L’un des meilleurs moyens de surveiller l’activité des utilisateurs et aussi de détecter des attaques contre vos systèmes, consiste à suivre l’activité de connexion. En raison de l’architecture en domaines de Windows, le logon et l’authentification sont deux notions distinctes : quand vous vous connectez à la station de travail
Logon et authentification
en utilisant un compte de domaine, la station doit s’authentifier avec l’AD sur le DC (domain controller). Deux catégories d’événements de sécurité vous permettent de suivre l’un ou l’autre, ou les deux, types d’activité : la catégorie Logon/Logoff permet de suivre l’activité de logon, et Account Logon permet de suivre les événements d’authentification.
A l’époque de Windows NT, la catégorie Account Logon n’existait pas : on ne pouvait suivre que Logon/ Logoff. C’était très gênant pour les gens qui voulaient suivre les tentatives d’authentification dans leur domaine. Les événements Logon/Logoff sont enregistrés sur les ordinateurs où les événements se produisent – stations de travail et serveurs membre – pas sur les DC. Il fallait donc essayer de surveiller chaque station de travail et serveur membre pour déceler les tentatives de logon infructueuses ! Pis encore, il n’y avait aucun moyen de détecter les tentatives de logon provenant d’ordinateurs non autorisés.
Heureusement, Windows 2000 a introduit la catégorie Account Logon qui, malgré un nom discutable – catégorie Authentication eût été mieux inspiré –permet de capturer tous les événements de logon des comptes de domaines sur le DC. Il faut quand même continuer à surveiller tous vos journaux de Securité de DC, mais c’est bien mieux que de surveiller le journal de Sécurité de chaque ordinateur sur votre réseau.
La catégorie Logon/Logoff garde son utilité, malgré l’arrivée de Account Logon. Entre autres, Logon/Logoff aide à suivre une session de logon entière. Les événements Account Logon indiquent qui essaie de se connecter, où et quand, mais les événements Logon/Logoff indiquent pendant combien de temps ils restent connectés. Les événements Logon/Logoff fournissent aussi plus de détails sur la raison de l’échec d’une tentative de logon/authentification.
Nouveau dans Windows 2003 : Win2K a un ensemble d’event ID pour les événements d’authentification réussis et un autre ensemble pour les authentifications ratées. Les événements Account Logon n’ont pas changé dans Windows XP mais, dans Windows 2003, la catégorie journalise quelques détails supplémentaires et Microsoft, on ne sait pourquoi, a éliminé les event ID spécifiques pour les événements d’authentification en échec, et les a fusionnés avec leurs événements d’authentification réussis correspondants.
Téléchargez gratuitement cette ressource
Guide de Services Cloud Managés
Accélérer votre transformation digitale, protéger et sécuriser vos environnements Cloud avec les offres de support, d'accompagnement et de services managés. Découvrez le TOP 3 des Services Managés pour accompagner la transformation de vos environnements Cloud, gagner en agilité et en sécurité dans un monde d'incertitudes.
Les articles les plus consultés
A travers cette chaîne
A travers ITPro
Les plus consultés sur iTPro.fr
- Vidéo : A la découverte d’Azure Container Apps !
- Evènement : les Serverless Days 2022 seront à Paris le 22 juin
- FIC 2022 : une Europe forte face à la cybercriminalité
- Le collaborateur du futur plus performant grâce à l’automatisation intelligente
- Edition #FIC2022 : une mobilisation totale de l’écosystème cyber !
