> Tech > Etape 4. Superviser et auditer votre organisation d’AD

Etape 4. Superviser et auditer votre organisation d’AD

Tech - Par iTPro - Publié le 24 juin 2010
email

Compte tenu des multiples composantes d’AD, il est difficile de s’apercevoir si quelqu’un essaie de dévoyer les mesures de sécurité. Vous pouvez certes observer les meilleures pratiques indiquées jusqu’ici, mais comment savoir si quelqu’un tente de se faufiler ? Par la surveillance et l’audit.

Au minimum, il faut

Etape 4. Superviser et auditer votre organisation d’AD

surveiller la disponibilité de base de vos DC. Il est probable que vous surveillez déjà la disponibilité de l’hôte, pour assurer la disponibilité globale de l’infrastructure d’AD. Mais, sous l’angle de la sécurité, il est important de savoir quand un DC tombe en panne inopinément, afin de pouvoir analyser la cause le plus tôt possible. Peut-être qu’un DC d’un site distant a été volé ou qu’un assaillant a obtenu l’accès physique et a arrêté la machine pour installer un cheval de Troie.

Outre la surveillance de la disponibilité de base des DC, on peut utiliser Performance Monitor pour surveiller de nombreuses mesures d’AD, allant du nombre de requêtes LDAP (Lightweight Directory Access Protocol) par seconde jusqu’à la quantité de données répliquées. Vous pouvez établir une ligne de base pour chacun des compteurs qui vous intéressent, puis les surveiller. Ce faisant, si vous observez, par exemple, que le nombre de requêtes LDAP ou de requêtes d’authentification par seconde grimpe fortement pendant une certaine période, ce peut être l’indice d’une attaque. Pour une surveillance (et un système d’alerte) plus poussée, vous pouvez utiliser un outil comme MOM (Microsoft Operations Manager).

Les fonctions d’audit fournies par les OS Windows et d’AD vous permettent de journaliser certains événements dans le journal d’événements de la Securité. Vous pouvez tout journaliser, depuis les divers changements de configuration d’OS jusqu’aux modifications approfondies effectuées dans AD. Toutefois, pratiquez l’audit avec parcimonie. En effet, si vous auditez trop, vous submergerez rapidement vos journaux de sécurité et ne pourrez plus en extraire les événements importants. Pour des conseils sur ce qu’il convient d’auditer, voir l’article Microsoft « « Best Practices Guide for Securing Active Directory Installations » (http://tinyurl.com/3c928).

Téléchargez gratuitement cette ressource

Endpoint Security : Guide de Mise en œuvre

Endpoint Security : Guide de Mise en œuvre

Détournement d’applications légitimes, élévation de privilèges, logiciels malveillants furtifs : comment les solutions de Endpoint Security permettent elles de faire face aux nouvelles techniques d'attaques complexes ? Découvrez, dans ce Guide Endpoint Security, les perspectives associées à leur mise en œuvre.

Tech - Par iTPro - Publié le 24 juin 2010