Magic Quadrant™ pour la gestion des accès privilégiés 2025 : Netwrix reconnue pour la quatrième année consécutive. Téléchargez le rapport.

Contactez-nousSupportCommunauté
English Español Italiano Français Deutsch Português
Plateforme
Solutions

Data Security Posture Management

Découvrez et classez les données dans des environnements hybrides. Évaluez, priorisez et atténuez les risques pour les données sensibles.

Directory Management

Simplifiez et sécurisez l'administration des annuaires en réduisant la complexité, les risques et les efforts manuels.

Endpoint Management

Sécurisez les points de terminaison et prévenez la perte de données tout en maintenant la productivité des équipes, peu importe où elles travaillent.

Identity Management

Sécurisez chaque identité, simplifiez chaque processus et restez en avance sur la conformité — sans ajouter de complexité.

Identity Threat Detection & Response

Restez en avance sur les menaces basées sur l'identité — remédiez proactivement aux risques, bloquez les attaques et assurez une récupération rapide.

Privileged Access Management

Réduisez votre surface d'attaque en supprimant les privilèges permanents, en sécurisant les identifiants et en surveillant les sessions privilégiées.
Produits vedettes Voir tous les produits
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

La plateforme Netwrix 1Secure™

Explorez
Netwrix AI Environnements que nous protégeons Intégrations MSPs Risques de sécurité Active Directory Conformité Tarification
Centre de ressources Voir tout
BlogAttack CatalogConformitéTémoignages de clientsCadres de cybersécuritéGlossaire de la cybersécuritéÉvénementsFreewareGuidesIdeas PortalActualitésPodcastsPublicationsAnnonces de produitsRechercheWebinars
Asset not found

Témoignage client à la une

DXC Technology permet aux clients d'atteindre la conformité PCI DSS et de se concentrer sur des initiatives stratégiques
Partenaires
Programme PartenaireDevenez partenaireMSPsLocalisateur de partenairesWebinars
Asset not found

Histoire à la une d'un client

AppRiver améliore le contrôle sur Active Directory tout en réduisant considérablement le temps d'audit
Asset not found

Témoignage client à la une

Un MSP aide un client à se remettre d'un rançongiciel en 6 heures
Pourquoi Netwrix
À propos de nousLeadershipNetwrix AITémoignages clientsReconnaissanceActualitésCarrières
Asset not found

Histoire à la une d'un client

Horizon Leisure Centres accélère la classification des données pour se conformer au RGPD et économise 80 000 £ par an
Asset not found

Témoignage client à la une

L'Institut de R&D Samsung sécurise les données avec une utilisation multiplateforme et un déploiement rapide sur macOS grâce à Netwrix Endpoint Protector
Centre de ressourcesBlog
Lignes directrices pour l'audit d'Active Directory

Lignes directrices pour l'audit d'Active Directory

Apr 21, 2021

Active Directory fournit la gestion des comptes, l'authentification et les services d'autorisation qui sont essentiels pour une gouvernance d'accès robuste. Par conséquent, un audit approprié de Active Directory est essentiel pour la cybersécurité et la conformité avec les réglementations qui exigent une gestion d'accès rigoureuse.

Par exemple, pour détecter rapidement les insider threats, les organisations doivent constamment surveiller la création de nouveaux comptes et groupes de sécurité ainsi que toute modification apportée aux utilisateurs et groupes existants, car ces changements pourraient fournir des droits d'accès non justifiés qui pourraient être mal utilisés par les propriétaires de comptes ou les attaquants qui compromettent leurs comptes. Ils doivent également surveiller de près les activités des utilisateurs telles que les tentatives de connexion et les modifications de l'annuaire, et identifier les failles de sécurité comme les comptes d'utilisateurs et d'ordinateurs inactifs.

Cependant, Active Directory n'audite pas tous les événements de sécurité par défaut — vous devez explicitement activer l'audit des événements importants afin qu'ils soient enregistrés dans le journal des événements de sécurité et disponibles pour inclusion dans les rapports d'audit et les alertes.

Cet article fournit des recommandations pour la mise en place de l'audit dans votre environnement Active Directory, en utilisant les Netwrix Audit Policy Best Practices comme référence.

Contenu connexe sélectionné

Commencer avec l'audit AD

L'audit d'Active Directory (AD) est le processus de collecte et d'analyse des données concernant vos objets AD et la Group Policy. Les organisations réalisent l'audit AD pour améliorer proactivement la sécurité, détecter et répondre rapidement aux menaces, et assurer le bon fonctionnement des opérations informatiques.

Utilisation de la politique d'audit

Pour spécifier quels événements système et activités utilisateur suivre, vous utilisez les paramètres de la Audit Policy dans la Group Policy d'Active Directory. Vous déterminez quels types d'événements vous souhaitez auditer et sélectionnez les paramètres pour chacun. Par exemple, vous pouvez enregistrer tous les événements lorsqu'un compte utilisateur est désactivé ou qu'un mauvais mot de passe est saisi.

Comme d'autres paramètres de Group Policy settings, l'audit est configuré à l'aide de l'outil Group Policy Management Editor (GPME) dans la console Group Policy Management (GPMC). Notez que les paramètres d'audit pour les appareils joints à un domaine sont par défaut définis à un niveau relativement bas, donc ils devraient être affinés. Sur les contrôleurs de domaine (DCs), l'audit est souvent plus robuste, mais il se peut qu'il ne soit toujours pas au niveau requis.

Pour auditer Active Directory, vous pouvez utiliser soit les paramètres de la politique d'audit de sécurité basic (local) security audit policy soit les paramètres de la politique d'audit de sécurité advanced security audit policy, qui permettent une plus grande granularité. Microsoft ne recommande pas d'utiliser les deux, car cela peut conduire à des « unexpected results in audit reporting ». Dans la plupart des cas, lorsque vous activez l'audit avancé, l'audit de base sera ignoré, même si vous désactivez ultérieurement l'audit avancé. Il est recommandé d'utiliser l'audit avancé si vous ne réalisez actuellement aucun audit.

  • Les politiques de base peuvent être définies en allant dans Configuration de l'ordinateur > Politiques > Paramètres Windows > Paramètres de sécurité > Stratégies locales > Stratégie d'audit.
  • Les paramètres de stratégie avancés se trouvent sous Configuration de l'ordinateur > Stratégies > Paramètres Windows > Configuration de la stratégie d'audit avancée > Stratégies d'audit.

Portée de la politique d'audit

Vous pouvez définir des politiques d'audit pour l'ensemble du domaine ainsi que pour les unités organisationnelles individuelles (UO). Notez qu'un paramètre configuré au niveau de l'UO a une priorité plus élevée qu'un paramètre au niveau du domaine et le remplacera en cas de conflits. Vous pouvez vérifier les politiques résultantes à l'aide de l'utilitaire de ligne de commande auditpol.

Configuration du journal de sécurité

Vous devrez également spécifier la taille maximale et d'autres propriétés du journal de sécurité en utilisant les paramètres de la politique de journalisation des événements. Pour modifier les paramètres via GPME, naviguez jusqu'à Configuration de l'ordinateur > Stratégies > Paramètres Windows > Paramètres de sécurité > Journal des événements et double-cliquez sur le nom de la politique. Selon Microsoft, la taille maximale recommandée pour le journal d'un système d'exploitation moderne est de 4 Go, et la taille maximale totale recommandée pour tous les journaux est de 16 Go. Vous pouvez consulter les journaux avec l'Observateur d'événements.

Quels événements de journal de sécurité AD suivre

La clé d'un audit efficace est de savoir quels événements consigner. Si vous suivez trop d'événements, vos journaux seront tellement remplis de bruits qu'ils seront difficiles à analyser et s'écriront rapidement les uns sur les autres. Mais si vous ne suivez pas les événements critiques, vous serez incapable de détecter une activité malveillante et d'enquêter sur les incidents de sécurité. Voici les événements recommandés à suivre pour trouver le bon équilibre.

Auditez les événements de connexion des comptes

Pour détecter les tentatives non autorisées de connexion à un domaine, il est nécessaire d'auditer les événements de connexion — tant réussis qu'échoués. Audit account logon events fournit un moyen de suivre les événements d'authentification, tels que l'authentification NTLM et Kerberos. Il ne faut pas le confondre avec Audit logon events, qui définit l'audit de chaque tentative de connexion ou de déconnexion d'un utilisateur sur un ordinateur, comme expliqué ci-dessous.

Voici les paramètres recommandés pour la politique avancée Audit account logon events :

  • Audit de la validation des identifiants: Échec
  • Audit du service d'authentification Kerberos: Succès, Échec
  • Auditez les opérations de ticket de service Kerberos: Échec
  • Auditez les autres événements de connexion de compte: Succès, Échec

Notez que les événements de déconnexion ne sont pas suivis sur les contrôleurs de domaine à moins que vous ne vous connectiez réellement à ce DC spécifique.

Auditez les événements de connexion

Cette politique peut enregistrer toutes les tentatives réussies et échouées de connexion ou de déconnexion d'un ordinateur local, que ce soit par un compte de domaine ou un compte local. Ces informations sont utiles pour la détection d'intrus et la médecine légale post-incident. Microsoft fournit des descriptions des various event IDs qui peuvent être enregistrés.

Les paramètres avancés minimum recommandés sont :

  • Audit du verrouillage de compte: Succès, Échec
  • Audit de l'appartenance au groupe: Succès
  • Audit de déconnexion: Succès, Échec
  • Audit de connexion: Succès, Échec
  • Audit de connexion spéciale: Succès, Échec

Gestion des comptes

Surveiller attentivement tous les changements apportés aux comptes utilisateurs aide à minimiser le risque de perturbation des affaires et d'indisponibilité du système.

Au minimum, il est recommandé de définir la politique de base Audit account Management sur « Succès ». Si vous utilisez des politiques d'audit avancées, utilisez les paramètres suivants :

  • Audit de la gestion des groupes d'applications: Succès, Échec
  • Audit de la gestion des comptes d'ordinateurs: Succès
  • Audit de la gestion des groupes de distribution: Succès
  • Auditez les autres événements de gestion de compte: Réussite
  • Audit de la gestion des groupes de sécurité: Succès
  • Audit de la gestion des comptes utilisateurs: Succès, Échec

Contenu connexe sélectionné

Accès au service d'annuaire

Surveillez cela uniquement si vous avez besoin de voir quand quelqu'un accède à un objet AD qui possède sa propre liste de contrôle d'accès système, comme une OU. Dans ce cas, il est recommandé de configurer les paramètres suivants :

  • Audit de l'accès au service d'annuaire: Succès, Échec
  • Audit des modifications du service d'annuaire: Succès, Échec

Accès à l'objet

Auditez cela uniquement si vous avez besoin de voir quand quelqu'un a utilisé des privilèges pour accéder, copier, distribuer, modifier ou supprimer des fichiers sur des serveurs de fichiers. L'activation de ce paramètre peut générer un grand volume d'entrées dans le journal de sécurité, utilisez-le donc uniquement si vous avez une utilisation spécifique pour ces données. Les paramètres avancés recommandés sont :

  • Audit Detailed File Share: Échec
  • Audit File Share: Succès, Échec
  • Auditez les événements d'accès à d'autres objets: Succès, Échec
  • Audit du stockage amovible: Succès, Échec

Changement de politique

Des modifications inappropriées à un objet de stratégie de groupe (GPO) peuvent entraîner des incidents de sécurité et des violations des obligations de confidentialité des données . Pour réduire votre risque, configurez les paramètres avancés suivants :

  • Audit de changement de politique: Succès, Échec
  • Audit de changement de politique d'authentification: Succès, Échec
  • Audit de changement de politique au niveau des règles MPSSVC: Succès, Échec
  • Auditez les autres événements de changement de politique: Échec

Utilisation des privilèges

Activez ceci uniquement si vous souhaitez suivre chaque instance d'utilisation des privilèges utilisateur. L'activation de cette politique peut générer un grand volume d'entrées dans vos journaux de sécurité, alors faites-le uniquement si vous avez une utilisation spécifique pour ces données. Pour activer cette politique, configurez ce qui suit :

  • Auditez l'utilisation des privilèges sensibles: Succès, Échec

Suivi des processus (parfois appelé suivi détaillé)

Disponible uniquement dans la politique d'audit avancée, ce paramètre est axé sur les événements d'audit liés aux processus, tels que la création de processus, la terminaison de processus, la duplication de handle et l'accès indirect aux objets. Il peut être utile pour les enquêtes d'incidents, mais il peut générer un grand volume d'entrées dans vos journaux de sécurité, donc activez-le uniquement si vous avez une utilisation spécifique pour les données. Les paramètres recommandés sont :

  • Auditez l'activité PNP: Succès
  • Audit de la création de processus: Réussite

Système

Il est judicieux de consigner toutes les tentatives de démarrage, d'arrêt ou de redémarrage d'un ordinateur, ainsi que toutes les tentatives d'un processus ou d'un programme pour effectuer une action pour laquelle il n'a pas les permissions, comme un logiciel malveillant essayant de modifier les paramètres de votre ordinateur. Les paramètres avancés recommandés sont :

  • Audit de l'état de sécurité des changements: Succès, Échec
  • Auditez d'autres événements système: Succès, Échec
  • Audit de l'intégrité du système: Succès, Échec
  • Extension du système de sécurité d'audit: Succès

Contenu connexe sélectionné

Meilleures pratiques d'audit ADTop of Form

En auditant Active Directory, vous pouvez réduire les risques de sécurité en identifiant et en remédiant aux conditions toxiques telles que les groupes profondément imbriqués et les permissions attribuées directement que les attaquants peuvent exploiter pour accéder à vos ressources réseau. Les meilleures pratiques suivantes peuvent aider à rendre votre audit AD plus efficace :

Obtenez une compréhension approfondie de votre environnement AD.

Commencez par obtenir des réponses aux questions suivantes :

  • Combien de comptes et de groupes avez-vous ?
  • Quels GPOS et autres objets critiques d'Active Directory avez-vous ?
  • Qui a les autorisations pour vos DCs et OUs ?

Priorisez vos efforts.

Trois points de départ fréquents pour les organisations sont :

  • Accès AD Privileged Access Management — Examinez des objets critiques tels que les GPOs.
  • Grands groupes — Évaluez l'accès des grands groupes tels que Domain Users et Everyone.
  • Accès utilisateur privilégié — Déterminez quels utilisateurs disposent d'un accès élevé, soit par leur appartenance à des groupes puissants comme les Domain Admins, soit par des méthodes plus indirectes comme l'appartenance à des groupes imbriqués.

Impliquez les bonnes parties prenantes.

Déterminez quels utilisateurs d'affaires comprennent qui devrait avoir accès à quoi. Par exemple, le responsable d'un département particulier est susceptible de savoir à quelles ressources informatiques ses membres d'équipe ont besoin d'accéder pour effectuer leur travail, et pourquoi les autorisations ont été configurées de cette manière.

Examinez régulièrement l'appartenance aux groupes.

Tout d'abord, assurez-vous que seuls les bons utilisateurs soient membres des groupes Domain Admins et Enterprise Admins. Limiter strictement l'adhésion à ces groupes réduira le risque qu'un administrateur malveillant abuse de son accès privilégié. Tout aussi important, cela minimise le nombre de comptes qu'un adversaire pourrait compromettre pour prendre instantanément le contrôle du domaine.

Deuxièmement, assurez-vous que les propriétaires d'entreprise valident que les bons membres sont dans leurs groupes — et que le groupe a accès uniquement aux ressources dont il a besoin.

Répétez ces examens de manière régulière.

Continuez à améliorer votre processus d'audit AD

Une fois que vous avez mis en œuvre vos priorités principales pour l'audit AD, passez aux domaines suivants. Par exemple, une fois que vous avez établi des révisions régulières de l'appartenance aux groupes, commencez à auditer les modifications des mots de passe AD.

Prochaines étapes

Mettre en place les bonnes politiques d'audit est un excellent début — mais ce n'est que la moitié de la bataille. Vous devez également être capable d'analyser les données que vous collectez. Malheureusement, les environnements informatiques modernes sont tellement complexes et chargés que les journaux deviennent souvent trop volumineux pour être efficacement examinés, et le journal d'audit peut même s'écraser. Les outils logiciels à usage unique peuvent aider pour des tâches spécifiques, mais un ensemble de solutions disparates ne peut pas fournir la visibilité complète dont vous avez besoin pour la Data Security.

Avec la Netwrix Active Directory Security Solution, vous pouvez sécuriser votre Active Directory de bout en bout. Cela vous permettra de :

  • Découvrez les risques de sécurité dans Active Directory et priorisez vos efforts d'atténuation.
  • Renforcez les configurations de sécurité à travers votre infrastructure informatique.
  • Détectez et contenez rapidement même les menaces avancées, telles que DCSync , NTDS.dit extraction et les Golden Ticket attacks.
  • Répondez instantanément aux menaces connues avec des options d'alertes automatisées.
  • Minimisez les perturbations commerciales avec une récupération rapide d'Active Directory.

FAQ

Comment puis-je activer l'audit des objets AD ?

Pour activer l'audit des objets Active Directory, vous pouvez soit :

  • Configurez une politique d'audit sur les contrôleurs de domaine pour enregistrer les événements spécifiés pour tous les utilisateurs.
  • Configurez une liste de contrôle d'accès d'audit (SACL) sur des objets spécifiques pour surveiller des modifications précises apportées à ceux-ci.

Comment configurer un paramètre de stratégie d'audit pour un contrôleur de domaine ?

  1. Ouvrez la console de gestion de stratégie de groupe.
  2. Cliquez avec le bouton droit sur la stratégie des contrôleurs de domaine par défaut et sélectionnez Modifier.
  3. Naviguez jusqu'à Configuration de l'ordinateur > Stratégies > Paramètres Windows > Paramètres de sécurité > Configuration de la stratégie d'audit avancée > Stratégies d'audit.
  4. Spécifiez les paramètres d'audit pour chaque catégorie d'événement que vous souhaitez surveiller et enregistrez vos modifications.
  5. Attendez que la politique se mette à jour automatiquement ou exécutez gpupdate sur le DC vous-même pour mettre à jour la politique immédiatement.

Utilisez l'Observateur d'événements Windows pour visualiser les événements capturés.

Comment configurer l'audit pour des objets AD spécifiques ?

  1. Ouvrez Active Directory Users and Computers.
  2. Naviguez jusqu'à l'objet que vous souhaitez surveiller et ouvrez-le.
  3. Allez à l'onglet Sécurité.
  4. Cliquez sur le bouton Advanced.
  5. Allez à l'onglet Auditing.
  6. Cliquez Ajoutez.
  7. Sélectionnez les propriétés que vous souhaitez surveiller.
  8. Cliquez sur OK pour fermer chaque fenêtre jusqu'à ce que vous reveniez à l'écran principal d'ADUC.

Partager sur

En savoir plus

À propos de l'auteur

Asset Not Found

Jeff Melnick

Directeur de l'ingénierie des systèmes

Jeff est un ancien directeur de l'ingénierie des solutions mondiales chez Netwrix. Il est un blogueur, conférencier et présentateur de longue date chez Netwrix. Dans le blog Netwrix, Jeff partage des astuces et des conseils qui peuvent améliorer de manière significative votre expérience en administration système.

En savoir plus sur ce sujet

Lois sur la confidentialité des données par État : Différentes approches de la protection de la vie privée

Exemple d'analyse des risques : Comment évaluer les risques

Le Triangle CIA et son application dans le monde réel

Qu'est-ce que la gestion des documents électroniques ?

Analyse quantitative des risques : Espérance de perte annuelle

Derniers blogs

Les cinq prochaines minutes de conformité : construire une sécurité des données axée sur l'identité à travers l'APAC

Gestion de la configuration pour un contrôle sécurisé des points de terminaison

Classification des données et DLP : Prévenir la perte de données, prouver la conformité

Conformité CMMC et le rôle crucial du contrôle de type MDM des clés USB dans la protection des CUI

DSPM, ASM et ITDR : Élaboration d'une stratégie de sécurité axée sur les données et consciente des expositions

Du bruit à l'action : transformer le risque des données en résultats mesurables

L'IA au travail : Vitesse, Risque et Pourquoi la Simplicité l'emporte

Lois sur la confidentialité des données par État : Différentes approches de la protection de la vie privée

Exemple d'analyse des risques : Comment évaluer les risques

Le Triangle CIA et son application dans le monde réel

Nos articles les plus populaires

Types courants d'appareils réseau et leurs fonctions

Comment exécuter un script PowerShell à partir du Planificateur de tâches

Comment installer et utiliser Active Directory Users and Computers (ADUC) ?

Téléchargez et installez PowerShell 7

Les cyberattaques les plus grandes et les plus notoires de l'histoire

Commandes PowerShell essentielles : Une feuille de triche pour les débutants

Un aperçu de l'attaque cybernétique MGM

Extraction des hachages de mot de passe du fichier Ntds.dit

Guide pour monter des partages Unix avec un client NFS Windows

Comment les ports ouverts insécurisés et vulnérables posent de sérieux risques de sécurité