Rapports d'audit des connexions d'utilisateurs en temps réel
- Rapport des échecs d'ouverture de session
- Activité d’ouverture de session sur les contrôleurs de domaine
- Activité d’ouverture de session sur les serveurs membres
- Activité d’ouverture de session sur les stations de travail
- Activité d'ouverture de session des utilisateurs
- Activité récente d'ouverture de session des utilisateurs
- Dernière ouverture de session sur les stations de travail
- Utilisateurs connectés à plusieurs ordinateurs
- Ouverture de session RADIUS sur des ordinateurs
Rapport des échecs d'ouverture de session
Le rapport sur les échecs de connexion en temps réel fournit des informations sur les échecs de connexion et la raison de ces échecs sur une période donnée. Les tentatives multiples d'échec de connexion (mauvaises tentatives de connexion) sur les comptes d'utilisateurs au cours de la période sélectionnée sont signalées. Cela apporte aux administrateursdes renseignements sur de possibles attaques sur des comptes « vulnérables aux attaques par intrusion ». De même, en cas d’échec d’ouverture de session, des informations sont fournies sur l’échec de l’ouverture de session, sur le compte concerné et sur les raisons possibles de l’échec.
Les motifs de l'échec de la connexion peuvent être critiques, comme un mauvais nom d'utilisateur ou un mauvais mot de passe, susceptibles de faire l'objet d'attaques. Les raisons suivantes doivent attirer l’attention de l’administrateur : « Le mot de passe a expiré », « Compte désactivé/expiré/verrouillé » ou « L’administrateur doit réinitialiser le mot de passe du compte ». D’autres raisons sont également signalées, notamment : « Restriction horaire d’ouverture de session/de station de travail », « Le nouveau compte d'ordinateur n’a pas encore été répliqué » ou « L’ordinateur est antérieur à Windows 2000 » et « L’heure sur la station de travail n’est pas synchronisée avec l’heure dans les contrôleurs de domaine ».
Une représentation graphique du nombre d’échecs d’ouverture de session et des raisons des échecs aide les administrateurs à prendre rapidement une décision et à gérer efficacement le problème.
Activité d’ouverture de session sur les contrôleurs de domaine
Les contrôleurs de domaine sont les composantes centrales cruciales d’Active Directory, à partir desquels les changements d’AD sont effectués. L’ouverture de session de contrôleur de domaine est réservée aux utilisateurs privilégiés ou administrateurs ; des informations complètes sur les tentatives d’ouverture de session par d’autres utilisateurs permettent aux administrateurs de prendre des mesures correctives en connaissance de cause. ADAudit Plus fournit des informations sur tous les utilisateurs qui se sont connectés à un contrôleur de domaine particulier. Des détails tels que l’heure de l’ouverture de session, l’emplacement à partir duquel un utilisateur a ouvert une session (le nom de la machine), le succès ou l’échec de la tentative d’ouverture de session et la raison de l’échec si elle est connue, sont également indiqués.
Activité d’ouverture de session sur les serveurs membres et les stations de travail
L’activité d’ouverture de session sur les serveurs membres et les stations de travail fournit des informations sur les ouvertures de session d’utilisateur sur des serveurs membres ou des stations de travail sélectionnés respectivement. Les deux rapports sont similaires au « rapport des activités d’ouverture de session sur les contrôleurs de domaine », ce qui facilite grandement la manipulation et la compréhension du logiciel.
Activité d'ouverture de session des utilisateurs
Le rapport des ouvertures de session d’utilisateur fournit des informations d’audit sur l’historique complet des ouvertures de session sur les « serveurs » ou les « stations de travail » auxquels un utilisateur donné du domaine a accédé. L’historique des ouvertures de session de l’objet utilisateur est très important pour comprendre le modèle d’ouverture de session d’un utilisateur particulier ; dans d’autres circonstances, il fournit aux auditeurs et aux gestionnaires des preuves enregistrées sur n’importe quel utilisateur.
Activité récente d'ouverture de session des utilisateurs
Les administrateurs système soupçonnent ou craignent que les utilisateurs se livrent à des irrégularités dans leur utilisation du réseau. Les échecs de tentatives d’ouverture de session constituent un indicateur ou une mesure pour repérer les irrégularités. Dans le rapport « Activité récente d'ouverture de session d’utilisateur » d’ADAudit Plus figure la liste par utilisateur de toutes les activités d’ouverture de session qui ont réussi ou échoué au cours d’une période donnée. En outre, les raisons des échecs d’ouverture de session sont également fournies en remarque afin de prendre des mesures correctives.
La liste des utilisateurs qui ont réussi à se connecter au réseau un jour donné, à une certaine date ou au cours d’une période choisie peut être consultée dans ce rapport.
La liste des utilisateurs qui ont réussi à se connecter au réseau un jour donné, à une certaine date ou au cours d’une période choisie peut être consultée dans ce rapport.
Dernière ouverture de session sur une station de travail
Dans ce rapport sont récapitulées les informations sur l’heure de la dernière ouverture de session sur une station de travail ou un ordinateur par tous les utilisateurs qui ont réussi à se connecter un certain jour. Ce rapport peut être utilisé pour déterminer l’absentéisme ou le statut actuel de la disponibilité des utilisateurs dans l’organisation. La dernière mauvaise connexion sur une station de travail peut également être déterminée.
Utilisateurs connectés à plusieurs ordinateurs
Windows Active Directory permet aux utilisateurs du domaine de se connecter à plusieurs ordinateurs à la fois. Les administrateurs, les auditeurs et les gestionnaires ont besoin d'outils avancés pour suivre ces connexions et s'assurer que les ressources sont utilisées comme il se doit.
Le rapport Utilisateurs connectés à plusieurs ordinateurs fournit les dernières données de connexion d'un ou de plusieurs utilisateurs à plusieurs ordinateurs dans un laps de temps donné. Ce rapport sert d'index pour l'audit des utilisateurs qui se connectent à plusieurs ordinateurs.
Le rapport Utilisateurs connectés à plusieurs ordinateurs fournit les dernières données de connexion d'un ou de plusieurs utilisateurs à plusieurs ordinateurs dans un laps de temps donné. Ce rapport sert d'index pour l'audit des utilisateurs qui se connectent à plusieurs ordinateurs.
Audit des connexions RADIUS sur les ordinateurs
Auditer l’accès au réseau RADIUS (Remote Authentication Dial-In User Service) des utilisateurs ayant ouvert une session sur un ordinateur distant. Avec les rapports sur les utilisateurs ayant ouvert une session à distance comme les échecs d’ouverture de session RADIUS (NPS) et l’historique des ouvertures de session RADIUS (NPS), surveillez toute l’authentification RADIUS dans Active Directory. Veuillez noter qu’actuellement, seules les activités d’ouverture de session RADIUS via le Serveur de stratégie réseau (Windows Server 2008) sont prises en charge.
