ManageEngine - logiciels administration SI : Tags K2

La capacité de détecter tous les changements qui se produisent sur tous les objets dans Active Directory peut vous donner un aperçu des attaques et des erreurs de configuration. Il est possible de détecter tous les changements effectués sur les objets dans Active Directory si vos paramètres de stratégie sont correctement activés. Malheureusement, ces paramètres de stratégie ne sont pas activés par défaut, ce qui signifie que peu, voire aucun, changement n'est détecté par défaut. Toutefois, la configuration de ces paramètres de stratégie n'est pas difficile. L'important reste à savoir quels paramétrages sont nécessaires pour détecter les modifications d'objets Active Directory.

Il y a deux options différentes à modifier, selon le système d'exploitation Windows Server que vous utilisez pour vos contrôleurs de domaine. Si vous utilisez Windows Server 2008 ou une version antérieure, vous devrez configurer les paramètres de stratégie d'audit. Si vous utilisez Windows Server 2008 R2 ou une version ultérieure, vous devez utiliser les paramètres de stratégie d'audit avancée. Vous pouvez utiliser les paramètres de stratégie d'audit sur Windows 2008 R2 ou une version ultérieure, mais les paramètres de stratégie d'audit avancé permettent d'améliorer la pertinence des changements détectés sur les objets.

NOTE : Si vous utilisez à la fois des systèmes d'exploitation d'ancienne et nouvelle génération pour vos contrôleurs de domaine, vous pouvez utiliser un mélange de paramètres de stratégie. Les contrôleurs de domaine plus anciens ignoreront automatiquement les paramètres de stratégie d'audit avancée. Ainsi, assurez-vous que les paramètres de stratégie d'audit sont également configurés.

Pour configurer les paramètres de stratégie d'audit, vous devez modifier le GPO (objet de stratégie de groupe) sous le nœud Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Audit Policy, comme le montre la Figure 1.

Figure 1. Configuration de stratégie d'audit pour détecter les modifications d'objets Active Directory.

En résumé, assurez-vous de configurer les paramètres de stratégie d'audit suivants :

Audit Account LogonSuccess/FailureAudit Account ManagementSuccess/FailureAudit Directory Service AccessSuccessAudit Logon EventsSuccess/FailureAudit Audit Policy changeSuccess/Failure

Si vous choisissez d'utiliser les paramètres de stratégie d'audit avancée, vous devez le GPO sous Configuration\Policies\Windows Settings\Security Settings\Advanced Audit Policy Configurations\Audit Policy, comme le montre la Figure 2.

Figure 2. Paramètres de stratégie d'audit avancée pour détecter les changements d'objets Active Directory.

Les configurations détaillées pour la stratégie d'audit avancée comprennent :

• Audit Account Logon
• Audit Kerberos Authentication Service – Success/Failure
• Audit Account Management
• Audit Computer Account Management – Success/Failure
• Audit Distribution Group Management – Success/Failure
• Audit Security Group Management – Success/Failure
• Audit USer Account Management – Success/Failure
• Audit DS AccessAudit Directory Service Changes – Success/Failure
• Audit Directory Service Access – Success/Failure
• Audit Logon/Logoff Audit Logon – Success/Failure
• Audit Logoff – Success/Failure
• Audit Policy changeAudit Authentication Policy Change – Success/Failure
• Audit Authorization Policy Change – Success/Failure
• Audit System EventsAudit System Security Change – Success/Failure

Vous pouvez soit lier le GPO contenant ces configurations à l'unité d'organisation (OU) des contrôleurs de domaine ou au niveau du domaine. Bien sûr, si vous liez le GPO au niveau du domaine, les paramètres auront une incidence sur tous les ordinateurs du domaine, et pas seulement les contrôleurs de domaine. Si vous voulez juste détecter les modifications apportées aux objets Active Directory, lier le GPO à l'OU des contrôleurs de domaine.

Vous avez désormais paramétré les contrôleurs de domaine pour activer la surveillance des zones relatant aux changements d'objet Active.

Dans cet article nous allons parler d’un sujet bien précis et qui peut vous intéresser en termes de gestion de vos IT. Ce sujet c’est les derniers développements en matière de gestion d’Active Directory.

Les nouvelles tendances comme la conformité IT et la BYOD, ont fait évoluer les besoins et les motivations des entreprises en termes de gestion des identités et des accès (IAM). Ce qui a ouvert la voie aux solutions IAM. Le service d'annuaire le plus populaire, Active Directory, a lui aussi évolué.

L’une des principales contraintes pour l'entreprise lorsque les utilisateurs de l’Active Directory sont autorisés à accéder aux applications Cloud, c’est la gestion de leurs identités à travers ces différentes applications. Quand il s'agit de la gestion des identités dans un scénario hybride, vous devez garder deux choses à l’esprit :

• Il fortement recommandé d’utiliser la solution de gestion des identités existante utilisée pour l’Active Directory et de l’étendre aux applications cloud.
• Il est idéal pour l’utilisateur d’avoir un seul login pour plusieurs applications. Mais, le problème est que ces différentes applications ont des dates d’expiration des mots de passe différentes.

La gestion efficace d'Active Directory et l'installation d'Exchange sont cruciales pour le bon fonctionnement d'une organisation basé sur Windows. Aujourd‘hui, les besoins en matière de gestion des identités et des accès (IAM) d'une organisation représente un défi de taille pour les administrateurs IT.

AD360 est une solution intégrée répondant aux nombreuses préoccupations des administrateurs IT qui gèrent un environnement Windows, via une interface simple et facile à utiliser. Nous avons doté cette solution de toutes les fonctionnalités nécessaires pour gérer efficacement l’IAM.

Windows 8 et Windows Server 2012, les derniers systèmes d'exploitation de Microsoft, ont apporté des changements radicaux aux PC Windows classiques. Ces systèmes d'exploitation ont été développés pour s’adapter à la fois au travail traditionnel sur PC et aux périphériques mobiles modernes tels que les tablettes et les smartphones.

Afin de toujours vous offrir le meilleur de la gestion libre-service des mots de passe, la dernière version d’ADSelfService Plus (version 4.5 build 4590) est disponible et compatible avec Windows 8 et Windows Server 2012.

Un mot de passe agit comme un rempart pour la sécurité des comptes utilisateurs. Le choix d’un mot de passe sécurisé n'est pas seulement limité à l'utilisateur final mais également à l'administrateur qui définit la politique de restriction ou de création de tel ou tel mot de passe. Un mot de passe mal choisi par vos utilisateurs est une opportunité qui involontairement fourni à des utilisateurs malveillants de l’exploiter. Par exemple, les hackers (utilisateurs externes) sont constamment à l'affût des failles dans le système de sécurité d'une organisation en vue d'accéder à des informations sensibles. Les comptes utilisateurs qui n'ont pas un mot de passe restent les cibles prioritaires des hackers. On ne peut pas écarter le rôle des personnes internes à l’entreprise dans une brèche de sécurité. Les stats révèlent qu'environ 93% des failles de compte dans une organisation ont été causés par un interne.