Comment détecter qui a créé un compte utilisateur dans Active Directory
Audit natif vs. Netwrix Auditor for Active Directory
Netwrix Auditor for Active Directory
- Exécutez Netwrix Auditor → Allez dans "Rapports" → Développez la section "Active Directory" → Rendez-vous dans "Modifications Active Directory" → Sélectionnez "Modifications des comptes utilisateurs" → Cliquez sur "Afficher".
- Définissez le filtre « Actions » sur « Ajouté » → Cliquez sur « Voir le rapport ».
Si vous souhaitez recevoir ce rapport par e-mail régulièrement, choisissez simplement l'option "S'abonner" et définissez le calendrier et les destinataires.
Audit Natif
- Exécutez gpmc.msc → ouvrez la "Stratégie de domaine par défaut" → Configuration de l'ordinateur → Stratégies → Paramètres Windows → Paramètres de sécurité :
- Stratégies locales → Stratégie d'audit → Audit de la gestion des comptes → Définir → Réussite.
- Journal des événements → Définir → Taille maximale du journal de sécurité à 1 Go et Méthode de conservation du journal de sécurité sur Écraser les événements selon les besoins.
- Ouvrez ADSI Edit → Connectez-vous au contexte de nommage par défaut → clic droit sur "DC=nom de domaine" → Propriétés → Sécurité (Onglet) → Avancé → Audit (Onglet) → Cliquez sur "Ajouter" → Choisissez les paramètres suivants :
- Principal : Tout le monde ; Type : Succès ; S'applique à : Cet objet et tous les objets descendants ; Permissions : Créer tous les objets enfants → Cliquez sur "OK".
- Pour définir quel compte utilisateur a été créé, filtrez le journal des événements de sécurité pour l'ID d'événement 4720.
En savoir plus sur Netwrix Auditor for Active Directory
Surveillez en continu les modifications pour déterminer rapidement qui a créé des comptes d'utilisateurs AD
Les individus malveillants qui obtiennent un accès administratif à votre domaine Active Directory peuvent compromettre la sécurité de votre réseau. Tout changement de mot de passe d'un compte utilisateur effectué par quelqu'un d'autre que le propriétaire du compte ou un administrateur IT pourrait être le signe d'un piratage de compte Active Directory. Un malfaiteur qui a volé des identifiants administratifs et les a utilisés pour changer un mot de passe de compte utilisateur a un accès complet au compte et peut l'utiliser pour lire, copier et supprimer des données dans Active Directory. En conséquence, votre organisation peut subir des temps d'arrêt système, des perturbations commerciales ou des fuites de données sensibles.
En surveillant de près les changements de mots de passe, y compris chaque réinitialisation de mot de passe dans Active Directory, les professionnels de l'informatique peuvent détecter des activités suspectes et résoudre les problèmes pour arrêter les attaquants avant qu'il ne soit trop tard. Netwrix Auditor for Active Directory fournit des rapports prédéfinis qui montrent quels comptes ont eu des changements de mots de passe, permettant ainsi aux administrateurs IT de maintenir ces changements sous un contrôle étroit. De plus, l'application fournit des détails sur chaque réinitialisation de mot de passe utilisateur, afin que vous puissiez facilement voir qui a réinitialisé un mot de passe utilisateur dans Active Directory et quand et où le changement a été effectué.
Partager sur