Contrôle en temps réel des actions de connexion des utilisateurs
La connexion d'utilisateurs sur leurs ordinateurs de domaine constitue une activité courante qui se produit dans toute entreprise. De prime abord, on peut la considérer comme un événement Active Directory basique, mais les administrateurs affectés à divers rôles peuvent utiliser ces données précieuses à différentes fins d'audit, de conformité et opérationnelles. Les organisations nécessitent des détails d'audit sur les journaux de connexion des utilisateurs AD pour un ou plusieurs des besoins opérationnels suivants :
Échecs de connexion
Activité d'ouverture de session sur les contrôleurs de domaine
Activité de connexion sur les serveurs membres et les postes de travail
Activité de connexion utilisateur
Activité de connexion utilisateur récente
Dernière connexion sur les postes de travail
Surveiller la connexion RADIUS sur les ordinateur
- Vérifier l'absentéisme et la présence des employés dans un intervalle d'audit donné/chaque mois.
- Déterminer le nombre total des utilisateurs qui ont accès au réseau Active Directory à un instant donné.
- Identifier les utilisateurs qui ont accès à des postes de travail ou des contrôleurs de domaine via un ordinateur en réseau distant.
- Déterminer les heures de connexion de pointe pour tous les utilisateurs dans le domaine.
- Savoir qui a effectué la dernière connexion à un ordinateur du domaine essentiel.
- Identifier si un utilisateur (malveillant) tente de se connecter à des machines pour lesquelles il ne possède pas de privilèges. (Par exemple : la connexion à un contrôleur de domaine ou un serveur membre dans Active Directory exige des privilèges élevés).
- Afficher en intégralité l'historique de connexion d'un utilisateur dans le domaine. Vous disposez ainsi d'une preuve quand vous interrogez un employé suspect avec les objets de domaine Active Directory, comme les ordinateurs, les groupes et d'autres comptes d'utilisateurs, que l'employé a administré, a modifié ou auxquels il a accédé pendant sa collaboration.
Outre ceux déjà énumérés, il existe de nombreux autres besoins pratiques dans un réseau Active Directory qui exigent des données d'audit sur les connexions aux comptes du domaine. Les rapports sur les connexions aux comptes d'ADAudit Plus sont utiles pour relever les défis en termes d'audit. La solution offre une série de rapports prédéfinis en temps réel pour apporter des réponses aux questions en matière d'audit des connexions dans le format souhaité et améliore le contrôle Active Directory. Les rapports personnalisés rendent la solution encore plus intéressante. Par exemple, vous pouvez définir une action de connexion et l'examiner sous forme d'un rapport.
Raisons des lacunes de l'audit Active Directory natif en termes de connexion des utilisateurs
Chaque événement de connexion AD est enregistré en continu dans les journaux de sécurité des contrôleurs de domaine Active Directory. Les données enregistrées dans les journaux de sécurité natifs des contrôleurs de domaine Active Directory :
- Demandent une expertise pour leur compréhension, car il faut analyser des codes d'événement particuliers et leur corrélation à une action de connexion.
- forment un gros volume, chaque activité de connexion sur/par un objet Active Directory étant consignée en continu dans le contrôleur de domaine, d'où l'accumulation d'un énorme volume de données dans les journaux d'événements.
- présentent un accès restreint, le contrôleur de domaine étant un élément clé de l'infrastructure Active Directory et son accès limité à certains utilisateurs administratifs.
D'autres limitations de l'audit Active Directory natif incluent l'incapacité pour les utilisateurs non administratifs comme les auditeurs, les gestionnaires et le personnel des ressources humaines de suivre une action de connexion donnée. Certains événements de connexion cruciaux comme la connexion à un contrôleur de domaine ou un serveur membre nécessitent des alertes immédiates ou un suivi continu. Bien qu'enregistrées, les informations essentielles ne sont pas différenciées ou regroupées par rapport à un journal d'événements normal et présentent un risque de négligence accru.
Solution d'audit de connexion Active Directory en temps réel
Suivre l'activité de connexion aux comptes, un système à la fois, pour l'ensemble d'un réseau Active Directory est quasiment impossible. ADAudit Plus fournit des rapports d'audit de connexion des utilisateurs en temps réel qui regroupent toutes les actions de connexion des utilisateurs. Vous pouvez les afficher rapidement depuis une console Web centrale. Les informations de connexion jouent un rôle crucial pour comprendre/identifier l'authenticité des actions pour les objets utilisateur du domaine.
ADAudit Plus fournit des rapports sur les échecs de connexion, l'activité de connexion aux contrôleurs de domaine, l'activité de connexion aux serveurs membres, l'activité de connexion aux postes de travail, l'activité de connexion des utilisateurs, l'activité de connexion récente des utilisateurs et la dernière connexion aux postes de travail. En outre, la solution d'audit de connexion est un outil indispensable qui facilite le contrôle de certains événements, des activités de connexion actuelles et passées, et qui répertorie toutes les modifications connexes. Elle possède une interface Web facile à comprendre et affiche des statistiques à l'aide de diagrammes, de graphiques et d'une liste de rapports prédéfinis ou de rapports personnalisés.
Rapports d'audit de connexion des utilisateurs dans ADAudit Plus
- Rapport sur les échecs de connexion
- Activité de connexion aux contrôleurs de domaine
- Activité de connexion aux serveurs membres
- Activité de connexion aux postes de travail
- Activité de connexion des utilisateurs
- Activité de connexion récente des utilisateurs
- Dernière connexion sur des postes de travail
- Connexion RADIUS sur des ordinateurs
Rapport sur les échecs de connexion
Ce rapport fournit des informations sur les échecs de connexion et leur raison au cours d'une période donnée. Plusieurs tentatives de connexion à des comptes d'utilisateurs qui ont échoué pendant cette période sont signalées. Les administrateurs disposent ainsi d'informations sur d'éventuelles attaques sur des comptes aux risques d'intrusion. Le rapport comprend les détails des échecs de connexion avec le moment de l'événement, le compte concerné et les causes possibles.
Les raisons d'un échec de connexion peuvent être graves comme un nom d'utilisateur incorrect ou un mauvais mot de passe, avec un risque d'attaques. Voici des causes nécessitant l'attention de l'administrateur : mot de passe expiré, compte désactivé/expiré/bloqué ou l'administrateur doit réinitialiser le mot de passe du compte. Le rapport signale aussi d'autres raisons comme une restriction d'accès par poste de travail, un défaut de réplication du compte d'un nouvel ordinateur, un nom d'ordinateur pré-Windows 2000 ou un problème de synchronisation entre l'heure du poste de travail et celle des contrôleurs de domaine.
Une représentation graphique du nombre d'échecs de connexion par raison aide les administrateurs à prendre des décisions rapides et à agir efficacement.
Activité de connexion aux contrôleurs de domaine
Les contrôleurs de domaine sont les éléments clés centraux de l'infrastructure Active Directory pour effectuer des modifications. La connexion à un contrôleur de domaine est réservée aux utilisateurs privilégiés ou administrateurs. Des informations complètes sur les tentatives de connexion effectuées par d'autres utilisateurs permettent aux administrateurs de prendre des mesures correctives fondées. ADAudit Plus fournit des détails sur tous les utilisateurs qui se sont connectés à un contrôleur de domaine donné. Le rapport comprend des détails comme l'heure de connexion, le nom de la machine à l'origine de la connexion d'un utilisateur, la réussite ou l'échec de la tentative de connexion et la raison de l'échec éventuel.
Logon Activity on Activité de connexion aux serveurs membres et aux postes de travail
Le rapport sur l'activité de connexion aux serveurs membres et aux postes de travail fournit des informations sur la connexion des utilisateurs à certains serveurs membres ou postes de travail, respectivement. Les deux rapports fonctionnent comme celui sur l'activité de connexion aux contrôleurs de domaine, ce qui facilite le traitement et la compréhension des informations.
Activité de connexion des utilisateurs
Ce rapport fournit des informations d'audit sur l'historique de connexion complet à des serveurs ou des postes de travail auxquels accède un utilisateur du domaine donné. L'historique de connexion d'un objet utilisateur est très important pour comprendre le profil de connexion d'un utilisateur donné. Dans certains cas, il procure une trace enregistrée de l'activité d'un utilisateur pour des auditeurs ou responsables.
Activité de connexion récente des utilisateurs
Un administrateur système s'interroge ou se préoccupe au sujet d'anomalies dans l'utilisation du réseau par des utilisateurs. L'échec d'une tentative de connexion est un signe ou une mesure pour déceler une anomalie. Le rapport sur l'activité de connexion récente des utilisateurs répertorie toutes les opérations de connexion ayant réussi ou échoué au cours de la période choisie. Il indique également la raison d'un échec de connexion pour aider à prendre des mesures correctives.
Ce rapport permet d'afficher une liste des utilisateurs connectés avec succès au réseau un jour donné, à une date choisie ou au cours d'une période donnée.
Dernière connexion sur des postes de travail
Ce rapport fournit des informations sur l'heure de la dernière connexion à un poste de travail ou un ordinateur par tous les utilisateurs qui se sont connectés avec succès un jour donné. Ce rapport permet, par exemple, de déterminer l'absentéisme ou l'état de disponibilité actuel des utilisateurs dans l'entreprise.
Suivi de connexion RADIUS sur des ordinateurs
Vérifiez l'accès réseau RADIUS (Remote Authentication Dial-In User Service) par des utilisateurs connectés sur des ordinateurs distants. Des rapports sur les échecs de connexion RADIUS (NPS) et l'historique de connexion RADIUS (NPS) pour les utilisateurs connectés à distance permettent de contrôler toute l'authentification RADIUS dans Active Directory. Veuillez noter que seules sont prises en charge actuellement les activités de connexion RADIUS via le serveur NPS (serveur de stratégie réseau, Windows Server 2008).