Evénements Kerberos ayant échoué

d’événement
675 (échec de la pré-authentification) avec le Code d’échec 24, que montre la
figure 6. Cet événement est extrêmement précieux : en recherchant dans chacun
des journaux Sécurité du contrôleur de domaine cet événement et ce code d’échec,
on peut faire le suivi de chaque tentative d’ouverture de session ayant échoué
dans le domaine à  la suite de la saisie d’un mot de passe erroné. L’événement
indique non seulement le nom d’utilisateur et le nom de domaine, mais également
l’adresse IP du système à  partir duquel a eu lieu la tentative d’ouverture de
session. Il s’agit là  d’un progrès considérable par rapport au suivi des échecs
d’ouverture de session de NT, qui consigne seulement le nom d’utilisateur et le
nom de domaine. Windows 2000 consigne aussi l’événement 675. Cela se produit lorsqu’un
utilisateur tente d’utiliser un nom d’utilisateur différent (c’est-à -dire un nom
d’utilisateur autre que celui utilisé pour la connexion en cours à  la station
de travail) pour se connecter à  un serveur. Un utilisateur essaie, par exemple,
d’utiliser la fonction Se connecter au moyen d’un nom d’utilisateur différent
pour utiliser le compte de quelqu’un d’autre pour se connecter à  un serveur.



Il s’agit là  d’un progrès considérable par rapport au suivi des échecs d’ouverture
de session de NT



Il arrive qu’une ouverture de session échoue non pas à  cause d’un mot de passe
erroné, mais parce que l’utilisateur a mal saisi son nom d’utilisateur ou a essayé
de deviner le nom d’utilisateur de quelqu’un d’autre. Si une ouverture de session
échoue à  cause d’un nom d’utilisateur invalide, Windows 2000 consigne l’événement
676 (échec de la demande de ticket d’authentification), avec le Code d’échec 6.
Cet événement est un autre progrès important de l’audit de connexion, parce que
NT ne permet pas de distinguer les connexions ayant échoué à  cause d’un mauvais
mot de passe de celles qui ont échoué à  cause d’un mauvais nom d’utilisateur.
Windows 2000 utilise l’événement 676 avec d’autres codes d’échec pour identifier
plusieurs autres types de situations d’échec de connexion. Le Code d’échec 12
indique que l’ouverture de session a échoué à  cause des contraintes horaires ou
des restrictions de la station de travail. Le Code d’échec 23 signifie que le
mot de passe de l’utilisateur est expiré. Le Code d’échec 18 signifie que le compte
était verrouillé à  cause d’échecs de connexions, désactivé par l’administrateur
ou expiré. Le Code d’échec 37 signale que l’horloge d’une station de travail est
trop éloignée de la synchronisation avec celle du contrôleur de domaine.



Windows 2000 supporte à  la fois les protocoles d’authentification Kerberos et
NTLM



Il arrive aussi qu’une tentative d’acquisition de ticket de service échoue, même
si le contrôleur de domaine a réussi à  authentifier l’utilisateur et a accordé
un TGT. Dans ce cas, Windows 2000 consigne l’événement 677 (échec de demande de
ticket de service) avec divers codes d’échec selon la situation. Lorsque les utilisateurs
essaient de se connecter à  partir de stations de travail Windows 2000 Pro à  des
serveurs NT sur le réseau, l’événement 677 se rencontre régulièrement avec le
Code d’échec 7, que montre la figure 7. Dans cet exemple, l’utilisateur était
connecté à  une station de travail Windows 2000 Pro (c’est-à -dire l’adresse de
client 10.0.0.81) en tant qu’Administrateur et a connecté une unité à  un système
NT Server (c’est-à -dire Kramer) dans un domaine Windows 2000 (c’est-à -dire MTG.LOCAL).
La station de travail a d’abord demandé au contrôleur de domaine d’accorder un
ticket de service Kerberos mais cette demande a échoué, puisque le serveur NT
ne supporte pas Kerberos. Le contrôleur de domaine a donc consigné l’événement
677 avec le Code d’échec 7. Ce type d’erreur est transparent pour l’utilisateur
parce que la station de travail bascule immédiatement sur l’utilisation de NTLM.