Qu’est-ce qu’un audit réussi ou un échec d’audit dans l’Observateur d’événements

Pour aider à résoudre les problèmes, l’Observateur d’événements, natif du système d’exploitation Windows, affiche les journaux d’événements des messages système et d’application qui incluent des erreurs, des avertissements et des informations sur certains événements qui peuvent être analysés par l’administrateur pour prendre les mesures nécessaires. Dans cet article, nous discutons de la réussite de l’audit ou de l’échec de l’audit dans l’Observateur d’événements .

Qu’est-ce qu’un audit réussi ou un échec d’audit dans l’Observateur d’événements

Dans l’Observateur d’événements, Audit Success est un événement qui enregistre une tentative d’accès de sécurité auditée réussie, tandis que Audit Failure est un événement qui enregistre une tentative d’accès de sécurité auditée qui échoue. Nous aborderons ce sujet sous les sous-titres suivants :

1. Politiques d’audit
2. Activer les stratégies d’audit
3. Utilisez l’Observateur d’événements pour trouver la source des tentatives infructueuses ou réussies
4. Alternatives à l’utilisation de l’Observateur d’événements

Voyons ceux-ci en détail.

Politiques d’audit

Une stratégie d’audit définit les types d’événements qui sont enregistrés dans les journaux de sécurité et ces stratégies génèrent des événements, qui peuvent être des événements de réussite ou des événements d’échec. Toutes les stratégies d’audit génèrent des événements de réussite ; cependant, seuls quelques-uns d’entre eux généreront des événements d’échec. Deux types de politiques d’audit peuvent être configurés :

Les échecs d’audit sont généralement générés lorsqu’une demande de connexion échoue, bien qu’ils puissent également être générés par des modifications de comptes, d’objets, de stratégies, de privilèges et d’autres événements système. Les deux événements les plus courants sont;

• ID d’événement 4771 : échec de la pré-authentification Kerberos . Cet événement est uniquement généré sur les contrôleurs de domaine et n’est pas généré si l’option Ne pas exiger la pré-authentification Kerberos est définie pour le compte. Pour plus d’informations sur cet événement et sur la résolution de ce problème, reportez-vous à la documentation Microsoft .
• ID d’événement 4625 : un compte n’a pas pu se connecter . Cet événement est généré lorsqu’une tentative de connexion à un compte a échoué, en supposant que l’utilisateur était déjà verrouillé. Pour plus d’informations sur cet événement et sur la résolution de ce problème, reportez-vous à la documentation Microsoft .

Activer les stratégies d’audit

Vous pouvez activer les stratégies d’audit sur les ordinateurs client ou serveur via l’éditeur de stratégie de groupe local ou la console de gestion des stratégies de groupe ou l’éditeur de stratégie de sécurité locale. Sur un serveur Windows, sur votre domaine, créez un nouvel objet de stratégie de groupe ou vous pouvez modifier un GPO existant.

Sur un ordinateur client ou serveur, dans l’éditeur de stratégie de groupe, accédez au chemin ci-dessous :

Computer Configuration > Windows Settings > Security Settings > Local Policies > Audit Policy

Sur un ordinateur client ou serveur, dans Stratégie de sécurité locale, accédez au chemin ci-dessous :

Security Settings > Local Policies > Audit Policy

• Dans Stratégies d’audit, dans le volet de droite, double-cliquez sur la stratégie dont vous souhaitez modifier les propriétés.
• Dans le panneau des propriétés, vous pouvez activer la stratégie de réussite ou d’ échec selon vos besoins.

Utilisez l’Observateur d’événements pour trouver la source des tentatives infructueuses ou réussies

Les administrateurs et les utilisateurs réguliers peuvent ouvrir l’Observateur d’événements sur une machine locale ou distante, avec l’autorisation appropriée. L’Observateur d’événements enregistrera désormais un événement chaque fois qu’il y a un événement échoué ou réussi, que ce soit sur une machine cliente ou dans le domaine sur une machine serveur. L’ID d’événement qui est déclenché lorsqu’un événement échoué ou réussi est enregistré diffère (voir la section Stratégies d’audit ci-dessus). Vous pouvez accéder à Observateur d’ événements > Journaux Windows > Sécurité . Le volet au centre répertorie tous les événements qui ont été configurés pour l’audit. Vous devrez parcourir les événements enregistrés pour rechercher les tentatives échouées ou réussies. Une fois que vous les avez trouvés, vous pouvez cliquer avec le bouton droit sur l’événement et sélectionner Propriétés de l’événementpour plus de détails.

Alternatives à l’utilisation de l’Observateur d’événements

Comme alternative à l’utilisation de l’Observateur d’événements, il existe plusieurs logiciels tiers Event Log Manager qui peuvent être utilisés pour agréger et corréler les données d’événements à partir d’un large éventail de sources, y compris les services basés sur le cloud. Une solution SIEM est la meilleure option s’il est nécessaire de collecter et d’analyser les données des pare-feu, des systèmes de prévention des intrusions (IPS), des appareils, des applications, des commutateurs, des routeurs, des serveurs, etc.

J’espère que vous trouverez cet article suffisamment informatif !

Pourquoi est-il important d’auditer les tentatives d’accès réussies et échouées ?

Il est essentiel d’auditer les événements de connexion, qu’ils réussissent ou non, pour détecter les tentatives d’intrusion, car l’audit de connexion des utilisateurs est le seul moyen de détecter toutes les tentatives non autorisées de connexion à un domaine. Les événements de déconnexion ne sont pas suivis sur les contrôleurs de domaine. Il est également tout aussi important d’auditer les tentatives infructueuses d’accès aux fichiers car une entrée d’audit est générée chaque fois qu’un utilisateur tente sans succès d’accéder à un objet du système de fichiers qui a une SACL correspondante. Ces événements sont essentiels pour suivre l’activité des objets de fichier qui sont sensibles ou précieux et nécessitent une surveillance supplémentaire.

Comment activer les journaux d’échec d’audit dans Active Directory ?

Pour activer les journaux d’échec d’audit dans Active Directory, cliquez simplement avec le bouton droit sur l’objet Active Directory que vous souhaitez auditer, puis sélectionnez Propriétés . Sélectionnez l’ onglet Sécurité , puis sélectionnez Avancé . Sélectionnez l’ onglet Audit , puis sélectionnez Ajouter . Pour afficher les journaux d’audit dans Active Directory, cliquez sur Démarrer > Sécurité du système > Outils d’administration > Observateur d’ événements . Dans Active Directory, l’audit est le processus de collecte et d’analyse des objets AD et des données de stratégie de groupe pour améliorer de manière proactive la sécurité, détecter et répondre rapidement aux menaces et assurer le bon fonctionnement des opérations informatiques.