Audit des groupes de sécurité de l’Active Directory

I. Présentation

La gestion d'un Active Directory ne s'arrête pas à la réalisation d'opérations de maintenance, de création d'objets (utilisateurs, groupes, etc.) ou au déploiement de stratégie de groupe (GPO).

logo-design37Il est aussi essentiel d'auditer les changements opérés dans l'annuaire afin de tenir un journal des changements et ainsi garder une trace. Cela est encore plus vrai et plus important lorsque plusieurs personnes sont susceptibles de pouvoir modifier l'annuaire, ce qui sera certainement le cas dans un service informatique composé de plusieurs personnes.

Dans ce tutoriel, nous allons auditer les groupes de sécurité de l'Active Directory, ce qui permettra de garder une trace dans les Journaux d'événements à chaque fois qu'un groupe est créé, modifié ou supprimé.

Il faut savoir que par défaut l'audit pour les groupes de sécurité est déjà opérationnel concernant les tentatives réussies. D'ailleurs, derrière la phrase "Audit des groupes de sécurité" se cache de nombreux événements clairement référencés par Microsoft. Par exemple, un événement avec ID 4727 se créera lors de la création d'un groupe, un ID 4728 lorsqu'un utilisateur est ajouté à un groupe... Vous retrouverez toute la liste sur le site TechNet de Microsoft (en) : Audit Security Group Management

Pour ma part, je manipule sur un contrôleur de domaine sous Windows Server 2012 R2 pour le domaine "it-connect.fr".

II. Configurer l'audit des groupes de sécurité

Bien que ce soit déjà actif par défaut, il est intéressant de savoir où paramétrer l'audit des groupes de sécurité dans une stratégie de groupe pour l'ensemble des contrôleurs de domaine. De plus, cela permet de mettre en place l'audit sur les échecs.

Ouvrez le gestionnaire de stratégies de groupe et éditez la stratégie "Default Domain Controller Policy" (stratégie présente par défaut qui s'applique sur tous les contrôleurs de domaine du domaine).

auditgroup1

Ensuite, parcourez l'arborescence comme ceci : Configuration ordinateur, Stratégies, Paramètres Windows, Paramètres de sécurité, Configuration avancée de la stratégie d'audit, Stratégie d'audit, Gestion du compte

auditgroup2

Vous trouverez ici un élément nommé "Auditer la gestion des groupes de sécurité", ouvrez-le.

auditgroup3

Il suffira de définir ce paramètre est de cocher les deux cases présentent à savoir "Succès" et "Échec" afin que plus rien ne vous échappe concernant les groupes de sécurité ! Appliquez les changements.

auditgroup4

 

La stratégie est désormais opérationnelle, il faudra alors la déployer (gpupdate /force). Intéressons-nous aux événements générés.

III. Visualiser les résultats d'audit

La visualisation des événements s'effectue via l'Observateur d'événements intégré à Windows. Nous allons créer une vue personnalisée afin de pouvoir visualiser simplement les éléments en rapport avec notre audit. Sur "Affichages personnalisés" effectuez un clic droit pour "Créer une vue personnalisée".

auditgroup5

Les deux champs que vous devez configurer sont les suivants (pour les autres libres à vous selon vos besoins) :

- Par source : Sélectionner "Security-Auditing" car les événements que nous cherchons correspondent à cette source, cela réduit sensiblement le champ de recherche et la requête effectuée pour l'actualisation de cette vue.

- Inclut/exclut des ID d'événements : Vous devez ajouter la liste correspondante à tous les ID d'événements en rapport avec notre audit à savoir : 4727, 4728, 4729, 4730, 4731, 4732, 4733, 4734, 4735, 4737, 4754, 4755, 4756, 4757, 4758, 4764.

auditgroup6

Cliquez sur "OK". Donnez un nom à cette vue et validez.

auditgroup7

La vue permet alors de visualiser les événements enregistrés dans le cadre de l'audit des groupes de sécurité et de la gestion de domaine que nous avons mis en place.

auditgroup9

En double cliquant sur un élément, on peut obtenir tous les détails nécessaires à la compréhension de "Ce qu'il s'est passé". Par exemple, dans la copie d'écran ci-dessous on voit un événement d'ID 4727 (Création d'un groupe) concernant un groupe nommé "Informatique".

auditgroup8

La mise en place de cet audit est désormais terminée, n'hésitez pas à personnaliser la vue pour filtrer les événements encore plus finement si vous le souhaitez.

Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Partager sur Google+ Envoyer par mail

Florian Burnel

Co-Fondateur d’IT-Connect, je souhaite partager mes connaissances et expériences avec vous, et comme la veille techno’ est importante je partage aussi des actus.

florian a publié 1610 articles sur IT-Connect.See all posts by florian

Une réaction sur “Audit des groupes de sécurité de l’Active Directory

  • 29/09/2017 à 11:06
    Permalink

    bonjour,

    merci pour ce tuto ça m’a beaucoup aidé.

    j’ai juste une question : dans l’audit pouvant nous récupérer l’adresse ip ou nom de l’ordinateur ou les modifications sont faites ?

    merci par avance

    Répondre

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *