Logo PG Software
lundi, 23 avril 2012 12:48

Suivre les connexions/déconnexions de postes avec ADAudit Plus

Évaluer cet élément
(0 Votes)

logoAvant dans rentrer dans les détails, j'aimerais vous en dire plus sur le suivi des connexions/déconnexions dans un environnement Active Directory, qui est un processus relativement lourd.

Audit de l'environnement Windows Active Directory

Audit des connexions

Avec l'architecture actuelle de Windows, il est difficile d'obtenir toutes les données de connexion au même endroit. Dans un environnement AD, un contrôleur de domaine (DC) est celui qui est chargé de l'authentification. Quand il y a plusieurs DC dans une même configuration, la gestion du mécanisme d'authentification, les données de connexion (et seulement les données de connexion) sont disponibles sur différents ordinateurs (lues en tant queDC). Donc, pour chiffrer clairementl'activité des ouvertures de session, la collecte de toutes ces données est essentielle. Un autre point délicat, c'est la distinction entre l'ouverture de session d'un utilisateur réel (connexion interactive) et d'autres types de connexions (réseau, traitementpar lots, service, déverrouillage, à distance, etc...).

L'audit conçu par Windows s'apparente à une recherche d'empreintes, nous le plaçons dans un code source, quand le code rencontre le paramètre « d'audit », alors une empreinte apparaît sur l'activité correspondante.

if(AUDIT_POL) {
Debug("Auth Toke requested for %s", __user);
}

Audit des déconnexions

L'audit des déconnexionsest tout à fait différent du précédent, il n'a rien à voir avec les serveurs d'authentification (DC). En fait, ce journal d'activité n'est jamais disponible avec les DC. Comme il s'agit d'une activité sur un ordinateur local, l'information de fermeture de session est seulement disponible dans les logs d'événements Poste/Serveur correspondants. Vous êtes donc obligés de recueillir les informations de déconnexion de chaque ordinateur présent sur le réseau. L'extensibilité entre alors en jeu, ainsi vous êtes amené à utiliser une méthodologie orientée agent, où chaque poste de travail contient un agent qui collecte et transfère les informations de déconnexionsvers le serveur principal.

L'introduction étant terminée, passons à la solution d'audit.

Connexion/Déconnexion via un serveur de fichiers avec ADAudit Plus

Mis à part ses capacités d'audit des changements de l'AD, ADAudit Plus dispose également d'une fonction d'audit du "serveur de fichiers", où chaque action est suivie et signalée comme la création/modification/suppression d'un fichier, changement depermission, etc... Un de nos clients a utilisé très intelligemment cette fonctionnalité pour calculer les connexions/déconnexions dans son environnement.

Il a ajouté un simple script de connexion avec le code ci-dessous et l'a assigné à tous les utilisateurs de l'AD à travers un GPO (stratégie de groupe).

echo logon, %username%, %computername%, Úte%, %time% >>
omegalogonlogon.log
 

Voici le script de déconnexion similaire au premier. Ces deux scripts se nomment respectivement « logon.cmd » et « logoff.cmd ».

echo logoff, %username%, %computername%, Úte%, %time% >>
omegalogonlogoff.log
 

Où «omega» est un serveur contenant un dossier de partage appelé "logon". Dans ce contexte, quand un utilisateur se connecte ou se déconnecte, une entrée est automatiquement crééesous les noms de "logon.log" et "logoff.log".

Maintenant, en utilisant la fonction d'audit du serveur de fichiers, il a configuré le serveur «omega» et a inclus ledossier « logon » dans l'audit. Ainsi,à chaque fois qu'un utilisateur se connecte ou se déconnecte, les fichiers « logon.log » et « logoff.log » sont mis à jour et donc audités par ADAudit Plus ! Lecôté intéressant ici est que l'entrée inscrite dans le fichier est basée sur les identifiants de l'utilisateur qui se connecte ou se déconnecte. Par conséquent, le nom d'utilisateur apparaitdans la colonne « qui a modifié » le fichier dans le journal des événements.

Ce qui permet à notre client d'obtenir un rapport comme celui-ci :

screen adaudit

ADAudit Plus est capable de collecter les informations de connexion/déconnexion à partir des DC, des serveurs de membres, des serveurs de fichiers, ce contournement est seulement destiné aux postes de travail. La fonction de collecte des informations directement à partir des postes de travail est actuellement en développement et sera bientôt disponible.

Si avez des doutes sur certains ou des questions concernant ADAudit Plus, n'hésitez pas à nous contacter.

Téléchargez notre version d'évaluation de 30 jours.

Lu 4718 fois

Vous avez la possibilité de créer un compte lors du téléchargement d'un produit.