ADAudit Plus est une solution d'audit primée offrant une architecture de journalisation centralisée qui permet aux administrateurs de l'environnement Microsoft Windows d'afficher, de suivre, d'archiver et d'obtenir des alertes en temps réel ainsi que des rapports d'audit complets sur les événements des journaux de sécurité Windows. Le journal de sécurité contient des enregistrements des événements relatifs à la sécurité que définit la stratégie d'audit du système. Les administrateurs peuvent détecter et suivre les actions non autorisées tentées et réussies et résoudre les problèmes. Par exemple, les événements de sécurité englobent les événements d'authentification, d'audit, non autorisés et enregistrés dans les journaux de sécurité des systèmes d'exploitation.
| Journaux des événements de sécurité Windows critiques qui demandent un audit | |
| 4768 / 4771 | Connexion aux comptes réussie/échouée |
| 4624 / 4625 | Connexion locale réussie/échouée |
| 4647 | Déconnexion initiée par l'utilisateur |
| 4778 / 4779 | Session des services Terminal Server reconnectée/déconnectée |
| 5136 / 5137 | Création/modification/transfert d'objets AD |
| 5139 / 5141 | Transfert/suppression d'objets AD |
| 4670 | Modification d'autorisations avec les anciens et les nouveaux attributs |
| 4663 / 4659, 4660 | Accès/suppression de fichiers |
Le nombre considérable des événements enregistrables implique que l'analyse des journaux de sécurité peut être une tâche chronophage. Si vous souhaitez vérifier la réussite, l'échec ou pas du tout ce type d'événement, vous devez définir la configuration avancée de la stratégie d'audit (paramètres locaux de sécurité). Vous veillez ainsi à ne collecter que les journaux de sécurité nécessaires à l'audit, ce qui préserve l'espace disque en ne stockant pas des journaux inutiles.
Voici une liste des événements de sécurité dont l'audit est recommandé, qui relèvent de la configuration avancée de la stratégie d'audit : Pour les contrôleurs de domaine | Pour les serveurs de fichiers Windows | Pour les serveurs membres Windows | Pour les postes de travail Windows
| La liste qui suit indique les diverses catégories de configuration avancée de la stratégie d'audit | |
| Connexion aux comptes | Documentez les tentatives pour authentifier les données de compte sur un contrôleur de domaine ou un gestionnaire des comptes de sécurité local. |
| Gestion des comptes | Suivez les modifications apportées aux comptes et aux groupes d'utilisateurs et d'ordinateurs. |
| Suivi détaillé | Contrôlez l'activité de chaque application et utilisateur sur l'ordinateur. |
| Accès aux services d'annuaire | Affichez un journal d'audit détaillé des tentatives d'accès et de modification d'objets dans les services de domaine Active Directory. |
| Connexion/déconnexion | Suivez les tentatives de connexion à un ordinateur interactivement ou via un réseau. Ces événements sont particulièrement utiles pour suivre l'activité des utilisateurs et identifier de possibles attaques contre les ressources réseau. |
| Accès aux objets | Suivez les tentatives d'accès à des objets ou des types d'objet particuliers sur un réseau ou un ordinateur. |
| Modification de stratégie | Suivez les modifications et les tentatives pour modifier des stratégies de sécurité importantes sur un système local ou un réseau. |
| Utilisation de privilèges | Suivez les autorisations accordées sur un réseau à des utilisateurs ou des ordinateurs pour effectuer des tâches précises.. |
| Système | Contrôlez les modifications au niveau système d'un ordinateur qui ne relèvent pas d'autres catégories et ont de possibles incidences sur la sécurité. |
| Audit global de l'accès aux objets | Les administrateurs peuvent définir des listes de contrôle d'accès système (SACL) par type d'objet pour le système de fichiers ou le registre. |