Exemple de surveillance Active Directory

Exemple audit des modifications AD

Dans la configuration avancée des stratégies d’audit nous activons l’audit sur les « modification du service d’annuaire » via les GPO :

De plus il faut définir les objets sur lesquels l’audit va être réalisé, par exemple notre unité d’organisation « utilisateurs » contenant les comptes de personnes. Pour cela, nous ajoutons dans les propriétés de sécurités avancées, sous « Audit », « tout le monde » avec les paramètres « Ecrire toutes les propriétés ».

Pour l’exemple nous modifions le champ description d’un utilisateur dans cette OU. Nous retrouvons 2 événements dans les journaux :

Sur le premier événement ci-dessous nous pouvons clairement voir, l’utilisateur qui a fait la modification, l’objet et l’attribut modifié ainsi que l’ancienne valeur :

 

-          Sur l’événement suivant nous pouvons voir la nouvelle valeur de l’objet :

Dans le 2ème exemple ci-dessous nous déplaçons un objet de l’unité d’organisation « utilisateurs » dans une unité d’organisation enfant. Dans les événements d’audit, le compte ayant modifié l’objet est visible ainsi que le nom ldap de l’objet indiquant son ancien emplacement et les attributs modifié nous permettant de voir le nouvel emplacement.

 

Recommandations sur les Audits Active Directory

 

Vous trouverez dans le lien suivant https://technet.microsoft.com/en-us/library/dn487457.aspx?f=255&MSPPError=-2147217396 des recommandations pour la mise en œuvre de votre audit. 

 

 

Theme: 

Annee: