L’un des meilleurs moyens de surveiller l’activité des utilisateurs et aussi de détecter des attaques contre vos systèmes, consiste à suivre l’activité de connexion. En raison de l’architecture en domaines de Windows, le logon et l’authentification sont deux notions distinctes : quand vous vous connectez à la station de travail
Logon et authentification
en utilisant un compte de domaine, la station doit s’authentifier avec l’AD sur le DC (domain controller). Deux catégories d’événements de sécurité vous permettent de suivre l’un ou l’autre, ou les deux, types d’activité : la catégorie Logon/Logoff permet de suivre l’activité de logon, et Account Logon permet de suivre les événements d’authentification.
A l’époque de Windows NT, la catégorie Account Logon n’existait pas : on ne pouvait suivre que Logon/ Logoff. C’était très gênant pour les gens qui voulaient suivre les tentatives d’authentification dans leur domaine. Les événements Logon/Logoff sont enregistrés sur les ordinateurs où les événements se produisent – stations de travail et serveurs membre – pas sur les DC. Il fallait donc essayer de surveiller chaque station de travail et serveur membre pour déceler les tentatives de logon infructueuses ! Pis encore, il n’y avait aucun moyen de détecter les tentatives de logon provenant d’ordinateurs non autorisés.
Heureusement, Windows 2000 a introduit la catégorie Account Logon qui, malgré un nom discutable – catégorie Authentication eût été mieux inspiré –permet de capturer tous les événements de logon des comptes de domaines sur le DC. Il faut quand même continuer à surveiller tous vos journaux de Securité de DC, mais c’est bien mieux que de surveiller le journal de Sécurité de chaque ordinateur sur votre réseau.
La catégorie Logon/Logoff garde son utilité, malgré l’arrivée de Account Logon. Entre autres, Logon/Logoff aide à suivre une session de logon entière. Les événements Account Logon indiquent qui essaie de se connecter, où et quand, mais les événements Logon/Logoff indiquent pendant combien de temps ils restent connectés. Les événements Logon/Logoff fournissent aussi plus de détails sur la raison de l’échec d’une tentative de logon/authentification.
Nouveau dans Windows 2003 : Win2K a un ensemble d’event ID pour les événements d’authentification réussis et un autre ensemble pour les authentifications ratées. Les événements Account Logon n’ont pas changé dans Windows XP mais, dans Windows 2003, la catégorie journalise quelques détails supplémentaires et Microsoft, on ne sait pourquoi, a éliminé les event ID spécifiques pour les événements d’authentification en échec, et les a fusionnés avec leurs événements d’authentification réussis correspondants.
Téléchargez cette ressource
Guide de réponse aux incidents de cybersécurité
Le National Institute of Standards and Technology (NIST) propose un guide complet pour mettre en place un plan de réponse aux incidents de cybersécurité, nous en avons extrait et détaillé les points essentiels dans ce guide. Découvrez les 6 étapes clés d'un plan de réponse efficace aux incidents de cybersécurité.
Les articles les plus consultés
A travers cette chaîne
A travers ITPro
