Accueil »

Comment auditer les événements d'authentification Kerberos dans Active Directory ?

Commencez votre essai gratuit

Kerberos a remplacé NT LAN Manager (NTLM) en tant qu'authentification par défaut pour le système d'exploitation Windows, car il s'agit d'une alternative beaucoup plus rapide et plus sûre. Les administrateurs informatiques peuvent activer l'audit de l'authentification Kerberos, ce qui permet d'enregistrer les événements créés au cours de ce processus. Les administrateurs peuvent surveiller ces événements pour garder un œil sur les échecs et les succès des utilisateurs qui se connectent au domaine. Tout anomalie soudaine, par exemple un nombre anormalement élevé de tentatives de connexion infructueuses, peut signaler une attaque par force brute, etc. Lisez la suite pour savoir comment auditer les événements d'authentification Kerberos :

Étapes à suivre pour activer l'audit à l'aide de la console de gestion des stratégies de groupe (GPMC) :

  1. Appuyez sur Démarrer,, recherchez et ouvrez la console de gestion des stratégies de groupe, ou exécutez la commande gpmc.msc.
How to audit process tracking
  1. Faites un clic droit sur le domaine ou l'unité d'organisation (UO) que vous souhaitez auditer, puis cliquez sur Créer un GPO dans ce domaine et le lier ici.
How to detect who unlocked a user account
  1. Nommez l'objet de stratégie de groupe (GPO) comme il convient.
  2. Faites un clic droit sur le GPO nouvellement créé ou déjà existant, et choisissez Modifier.
How to detect who unlocked a user account
  1. Dans l'éditeur de gestion de stratégie de groupe, dans le volet de gauche, allez jusqu’à Configuration de l'ordinateur → Stratégies → Paramètres Windows → Paramètres de sécurité → Configuration avancée de la stratégie d'audit → Stratégies d'audit → Connexion au compte.
How to detect who unlocked a user account
  1. Dans le volet de droite, vous trouverez une liste des stratégies sous Connexion au compte. Double-cliquez sur Auditer le service d’authentification Kerberos, et cochez les cases intitulées Configurer les événements d’audit suivants:, Succès, et Échec.
How to detect who unlocked a user account
  1. Effectuez les mêmes opérations pour la stratégie Auditer les opérations de ticket de service Kerberos.
How to detect who unlocked a user account
  1. Cliquez sur Appliquer, puis sur OK.
  2. Retournez dans la console de gestion des stratégies de groupe, et, dans le volet de gauche, cliquez à droite sur l’UO dans laquelle le GPO a été lié, puis cliquez sur Mise à jour de la stratégie de groupe. Cette étape permet de s'assurer que les nouveaux paramètres de stratégie de groupe sont appliqués instantanément au lieu d'attendre la prochaine actualisation planifiée.
How to detect who unlocked a user account

Étapes à suivre pour afficher les événements d'authentification Kerberos à l'aide de l’Observateur d'événements

Une fois les étapes ci-dessus terminées, les événements d'authentification Kerberos sont stockés dans le journal des événements. Ces événements peuvent être visualisés dans l'Observateur d'événements en effectuant les actions suivantes sur le contrôleur de domaine (DC) :

  1. Appuyez sur Démarrer, recherchez l'Observateur d'événements, et cliquez pour l'ouvrir.
  2. Dans la fenêtre de l’Observateur d'événements, dans le volet de gauche, allez dans le journal Windows ⟶ Sécurité.
  3. Vous y trouverez une liste de tous les événements de sécurité enregistrés dans le système.
How to detect who unlocked a user account
  1. Dans le volet de droite, sous Sécurité, cliquez sur Filtrer le journal actuel.
How to detect who unlocked a user account
  1. Dans la fenêtre contextuelle, saisissez l'ID de l'événement*, souhaité, comme indiqué dans le tableau ci-dessous, dans le champ intitulé <Tous les ID d’événements>.

* Les ID d'événements suivants sont générés pour les événements donnés :

ID d'événement Sous-catégorie Type d’événement Description
4768 Service d’authentification Kerberos Succès et échecs Un ticket d’authentification Kerberos (TGT) a été demandé
4769 Opérations sur les tickets de service Kerberos Succès et échecs Un ticket de service Kerberos a été demandé
4770 Opérations sur les tickets de service Kerberos Succès Un ticket de service Kerberos a été renouvelé
4771 Service d’authentification Kerberos Échec Échec de la préauthentification Kerberos
4772 Service d’authentification Kerberos Échec Une demande de ticket d'authentification Kerberos a échoué
4773 Opérations sur les tickets de service Kerberos Échec Une demande de ticket de service Kerberos a échoué
  1. Cliquez sur OK. Vous obtiendrez ainsi une liste des occurrences de cet ID d'événement.
  2. Double-cliquez sur l'ID d’événement pour afficher ses propriétés.
How to detect who unlocked a user account

Limites de l'audit natif de l'Active Directory (AD) :

  • Un administrateur devrait rechercher chaque ID d'événement pour en afficher les propriétés. Cela est très peu pratique et prend beaucoup de temps, même pour les petites organisations.
  • L'audit natif ne permet pas d'obtenir des analyses utiles. Si l'administrateur souhaite surveiller ou être averti en cas de pic soudain dans les activités de connexion ou de comportement anormal de l'utilisateur, cela n'est pas possible avec l'audit natif.
  • Les événements d'authentification Kerberos peuvent être enregistrés sur n'importe quel DC du domaine.

Un administrateur devrait surveiller les événements sur chaque contrôleur de domaine, ce qui représente une charge de travail excessive. Un outil centralisé permettant de surveiller tous les événements réduit considérablement la charge de travail.

Download 30-day, free trial

Étapes de l'audit de l'authentification Kerberos à l'aide de ManageEngine ADAudit Plus

  1. Télécharger et installer ADAudit Plus.
  2. Vous trouverez les étapes pour configurer l'audit sur votre contrôleur de domaine ici.
  3. Ouvrez la console ADAudit Plus, connectez-vous en tant qu'administrateur et allez dans Rapports → Active Directory → Gestion des utilisateurs → Activité de connexion des utilisateurs.
1
 

Obtenez une vision plus approfondie des connexions qui ont lieu dans votre organisation, et comprenez quand et où chaque connexion a eu lieu.

2
 

Surveillez les utilisateurs connectés à plusieurs ordinateurs pour détecter les risques de sécurité dans votre organisation, car un tiers peut accéder au compte de l'utilisateur pour en prendre le contrôle.

3
 

Surveillez et obtenez des rapports sur toutes les activités de connexion sur les contrôleurs de domaine, les serveurs membres et les stations de travail.

How to detect who unlocked a user account

Gain deeper insight into logons taking place in your organization, and understand when and where each logon took place.
Monitor users logged into multiple computers to detect security risks in your organization since a third party might be accessing the user account to gain control.
Monitor and obtain reports for all logon activity on DCs, member servers, and workstations.

Avantages de l'utilisation d'ADAudit Plus :

  • ADAudit Plus vous permet d'auditer et de suivre en temps réel l'activité de connexion des utilisateurs sur votre réseau et de détecter les activités potentiellement malveillantes.
  • Protégez votre AD contre les menaces de sécurité en recevant des alertes sur les activités anormales. Des incidents tels qu'un volume anormalement élevé de tentatives de connexion, des connexions à des heures inhabituelles ou un premier accès par un utilisateur à un hôte à distance, sont des signes de compromission du réseau.
  • Découvrez la raison des verrouillages de compte répétés à l'aide de l'analyseur de verrouillage de compte, qui vous aide à repérer et à résoudre les verrouillages de comptes plus rapidement.
Download 30-day, free trial

Related How to