la tâche AdminSDHolder a modifiés La méthode la plus courante et la plus efficace pour déterminer quels comptes et groupes ont été touchés par la tâche AdminSDHolder consiste à rechercher les entrées d’audit de gestion de comptes Event ID 684 dans le journal d’événements Security sur le DC émulateur PDC.
Déterminer quels objets
/>
La figure 5 montre un exemple d’une telle entrée de journal. A noter que, pour que le système puisse journaliser les événements requis, l’audit de gestion de comptes doit être validé. Comme autre méthode, vous pouvez journaliser l’activité SDPROP (security descriptor propagation). Il n’y a pas de relation entre la tâche AdminSDHolder et SDPROP, mais chaque fois qu’une mise à jour de SD (Security Descriptor) a lieu, SDPROP tente de propager les changements vers les objets enfants. Autrement dit, les événements informatifs de SDPROP donnent des indications sur les objets qui ont été touchés par la tâche AdminSDHolder.
Mais sachez que SDPROP a aussi la possibilité de journaliser une autre activité sans rapport avec ceci. SDPROP ne journalise pas les événements informatifs dans le journal d’événements DS (Directory Service) sauf si vous élevez le niveau de journalisation de diagnostics au-dessus de la valeur par défaut. Pour valider les événements informatifs de SDPROP, à nouveau sur le DC émulateur PDC, définissez la valeur de 9 Internal Processing sur la sous-clé de registre suivante à 5 (décimale) :
HKEY_ LOCAL_ MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics.
Après avoir validé le niveau de journalisation plus élevé, recherchez les Event ID 1257 et 1258 dans le journal d’événements DS avec NTDS SDPROP comme source. Les événements contiendront le nom des objets mis à jour par SDPROP. Comme l’élévation du niveau de journalisation génère un grand nombre d’événements, ne le faites que pour dépanner un problème bien particulier, puis abaissez le niveau de journalisation une fois le dépannage effectué.
Une troisième méthode consiste à émettre une requête LDAP pour tous les objets présents dans le domaine qui ont une valeur d’attribut adminCount de 1. Cependant, cette méthode n’est pas fiable pour les raisons que j’ai déjà indiquées : à savoir le fait que la tâche AdminSDHolder ne supprime pas la valeur d’attribut quand l’objet n’est plus membre de l’un des groupes protégés.
Dans l’exemple suivant, j’utilise ADFind (un excellent outil ligne de commande freeware en provenance de joeware.net, http://www.joeware.net) pour exécuter la requête LDAP. La requête recherche la partition de répertoire par défaut (la partition de domaine) et renvoie tous les objets utilisateurs qui ont une valeur d’attribut adminCount de 1.
(La requête peut s’étendre sur plusieurs lignes pour des raisons de place, mais vous devez la taper sur une seule ligne.)
adfind -default -f "(&(objectClass=user (objectCategory=Person)(adminCount=))"
Téléchargez gratuitement cette ressource
Guide de Cloud Privé Hébergé
Comment permettre aux entreprises de se focaliser sur leur cœur de métier, de gagner en agilité, réactivité et résilience en s’appuyant sur un socle informatique performant, évolutif et sécurisé ? Découvrez les avantages des solutions de Cloud Privé hébergé de la CPEM.
Les articles les plus consultés
A travers cette chaîne
A travers ITPro
Les plus consultés sur iTPro.fr
- Les robots et l’IA, solutions d’avenir pour les entreprises
- Les vulnérabilités les plus répandues ciblant les entreprises dans le Cloud
- Se réunir moins souvent mais faire plus !
- En 2022, les entreprises doivent redoubler d’efforts pour affronter les ransomwares
- Pourquoi les RSSI devraient s’opposer à la méthode Agile dans l’IT
