La catégorie Audit account management permet de contrôler la façon dont les administrateurs utilisent leur autorité et de surveiller quand ils accordent un nouvel accès. Sur les DC, surveillez event ID 642 (User Account Changed), qui vous permet de surveiller les changements d'état des comptes utilisateur ou les changements de
Gestion de comptes
mots de passe. Comme cet
event ID couvre presque tous les types
de changements de comptes utilisateur,
lisez la description pour déterminer
quels changements ont été faits sur
le compte utilisateur. Comme le
montre la figure 3, la description
d’event ID 642 indique clairement le
type de changement, comme un mot
de passe réinitialisé ou un compte activé.
Event ID 624 (User Account
Created) permet de suivre les nouveaux
comptes utilisateur de domaines
sur les DC, mais je conseille de superviser
aussi cet événement sur les serveurs
membres. Les comptes SAM locaux
se prêtent mal à la sécurité parce
qu’ils ne sont pas sujets aux contrôles
centralisés et à la supervision des
comptes de domaines, et event ID 624
vous aidera à garder la maîtrise des
comptes SAM locaux ainsi qu’à détecter
des comptes furtifs créés par des intrus.
Il est tout aussi important de surveiller
les nouveaux membres ajoutés à
un groupe. Sur les DC, surveillez event
ID 632 (Security Enabled Global Group
Member Added), event ID 636
(Security Enabled Local Group
Member Added) et event ID 660
(Security Enabled Universal Group
Member Added) pour détecter l’arrivée
de nouveaux membres dans des
groupes. Comme les SAM n’autorisent
que des groupes locaux, vous pouvez
vous contenter de surveiller uniquement
event ID 636 sur les serveurs
membres. Les trois event ID précisent
le groupe, le nouveau membre, et l’utilisateur
qui effectue le changement.
Dans la figure 4, event ID 632 révèle
que l’utilisateur rsmith a ajouté Guest
au groupe global Domain Admins. Si
vous voulez détecter des ordinateurs
non autorisés, utilisez event ID 645
(Computer Account Created) pour savoir
quand de nouveaux ordinateurs
sont ajoutés au domaine.
Téléchargez cette ressource
Guide de Threat Intelligence contextuelle
Ce guide facilitera l’adoption d’une Threat Intelligence - renseignement sur les cybermenaces, cyberintelligence - adaptée au "contexte", il fournit des indicateurs de performance clés (KPI) pour progresser d' une posture défensive vers une approche centrée sur l’anticipation stratégique
Les articles les plus consultés
- Afficher les icônes cachées dans la barre de notification
- Chiffrements symétrique vs asymétrique
- N° 2 : Il faut supporter des langues multiples dans SharePoint Portal Server
- Partager vos images, vidéos, musique et imprimante avec le Groupe résidentiel
- Cybersécurité Active Directory et les attaques de nouvelle génération
Les plus consultés sur iTPro.fr
- Deepfakes et IA : 64% des Français pensent savoir les détecter, mais la confiance reste fragile
- Cryptographie post-quantique : le Campus Cyber publie deux guides clés pour accélérer la transition des entreprises
- Cyberattaques : 46% des entreprises françaises perdent du chiffre d’affaires dès le premier jour
- Cybersécurité française 2026 : explosion des startups, ralentissement des scale-ups et virage stratégique de l’IA
Articles les + lus
Couchbase lance AI Data Plane pour industrialiser l’IA agentique
Windows 11 : Microsoft généralise le point-in-time restore pour accélérer la remise en service des PC
Computex 2026 : 5 signaux forts à retenir
La chaîne d’approvisionnement, point de rupture récurent du SI
Microsoft Build 2026 : contre-offensive des modèles maison face à OpenAI et Anthropic
À la une de la chaîne Tech
- Couchbase lance AI Data Plane pour industrialiser l’IA agentique
- Windows 11 : Microsoft généralise le point-in-time restore pour accélérer la remise en service des PC
- Computex 2026 : 5 signaux forts à retenir
- La chaîne d’approvisionnement, point de rupture récurent du SI
- Microsoft Build 2026 : contre-offensive des modèles maison face à OpenAI et Anthropic
