Comment surveiller les connexions utilisateur
à votre domaine


Nous ne partageons jamais vos données. Privacy Policy
Solution native Netwrix Auditor for Active Directory
Étapes
  1. Exécutez gpmc.msc → Créez un nouvel objet de stratégie de groupe → Modifiez-le : Allez à « Configuration ordinateur » → Stratégies → Paramètres Windows → Paramètres de sécurité → Configuration avancée de la stratégie d’audit → Stratégies d’audit → Ouvrir/fermer la session :
    • Auditer l’ouverture de session → Sélectionnez : Réussites et échecs
  2. Allez dans le Journal des événements → Définissez :
    • Taille maximale du journal de sécurité : 4 Go
    • Méthode de conservation du journal de sécurité : « Remplacer les événements si nécessaire ».
  3. Liez l’objet de stratégie de groupe à l’unité d’organisation dans Comptes d’ordinateurs : Allez à « Gestion des stratégies de groupe » → cliquez avec le bouton droit sur l’unité d’organisation définie → sélectionnez « Lier un objet de stratégie de groupe existant » > sélectionnez l’objet de stratégie de groupe que vous avez créé.
  4. Forcez la mise à jour de la stratégie de groupe : Dans « Gestion des stratégies de groupe », cliquez avec le bouton droit sur l’unité d’organisation définie → cliquez sur « Mise à jour de la stratégie de groupe ».
  5. Ouvrez l’Observateur d’événements et recherchez dans le Journal de sécurité l’événement 4648 (Auditer l’ouverture de session).
  1. Exécutez Netwrix Auditor → cliquez sur « Rapports » → sélectionnez « Active Directory » → Activités de connexion → sélectionnez « Connexions réussies » ou « Connexions échouées » → cliquez sur « Afficher ».

Toutes les connexions réussies et échouées à votre domaine s’affichent alors.

Auditer les événements de connexion pour identifier 
les tentatives d’accès non autorisées

Une vague inhabituelle d’événements de verrouillage de comptes peut indiquer qu’un attaquant tente d’entrer dans votre environnement. Cependant, un audit des seuls verrouillages de comptes peut ne pas suffire à détecter toutes les attaques. Par exemple, un logiciel malveillant qui génère au hasard des mots de passe pour des noms d’utilisateur inexistants n’entraînera pas de verrouillage de comptes. Un audit des connexions utilisateur est le seul moyen de détecter toutes les tentatives non autorisées de connexion à un domaine. Pour détecter les tentatives d’intrusion, il est nécessaire d’auditer les événements de connexion – réussis ou infructueux – même s’ils ne provoquent pas de verrouillage de comptes.

Netwrix Auditor for Active Directory permet aux professionnels de l’informatique d’obtenir des informations détaillées sur chaque tentative de connexion. Cette solution comprend des rapports complets pré-intégrés qui rationalisent la surveillance des connexions et aident les professionnels de l’informatique à minimiser les risques d’atteinte à la sécurité. Par exemple, le rapport Failed Logon Attempts (Tentatives de connexion infructueuses) permet aux professionnels de l’informatique de détecter les tentatives d’intrusion, et le rapport Successful Logons by User (Connexions réussies par utilisateur) leur permet de repérer les connexions réussies inhabituelles qui pourraient être le fait d’attaquants utilisant des identifiants valides volés.