Account Management et Directory Service Access

à un groupe change. Un attaquant qui s’approprie l’accès administrateur à un système commence souvent par créer un nouveau compte utilisateur destiné à de futures attaques. Grâce à Account Management, il est facile de suivre la création du nouveau compte utilisateur. Autre utilité d’Account Management : il rend les administrateurs responsables de leurs actions. Si quelqu’un supprime par mégarde un compte utilisateur ou applique mal un certain changement à un utilisateur ou à un groupe, Account Management fournit une liste de contrôle.

La catégorie Directory Service Access effectue un audit de bas niveau sur les objets AD et leurs propriétés. Comme cette catégorie est associée à l’AD, le fait d’activer l’audit pour elle sur des ordinateurs non DC est sans effet. Il y a un certain chevauchement entre la catégorie Directory Service Access et Account Management, parce que les utilisateurs, les groupes et les ordinateurs sont des objets AD. Cependant, Account Management signale les changements importants concernant les utilisateurs, les groupes et les ordinateurs ; et Directory Service Access fournit un audit de très bas niveau sur les objets AD, y compris les utilisateurs, groupes et ordinateurs. Account Management a un event ID unique pour chaque type d’objet et chaque accès peut être effectué par rapport à l’objet. En revanche, Directory Service Access ne signale qu’un événement, event ID 566, pour tous les types d’activités. Event ID 566 indique le type d’objet, son nom, l’utilisateur qui y a accédé et son type d’accès vis-à-vis de l’objet. Dans l’événement que montre la figure 3, l’administrateur a changé le titre du job en compte de Susan.

Directory Service Access est certes une catégorie puissante, mais pas si simple à utiliser. Sur les DC Win2K, le paramétrage par défaut de la stratégie d’audit de Directory Service Access journalise toutes les tentatives, réussies ou non, de modifier des objets AD : d’où de nombreux événements. En outre, le type d’objet et les noms de propriétés dans event ID 566 viennent directement du schéma d’AD et ne sont pas toujours très clairs. Par exemple, le champ ville d’un utilisateur est le champ l (pour localité) et le nom patronymique est sn (pour surname). Account Management est généralement une catégorie plus pratique pour l’audit de la maintenance des utilisateurs, groupes et ordinateurs, mais Directory Service Access fournit le seul moyen d’auditer les changements apportés à d’autres objets AD importants, comme les GPO et les unités organisationnelles (OU, organizational units).

Nouveau dans Windows 2003 : Windows 2003 corrige un bogue de Win2K qui concerne les changements et réinitialisations des mots de passe utilisateur. Bien que la documentation Win2K dise que Win2K journalise l’event ID 628 pour les réinitialisations de mots de passe, Win2K journalise en réalité l’event ID 627 à la fois pour les changements et les réinitialisations de mots de passe et signale toujours ces événements comme un changement de mot de passe. Windows 2003 journalise l’event ID 627 pour les changements de mot de passe et l’event ID 628 pour les réinitialisations de mots de passe.