent aux mots de passe LAPS dans Active Directory et l'information sera enregistrée dans l’Observateur d'événements AD avec l'ID d'événement 4662.

Pour configurer l'audit de PowerShell :

  • Identifiez le domaine que vous devez auditer.
  • Importer le module AdmPwd.PS.
  • Écrivez le code. Un exemple de script PowerShell a été joint à la fin de cette section.
  • Compilez le script.
  • Exécutez-le dans PowerShell.
  • Cela permettra de mettre en place l'audit.

Voici un exemple de script :

Set-AdmPwdAuditing -Identity:Clients -AuditedPrincipals:Everyone

À l’aide d’ADAudit Plus

  • Dans la console ADAudit Plus, cliquez sur Rapports> Audits LAPS> Lecture des mots de passe LAPS pour générer un rapport sur les utilisateurs qui ont accédé aux mots de passe.
  • Sélectionnez le domaine et l’UO concernés.
  • Cliquez sur Exporter pour exporter le rapport dans les autres formats indiqués (CSV, PDF, HTML, CSVDE, XLSX).

Les rapports LAPS sur les mots de passe indiquent les utilisateurs qui ont accédé aux mots de passe dans la période choisie. Seul un petit groupe d'utilisateurs autorisés est habilité à accéder aux mots de passe, en général des administrateurs réseau. Une vérification régulière du rapport peut contribuer à garantir que seuls les utilisateurs désignés ont accès aux informations.

Here is a sample report:

powershell-set-admpwdauditing-1

Voici les limites de l'utilisation de PowerShell pour auditer LAPS :

  • PowerShell peut uniquement activer l'audit. Il ne donne pas de rapport lui-même.
  • Cette méthode nécessite l'utilisation de plusieurs applications pour l'audit. Les administrateurs doivent activer l'audit dans PowerShell et consulter l’Observateur d'événements pour obtenir des informations sur les utilisateurs ayant accédé au mot de passe LAPS. Même avec l'Observateur d'événements, il n'est pas possible de visualiser de manière exhaustive tous les accès aux mots de passe LAPS sous la forme d'un rapport unique. L'examen manuel de tous les événements prend beaucoup de temps.

ADAudit Plus est un outil d'audit et de reporting d'Active Directory qui vérifie en permanence le réseau et génère des rapports préconfigurés sur tous les objets AD. Cela crée également des alertes en temps réel en cas d'activité suspecte sur le réseau. Cela comporte une section distincte pour les LAP et peut générer rapidement des rapports en fonction des besoins.

  • Créez des scripts PowerShell, et simplifiez la vérification des changements AD avec ADAudit Plus.
  •  
  • En cliquant sur « Obtenir votre évaluation gratuite maintenant, », vous acceptez le traitement des données personnelles conformément à la Politique de confidentialité.
  •  
  • Merci du téléchargement !
  • Votre téléchargement doit commencer automatiquement dans 15 secondes. Sinon, cliquez ici pour télécharger manuellement.