L’un des meilleurs moyens de surveiller l’activité des utilisateurs et aussi de détecter des attaques contre vos systèmes, consiste à suivre l’activité de connexion. En raison de l’architecture en domaines de Windows, le logon et l’authentification sont deux notions distinctes : quand vous vous connectez à la station de travail
Logon et authentification
en utilisant un compte de domaine, la station doit s’authentifier avec l’AD sur le DC (domain controller). Deux catégories d’événements de sécurité vous permettent de suivre l’un ou l’autre, ou les deux, types d’activité : la catégorie Logon/Logoff permet de suivre l’activité de logon, et Account Logon permet de suivre les événements d’authentification.
A l’époque de Windows NT, la catégorie Account Logon n’existait pas : on ne pouvait suivre que Logon/ Logoff. C’était très gênant pour les gens qui voulaient suivre les tentatives d’authentification dans leur domaine. Les événements Logon/Logoff sont enregistrés sur les ordinateurs où les événements se produisent – stations de travail et serveurs membre – pas sur les DC. Il fallait donc essayer de surveiller chaque station de travail et serveur membre pour déceler les tentatives de logon infructueuses ! Pis encore, il n’y avait aucun moyen de détecter les tentatives de logon provenant d’ordinateurs non autorisés.
Heureusement, Windows 2000 a introduit la catégorie Account Logon qui, malgré un nom discutable – catégorie Authentication eût été mieux inspiré –permet de capturer tous les événements de logon des comptes de domaines sur le DC. Il faut quand même continuer à surveiller tous vos journaux de Securité de DC, mais c’est bien mieux que de surveiller le journal de Sécurité de chaque ordinateur sur votre réseau.
La catégorie Logon/Logoff garde son utilité, malgré l’arrivée de Account Logon. Entre autres, Logon/Logoff aide à suivre une session de logon entière. Les événements Account Logon indiquent qui essaie de se connecter, où et quand, mais les événements Logon/Logoff indiquent pendant combien de temps ils restent connectés. Les événements Logon/Logoff fournissent aussi plus de détails sur la raison de l’échec d’une tentative de logon/authentification.
Nouveau dans Windows 2003 : Win2K a un ensemble d’event ID pour les événements d’authentification réussis et un autre ensemble pour les authentifications ratées. Les événements Account Logon n’ont pas changé dans Windows XP mais, dans Windows 2003, la catégorie journalise quelques détails supplémentaires et Microsoft, on ne sait pourquoi, a éliminé les event ID spécifiques pour les événements d’authentification en échec, et les a fusionnés avec leurs événements d’authentification réussis correspondants.
Téléchargez gratuitement cette ressource
HP Elite Slice G2 : optimisez la collaboration… et votre budget !
Téléchargez cette étude Forrester et découvrez comment booster la collaboration tout en dégageant un excellent R.O.I grâce au système de vidéoconférence HP Elite Slice G2 avec Microsoft Teams !
Les articles les plus consultés
A travers cette chaîne
A travers ITPro
Les plus consultés sur iTPro.fr
- L’Observatoire de la Grande Ecole du Numérique : Top 15 des métiers du numérique
- La conformité des données : la priorité de l’année 2022
- Top 5 des articles 2021
- Cleyrop : le DataHub européen rassemblant l’excellence française de la donnée !
- Log4j : le CESIN publie un Kit pour aider les entreprises et les collectivités
