> Tech > Gestion de comptes

Gestion de comptes

Tech - Par Renaud ROSSET - Publié le 24 juin 2010
email

La catégorie Audit account management permet de contrôler la façon dont les administrateurs utilisent leur autorité et de surveiller quand ils accordent un nouvel accès. Sur les DC, surveillez event ID 642 (User Account Changed), qui vous permet de surveiller les changements d'état des comptes utilisateur ou les changements de

mots de passe. Comme cet
event ID couvre presque tous les types
de changements de comptes utilisateur,
lisez la description pour déterminer
quels changements ont été faits sur
le compte utilisateur. Comme le
montre la figure 3, la description
d’event ID 642 indique clairement le
type de changement, comme un mot
de passe réinitialisé ou un compte activé.
Event ID 624 (User Account
Created) permet de suivre les nouveaux
comptes utilisateur de domaines
sur les DC, mais je conseille de superviser
aussi cet événement sur les serveurs
membres. Les comptes SAM locaux
se prêtent mal à  la sécurité parce
qu’ils ne sont pas sujets aux contrôles
centralisés et à  la supervision des
comptes de domaines, et event ID 624
vous aidera à  garder la maîtrise des
comptes SAM locaux ainsi qu’à  détecter
des comptes furtifs créés par des intrus.
Il est tout aussi important de surveiller
les nouveaux membres ajoutés à 
un groupe. Sur les DC, surveillez event
ID 632 (Security Enabled Global Group
Member Added), event ID 636
(Security Enabled Local Group
Member Added) et event ID 660
(Security Enabled Universal Group
Member Added) pour détecter l’arrivée
de nouveaux membres dans des
groupes. Comme les SAM n’autorisent
que des groupes locaux, vous pouvez
vous contenter de surveiller uniquement
event ID 636 sur les serveurs
membres. Les trois event ID précisent
le groupe, le nouveau membre, et l’utilisateur
qui effectue le changement.
Dans la figure 4, event ID 632 révèle
que l’utilisateur rsmith a ajouté Guest
au groupe global Domain Admins. Si
vous voulez détecter des ordinateurs
non autorisés, utilisez event ID 645
(Computer Account Created) pour savoir
quand de nouveaux ordinateurs
sont ajoutés au domaine.

Téléchargez cette ressource

Guide de Sécurité IA et IoT

Guide de Sécurité IA et IoT

Compte tenu de l'ampleur des changements que l'IA est susceptible d'entraîner, les organisations doivent élaborer une stratégie pour se préparer à adopter et à sécuriser l'IA. Découvrez dans ce Livre blanc Kaspersky quatre stratégies efficaces pour sécuriser l'IA et l'IoT.

Tech - Par Renaud ROSSET - Publié le 24 juin 2010