> Tech > Logon et authentification

Logon et authentification

Tech - Par Renaud ROSSET - Publié le 24 juin 2010
email

L’un des meilleurs moyens de surveiller l’activité des utilisateurs et aussi de détecter des attaques contre vos systèmes, consiste à suivre l’activité de connexion. En raison de l’architecture en domaines de Windows, le logon et l’authentification sont deux notions distinctes : quand vous vous connectez à la station de travail

Logon et authentification

en utilisant un compte de domaine, la station doit s’authentifier avec l’AD sur le DC (domain controller). Deux catégories d’événements de sécurité vous permettent de suivre l’un ou l’autre, ou les deux, types d’activité : la catégorie Logon/Logoff permet de suivre l’activité de logon, et Account Logon permet de suivre les événements d’authentification.

A l’époque de Windows NT, la catégorie Account Logon n’existait pas : on ne pouvait suivre que Logon/ Logoff. C’était très gênant pour les gens qui voulaient suivre les tentatives d’authentification dans leur domaine. Les événements Logon/Logoff sont enregistrés sur les ordinateurs où les événements se produisent – stations de travail et serveurs membre – pas sur les DC. Il fallait donc essayer de surveiller chaque station de travail et serveur membre pour déceler les tentatives de logon infructueuses ! Pis encore, il n’y avait aucun moyen de détecter les tentatives de logon provenant d’ordinateurs non autorisés.

Heureusement, Windows 2000 a introduit la catégorie Account Logon qui, malgré un nom discutable – catégorie Authentication eût été mieux inspiré –permet de capturer tous les événements de logon des comptes de domaines sur le DC. Il faut quand même continuer à surveiller tous vos journaux de Securité de DC, mais c’est bien mieux que de surveiller le journal de Sécurité de chaque ordinateur sur votre réseau.

La catégorie Logon/Logoff garde son utilité, malgré l’arrivée de Account Logon. Entre autres, Logon/Logoff aide à suivre une session de logon entière. Les événements Account Logon indiquent qui essaie de se connecter, où et quand, mais les événements Logon/Logoff indiquent pendant combien de temps ils restent connectés. Les événements Logon/Logoff fournissent aussi plus de détails sur la raison de l’échec d’une tentative de logon/authentification.

Nouveau dans Windows 2003 : Win2K a un ensemble d’event ID pour les événements d’authentification réussis et un autre ensemble pour les authentifications ratées. Les événements Account Logon n’ont pas changé dans Windows XP mais, dans Windows 2003, la catégorie journalise quelques détails supplémentaires et Microsoft, on ne sait pourquoi, a éliminé les event ID spécifiques pour les événements d’authentification en échec, et les a fusionnés avec leurs événements d’authentification réussis correspondants.

Téléchargez cette ressource

Guide inmac wstore pour l’équipement IT de l’entreprise

Guide inmac wstore pour l’équipement IT de l’entreprise

Découvrez toutes nos actualités à travers des interviews, avis d'experts et témoignages clients et ainsi, retrouvez les dernières tendances et solutions IT autour de nos 4 univers produits : Poste de travail, Affichage et collaboration, Impression et capture et Infrastructure.

Tech - Par Renaud ROSSET - Publié le 24 juin 2010