Comment auditer les modifications de stratégie de groupe en utilisant le journal des événements de sécurité

Netwrix Auditor pour Active Directory

1. Exécutez Netwrix Auditor → Allez dans « Rapports » → Développez la section « Active Directory » → Rendez-vous dans « Modifications des stratégies de groupe » → Sélectionnez « Toutes les modifications des stratégies de groupe » → Cliquez sur « Afficher ».
2. Si vous souhaitez recevoir ce rapport par e-mail régulièrement, il vous suffit de choisir l'option "S'abonner" et de définir le calendrier et les destinataires.

En savoir plus sur Netwrix Auditor for Active Directory

Audit Natif

1. Pour auditer les modifications de la stratégie de groupe, vous devez d'abord activer l'audit : Exécutez gpedit.msc sous le compte administrateur → Créez un nouvel objet de stratégie de groupe (GPO) → Modifiez-le → Allez dans "Configuration de l'ordinateur" | Stratégies | Paramètres Windows | Paramètres de sécurité | Configuration de la stratégie d'audit avancée | Stratégies d'audit/DS Access → Cliquez sur “Audit des modifications du service d'annuaire” → Cliquez sur “Définir” → Choisissez “Succès”.
2. Associez le nouveau GPO à une UO : Allez dans "Gestion de stratégie de groupe" → Cliquez droit sur l'UO → Choisissez "Lier un GPO existant" → Sélectionnez le GPO que vous avez créé.
3. Appliquez votre modification en forçant une mise à jour de la stratégie de groupe : Allez dans "Gestion de la stratégie de groupe" → Cliquez avec le bouton droit sur l'unité d'organisation → Cliquez sur "Mise à jour de la stratégie de groupe".
4. Ouvrez ADSI Edit → Connectez-vous au contexte de nommage par défaut → Naviguez vers CN=Policies,CN=System,DC=domain → Ouvrez l'objet « Propriétés des Politiques » → Allez à l'onglet Sécurité → Cliquez sur le bouton Avancé → Allez à l'onglet Audit → Ajoutez le Principal « Tout le monde » → Choisissez le Type « Réussite » → Pour Appliquer à, cliquez sur « Cet objet et les objets descendants » → Sous Permissions, sélectionnez les cases à cocher suivantes : « Créer des objets groupPolicyContainer », « Supprimer », « Modifier les Permissions » et « Écrire versionNumber » → Cliquez sur « OK ».
5. Pour examiner les modifications de stratégie de groupe, ouvrez l'Observateur d'événements et recherchez dans le journal de sécurité l'ID d'événement 5136 (la catégorie des modifications du service d'annuaire).

Auditez les modifications de GPO pour suivre l'activité aberrante

Les événements liés à la stratégie de groupe sont enregistrés dans le journal de sécurité sur le contrôleur de domaine du serveur Microsoft Windows. En examinant ces journaux, les administrateurs informatiques peuvent auditer les modifications apportées à la stratégie de groupe. Cependant, bien que les outils d'audit natifs indiquent quand et où chaque changement a eu lieu, ils ne fournissent pas de détails critiques, tels que le nom de la stratégie de groupe qui a été modifiée et le type d'action qui a été effectué. Pour vous assurer qu'aucune activité anormale ne passe sous votre radar, vous avez besoin d'un logiciel supplémentaire qui offre plus de visibilité sur les modifications apportées à vos paramètres de stratégie de groupe.

Netwrix Auditor for Active Directory offre une visibilité complète sur ce qui se passe dans votre Active Directory, y compris des rapports d'audit détaillés sur les modifications apportées à la stratégie de groupe. L'application fournit non seulement les informations de base disponibles à l'aide des outils d'audit natifs, mais également des détails critiques tels que le nom de la stratégie de groupe modifiée, le type de modification effectuée, l'utilisateur qui a effectué la modification et les valeurs avant et après. Disposer de ces informations permet aux administrateurs informatiques de comprendre pleinement les modifications de la stratégie de groupe afin de pouvoir atténuer le risque de mauvaise utilisation des données sensibles et garantir la conformité.