À de nombreuses reprises, dans le cadre de nos fonctions de personnel informatique, nous sommes confrontés à des situations de sécurité telles qu'elles sont. Les tentatives non autorisées de connexion à notre domaine y accéder et effectuer des tâches qui ne sont pas autorisées ou autorisées et qui peuvent sérieusement affecter les performances du système et de tous les objets qui font partie de l'organisation.
Nous savons que les intrus ou ceux qui souhaitent accéder au système de manière non autorisée tentent d'entrer soit de l'extérieur, soit de l'organisation elle-même, essayant de se faire passer pour l'un des utilisateurs actifs de l'organisation, c'est pourquoi cette fois nous allons analyser comment pouvons-nous surveiller qui a essayé de réinitialiser le mot de passe d'un utilisateur (Évidemment il faut valider avec l'utilisateur si ce n'était pas lui) et ainsi prendre des mesures de sécurité ou celles qui sont pertinentes selon la gravité de la situation.
Pour cette analyse, nous allons utiliser un environnement Serveur Windows 2016.
1. Ouverture de l'éditeur de stratégie de groupe GPO
La première étape que nous allons effectuer consiste à ouvrir le gestionnaire de stratégie de groupe à l'aide de l'une des options suivantes :
- Saisie de l'itinéraire :
début / Toutes les candidatures / Outils administratifs / Gestion des politiques de groupe
- À l'aide de la commande Exécuter (combinaison de touches AGRANDIR
De là, nous allons éditer le politique relative aux tentatives et à la connexion.
2. Modification de la stratégie de groupe
Pour procéder à l'édition de la politique de groupe, nous allons afficher notre domaine, dans ce cas solvetic.com, et nous ferons un clic droit sur Stratégie de domaine par défaut et là nous sélectionnerons l'option Éditer.AGRANDIR
Dans la fenêtre affichée, nous irons à l'itinéraire suivant :
- Configuration de l'équipement
- Directives
- Paramètres Windows
- Les paramètres de sécurité
- Directives locales
AGRANDIR
Nous double-cliquons sur Politique d'audit et nous localiserons la politique appelée "Auditer la gestion des comptes”. Nous verrons que la valeur par défaut est "il n'est pas défini”. Double-cliquez dessus ou faites un clic droit et sélectionnez Propriétés (modifier) et nous verrons que la fenêtre suivante s'affiche :
3. Activation de la stratégie d'audit
Pour activer cette politique, cochez simplement la case "définir ce paramètre de stratégie» Et cochez les cases que nous jugeons nécessaires (Correct/Erreur).Une fois ces valeurs définies, appuyez sur Appliquer et par la suite Accepter pour que les modifications soient enregistrées. Nous pouvons constater que notre politique a été modifiée de manière satisfaisante.
AGRANDIR
4. Vérification des tentatives de changement de mot de passe
Nous pouvons forcer les politiques sur le domaine en ouvrant CMD et en entrant la commande :gpupdate / forcer
Pour que les politiques soient mises à jour.Pour vérifier que l'utilisateur a essayé de modifier le mot de passe, nous allons ouvrir l'observateur d'événements en utilisant l'une des options suivantes :
- À partir de la commande Exécuter en saisissant le terme :
eventvwr
Et en appuyant Entrer ou alors Accepter.
- Depuis le menu Outils dans le administrateur de serveur et en sélectionnant l'option Observateur d'événements.
Nous verrons que la fenêtre suivante s'ouvre :
AGRANDIR
Nous allons sélectionner, dans la partie gauche, l'option Windows / Journaux de sécurité. Une fois que nous avons sélectionné Sécurité sur le côté droit, nous choisissons l'option Filtrer l'enregistrement actuel et dans le champ Tous les ID d'événement, nous entrerons l'ID 4724 qui est un ID de sécurité lié aux tentatives de changement de mot de passe.
Nous appuyons Accepter pour voir tous les événements associés. Le résultat obtenu sera le suivant :
AGRANDIR
Nous pouvons voir la date et l'heure exactes de l'événement indiquant qu'il s'agissait d'une tentative de réinitialisation du mot de passe. Nous pouvons double-cliquer sur l'événement pour voir plus de détails à son sujet.
Nous notons qu'il y a le compte qui a essayé de faire le changement, dans ce cas Adm Solv et le compte auquel la modification a été tentée, dans cet exemple solvetic2.
De cette façon, nous pouvons auditer toutes les tentatives de modification des mots de passe des utilisateurs, à la fois corrects et erronés et ainsi visualiser en détail qui et quand a fait ou essayé de faire le changement et ainsi prendre les mesures nécessaires.
Si vous souhaitez entrer dans la branche de audits d'analyses médico-légales, nous vous laissons un lien sur un outil pratique largement utilisé pour cela.
Audit forensique Windows