L'un des problèmes les plus importants que nous devons garder à l'esprit en tant qu'administrateurs est la sécurité de nos serveurs et de nos équipements, en garantissant à ceux qui y ont accès et en prenant soin des privilèges qu'ils y ont. Il peut arriver que certains utilisateurs, par accident ou non, apportent des modifications à différents paramètres du serveur et tout comme il peut y avoir des changements qui n'affectent pas les performances et la stabilité du système, d'autres changements peuvent affecter de manière significative la sécurité, la confidentialité et les performances de Windows Server 2016 et à son tour cela pose de sérieux problèmes qui peuvent même conduire à des problèmes juridiques.
En plus de faire des copies de sauvegarde, l'une des meilleures pratiques que nous pouvons mettre en œuvre en tant qu'administrateurs, responsables informatiques et en général en tant que personnel système est mettre en œuvre une politique d'audit qui nous permet de surveiller quels utilisateurs sont connectés à Windows Server 2016 (Ou des versions antérieures de W.Server) et ainsi pouvoir analyser si les pannes du système coïncident avec la connexion d'un autre utilisateur que ceux autorisés. Nous allons analyser comment nous pouvons implémenter cette politique dans un environnement Windows Server 2016.
1. Paramètres de stratégie d'audit
La première étape que nous devons franchir pour créer notre politique d'audit sera d'entrer dans la console de gestion des stratégies de groupe ou Console de gestion des stratégies de groupe, pour cela nous utiliserons la combinaison de touches :
Nous appuyons Entrer ou alors d'accord et nous verrons la fenêtre suivante :
Être dans le Console d'objet de stratégie de groupe on va se déplacer comme suit :
Forêt / Domaines / Nuestro_Dominio / Contrôleurs de domaine / Stratégie des contrôleurs de domaine par défaut
Nous donnerons faites un clic droit sur la politique des contrôleurs de domaine par défaut et nous sélectionnons Éditer Pour entrer dans l'éditeur de stratégie de groupe, nous verrons l'environnement suivant :
Là, nous devons aller à l'itinéraire suivant:
- La configuration d'un ordinateur
- Stratégies
- Paramètres Windows
- Les paramètres de sécurité
- Configuration avancée de la stratégie d'audit
- Politiques d'audit
AGRANDIR
[couleur = rgb (169,169,169)] Cliquez sur l'image pour agrandir [/couleur]
De cette façon, nous sommes entrés dans le Option de connexion/déconnexion et nous devrions activer l'audit pour ces actions, donc lorsqu'un utilisateur se connecte, il sera enregistré dans l'observateur d'événements afin qu'il puisse plus tard entrer et effectuer l'analyse correspondante. Comme nous voyons la partie droite, nous avons une série d'options mais nous devons modifier les éléments suivants :
- Déconnexion de l'audit
- Auditer la connexion
- Auditer les autres événements de connexion/déconnexion
Ces trois (3) options nous fourniront des informations détaillées sur :
- Connexions aux sessions
- Clôtures des sessions
- Verrouillage de l'équipement
- Connexions via le bureau à distance
- Etc.
Il suffit de double-cliquer sur les trois (3) options et d'activer la case Configurer les événements d'audit suivants et cochez les deux options disponibles (Succès -Satisfaisant Oui Échec - Mauvais) pour garder un contrôle total sur les événements d'ouverture et de fermeture de session dans Windows Server 2016.
Nous appuyons Appliquer et par la suite d'accord pour enregistrer les modifications.
2. Analyser l'observateur d'événements
Une fois que nous aurons correctement configuré ces paramètres, nous entrerons dans l'observateur d'événements pour analyser les événements respectifs.
Événements d'audit de connexion et de déconnexionMaintenant, les identifiants des événements que nous devons garder à l'esprit pour surveiller sont les suivants :
- 4624: Connexion (événement de sécurité)
- 4647: Déconnexion (événement de sécurité)
- 6005: Démarrage du système (événement système)
- 4778: Connexion à un RDP - Bureau à distance (événement de sécurité)
- 4779: Déconnexion de RDP - Bureau à distance (événement de sécurité)
- 4800: Verrouillage de l'équipement (événement de sécurité)
- 4801: Déverrouillage d'équipement (événement de sécurité)
Nous pourrons accéder à l'observateur d'événements en utilisant l'une des options suivantes :
- Faites un clic droit sur l'icône de démarrage
AGRANDIR
[couleur = rgb (169,169,169)] Cliquez sur l'image pour agrandir [/couleur]
Afin d'examiner les événements susmentionnés nous sélectionnerons l'option Sécurité dans l'onglet Journaux Windows:
AGRANDIR[couleur = rgb (169,169,169)] Cliquez sur l'image pour agrandir [/couleur]
Ensuite, nous donnerons cliquez sur l'option Filtrer le journal actuel pour pouvoir filtrer par ID d'événement. Il faut entrer le ou les identifiants que l'on veut valider, on rentre simplement la valeur (dans cet exemple 4624) dans le champ Enter ID :
Nous appuyons d'accord et on verra le résultat suivant :
AGRANDIR[couleur = #a9a9a9] Cliquez sur l'image pour l'agrandir [/couleur]
Là, nous pouvons sélectionner l'un des événements pour analyser toutes vos informations:
On peut voir dans la partie supérieure l'utilisateur qui s'est connecté, le domaine dans lequel il s'est connecté et d'autres paramètres, dans la partie inférieure on peut voir le type d'audit, la date et l'heure de l'événement, la description de l'événement et d'autres aspects.
De cette manière nous avons créé une politique d'audit au niveau de la connexion et de la déconnexion ce qui nous permettra d'effectuer une gestion totale et à tout moment sur quels utilisateurs et quand ils se sont connectés à Windows Server 2016 et à partir de là de déterminer s'il y a eu une modification du système.
