L'une des questions les plus sensibles qu'une organisation a en tête est la sécurité et la confidentialité, non seulement dans ses principes mais dans toute son infrastructure (équipements, données, utilisateurs, etc.) et une grande partie de toutes ces informations sont stockées dans les serveurs de l'organisation et si nous avons accès au serveur en tant qu'administrateur, coordinateurs ou assistants système, nous sommes confrontés à une grande responsabilité pour empêcher l'accès non autorisé au système.
À de nombreuses reprises, j'espère que non, c'est que dans certaines situations, ils ont été présentés accès non dû au système Oui des modifications non autorisées ont été apportées et malheureusement On ne sait pas quel utilisateur était responsable ou quand l'événement a été.
Nous allons mettre un exemple réel de cette situation :
À un moment donné dans l'entreprise, quelqu'un est entré dans le serveur et a supprimé un utilisateur qui, bien qu'il ait un nom standard, était un utilisateur utilisé pour accéder à une machine productive. Par conséquent, lorsque l'utilisateur a été supprimé, le service a été désactivé et il y avait un gros problème et il n'a pas été possible de déterminer qui ou comment a effectué le changement.
Heureusement, Windows Server nous permet d'effectuer un processus pour auditer tous les événements qui se sont produits sur le serveur et dans cette étude nous allons analyser comment mettre en œuvre cet audit simplement et efficacement.
L'environnement dans lequel nous travaillerons sera Aperçu technique du centre de données Windows Server 2016 5.
1. Mettre en œuvre l'audit de l'Active Directory
La première chose que nous devons faire est d'entrer dans la console de gestion des stratégies de groupe ou gpmc, pour cela, nous utiliserons la combinaison de touches :
Dans ces cas, nous devons installer gpmc avec l'une des options suivantes :
- Entrez dans le gestionnaire de serveur et ouvrez l'option : Ajouter des rôles et des fonctionnalités et plus tard dans Caractéristiques - Caractéristiques pour sélectionner Gestion des politiques de groupe.
- Via Windows PowerShell à l'aide de l'applet de commande :
Windows-InstallFeature -Nom GPMC
Une fois que nous aurons accès à gpmc, nous verrons la fenêtre où il apparaît forêt, nous le déployons et plus tard Domaines, puis le nom de notre domaine, puis on affiche Contrôleurs de domaine et enfin on sélectionne Stratégie de contrôleur de domaine par défaut.
Là, nous ferons un clic droit sur Stratégie de contrôleur de domaine par défaut et nous sélectionnons Éditer ou alors Éditer pour y faire quelques ajustements et ainsi permettre d'enregistrer les événements qui se sont produits dans notre Windows Server 2016.
Nous verrons ce qui suit :
Comme nous pouvons le voir, nous avons pu accéder au éditeur des stratégies de groupe du contrôleur de domaine, maintenant que nous y sommes, nous allons emprunter l'itinéraire suivant :
- La configuration d'un ordinateur
- Stratégies
- Paramètres Windows
- Les paramètres de sécurité
- Configuration avancée de la stratégie d'audit
- Politiques d'audit
AGRANDIR
[couleur = #a9a9a9] Cliquez sur l'image pour l'agrandir [/couleur]
Là, nous devons configurer les paramètres des éléments suivants :
- Connexion au compte
- Gestion de compte
- Accès DS
- Connexion / Déconnexion
- Accès aux objets
- Changement de politique
configurons Connexion au compte, nous verrons qu'une fois sélectionné sur le côté droit s'affiche :
AGRANDIR
[couleur = #a9a9a9] Cliquez sur l'image pour l'agrandir [/couleur]
Là, nous devons configurer chacune de ces options comme suit. Double-cliquez sur chacun et ajoutez les paramètres suivants.
On active la box Configurer les événements d'audit suivants et on coche les deux cases disponibles, Succès Oui Échec, (Ces valeurs permettent de consigner les événements réussis et échoués).
Nous le faisons avec chacun et appuyez sur Appliquer et après d'accord pour enregistrer les modifications.
Nous allons répéter ce processus pour tous les champs dans les paramètres suivants :
- Gestion de compte
- Accès DS
- Connexion / Déconnexion
- Accès aux objets
- Changement de politique
AGRANDIR
[couleur = #a9a9a9] Cliquez sur l'image pour l'agrandir [/couleur]
Nous pouvons voir sur le côté droit dans la colonne Auditer les événements que les valeurs configurées ont été modifiées (Succès et Échec).
Ensuite, nous allons forcer les politiques que nous avons modifiées pour que le système les prenne, pour cela, nous allons entrer dans la ligne de commande cmd et entrer la commande suivante :
gpupdate / forcer[color = # a9a9a9] Mettre à jour les politiques sans avoir à redémarrer. [/ color]
Nous quittons le cmd en utilisant la commande exit. Maintenant, nous allons ouvrir l'éditeur ADSI ou ADSI Edit en utilisant le terme adsiedit.msc à partir de la commande Exécuter (Windows + R) ou en saisissant le terme ADSI dans le champ de recherche de Windows Server 2016 et en sélectionnant ADSI Modifier.
Nous verrons la fenêtre suivante :
Une fois dans ADSI Edit, nous ferons un clic droit sur ADSI Modifier sur le côté gauche et sélectionnez Se connecter à.
La fenêtre suivante s'affichera :
À la campagne Point de connexion dans l'onglet "Sélectionnez un contexte de nommage bien connu " Nous verrons les options suivantes pour se connecter :
- Contexte de nommage par défaut
- Configuration
- RacineDSE
- Schéma
Ces valeurs déterminent comment les événements doivent être enregistrés dans Serveur Windows 2016, dans ce cas, nous devons sélectionner l'option Configuration pour que les événements à journaliser reprennent les valeurs de la configuration préalablement faite dans gpmc.
Nous appuyons d'accord et il faut répéter l'étape précédente pour ajouter les autres valeurs :
- Défaut
- RacineDSE
- Schéma
Ce sera l'apparition de ADSI Modifier une fois que nous avons ajouté tous les champs.
Maintenant, nous devons activer l'audit dans chacune de ces valeurs, pour cela nous allons effectuer le processus en Contexte de nommage par défaut et nous allons répéter ce processus pour les autres.
Nous affichons le champ et faisons un clic droit sur la ligne de notre contrôleur de domaine et sélectionnons Propriétés (modifier) - Propriétés.
Nous verrons la fenêtre suivante où nous sélectionnons l'onglet Sécurité - Sécurité.
Là, nous allons appuyer sur le bouton Avancée - Avancée et nous verrons l'environnement suivant où nous sélectionnons l'onglet Audit - Audit.
Pendant que nous y sommes, nous allons cliquer sur Ajouter d'ajouter Tout le monde et de pouvoir ainsi auditer les tâches effectuées par n'importe quel utilisateur quel que soit son niveau de privilèges; Une fois que nous appuyons sur Ajouter, nous rechercherons l'utilisateur comme ceci :
Nous appuyons d'accord et dans la fenêtre affichée, nous allons cocher toutes les cases et décocher uniquement les suivantes pour auditer :
- Controle total
- Contenu de la liste
- Lire toutes les propriétés
- Lire les autorisations
AGRANDIR
[couleur = #a9a9a9] Cliquez sur l'image pour l'agrandir [/couleur]
Nous appuyons d'accord pour enregistrer les modifications.
2. Auditer les événements des modifications apportées dans AD
Rappelons-nous d'effectuer les mêmes étapes pour les autres valeurs dans les nœuds de ADSI Modifier. Pour valider que toutes les modifications apportées dans Serveur Windows 2016 sont enregistrés, nous ouvrirons l'observateur d'événements, nous pouvons l'ouvrir comme suit :
- Faites un clic droit sur l'icône de démarrage et sélectionnez Observateur d'événements ou alors Observateur d'événements.
- À partir de la commande Exécuter, nous pouvons saisir le terme :
eventvwr
et appuyez sur Entrée.
Voici à quoi ressemblera l'Observateur d'événements dans Serveur Windows 2016.
AGRANDIR
Comme nous pouvons le voir, nous remarquons que nous avons quatre catégories qui sont :
- Affichages personnalisés: À partir de cette option, nous pouvons créer des vues personnalisées des événements sur le serveur.
- Journaux Windows : Grâce à cette option, nous pouvons analyser tous les événements survenus dans l'environnement Windows, que ce soit au niveau de la sécurité, du démarrage, des événements, du système, etc.
- Journaux des applications et des services : Avec cette alternative, nous pouvons voir les événements qui se sont produits concernant les services et applications installés sur Windows Server 2016.
- Abonnements : Il s'agit d'une nouvelle fonctionnalité de la visionneuse qui vous permet d'analyser tous les événements survenus avec les abonnements Windows, comme Azure.
Affichons par exemple les événements enregistrés au niveau de sécurité en sélectionnant l'option Journaux Windows et là en choisissant Sécurité.
AGRANDIR
[couleur = #a9a9a9] Cliquez sur l'image pour l'agrandir [/couleur]
Comme on peut le voir, les événements sont enregistrés par mot-clé, date et heure de l'événement, identifiant qui est très important, etc.
Si nous analysons, nous verrons qu'il y a des milliers d'événements et il peut être difficile de lire un par un pour voir quel événement s'est produit, pour simplifier cette tâche, nous pouvons appuyer sur le bouton Filtrer le journal actuel filtrer les événements de diverses manières.
Là, nous pouvons filtrer les événements par niveau d'affectation (Critique, Attention, etc.), par date, par ID, etc.
Si nous voulons voir le événements de connexion On peut filtrer par l'IKD 4624 (Logon) et on obtiendra les résultats suivants :
AGRANDIR
[couleur = #a9a9a9] Cliquez sur l'image pour l'agrandir [/couleur]
Nous pouvons double-cliquer sur l'événement ou faire un clic droit et sélectionner Propriétés de l'événement pour afficher des informations détaillées sur l'événement telles que la date et l'heure, l'équipement où l'événement a été enregistré, etc.
De cette façon, nous avons sous la main un grand outil pour analyser qui a apporté une quelconque modification à un utilisateur, un objet ou en général à l'environnement Windows Server 2016.
Certains des identifiants les plus importants que nous pouvons vérifier sont :
Identifiant / Evénement528 Connexion réussie
520 L'heure du système a été modifiée
529 Connexion erronée (nom inconnu ou mot de passe erroné)
538 Se déconnecter
560 Objet ouvert
4608 Démarrage de Windows
4609 Arrêt de Windows
4627 Informations sur les membres du groupe
4657 Une valeur de registre a été modifiée
4662 Un événement a été effectué sur un objet
4688 Un nouveau processus a été créé
4698 Une tâche planifiée a été créée
4699 Une tâche planifiée a été supprimée
4720 Un compte utilisateur a été créé
4722 Un compte utilisateur a été activé
4723 Tentative de modification du mot de passe
4725 Un compte utilisateur a été désactivé
4726 Un compte utilisateur a été supprimé
4728 Un utilisateur a été ajouté à un groupe global
4729 Un utilisateur a été supprimé d'un groupe global
4730 Un groupe de sécurité a été supprimé
4731 Un groupe de sécurité a été créé
4738 Un compte utilisateur a été modifié
4739 Une politique de domaine a été modifiée
4740 Un compte utilisateur a été bloqué
4741 Une équipe a été créée
4742 Une équipe a été modifiée
4743 Une équipe a été éliminée
4800 L'ordinateur a été bloqué
4801 L'équipement a été déverrouillé
5024 Démarrage réussi du pare-feu
5030 Échec du démarrage du pare-feu
5051 Un fichier a été virtualisé
5139 Un service d'annuaire a été déplacé
5136 Un service d'annuaire a été modifié
Comme nous pouvons le voir, nous avons de nombreux identifiants disponibles pour analyser chaque événement qui se produit dans notre système. Serveur Windows 2016 et ainsi nous permettre d'avoir un contrôle spécifique sur les événements qui peuvent affecter les performances et la sécurité du système.