DOCUMENT

Historique des connexions des utilisateurs Active Directory – Audit de toutes les tentatives de connexion réussies et échouées

Posted on by Tanguy Lafontaine
Historique de connexion des utilisateurs Active Directory - Audit de toutes les tentatives de connexion réussies et échouées

La traçabilité, la gestion et l’analyse des journaux d’événements de connexion ont toujours été une source précieuse d’informations de dépannage et de diagnostic. Les connexions utilisateur sont une activité courante dans presque tous les schémas d’attaque. Elles constituent l’un des indicateurs de compromission les plus clairs pour protéger les données de l’entreprise et contrer les attaques. Il est également essentiel de fournir une audit centralisé de l’historique des connexions utilisateur Active Directory pour se conformer à de nombreuses normes de sécurité et politiques de gouvernance.

Obtenir rapidement des journaux d’audit grâce à UserLock

Avec UserLock, vous pouvez obtenir rapidement les événements d’audit nécessaires et éviter d’être submergé par une avalanche de journaux d’événements. Voici comment UserLock peut vous aider :

  1. Enregistrement temps réel : Toutes les connexions (utilisateurs Windows et Mac) sur toutes les machines et tous les types de sessions (Interactive, Wi-Fi, VPN et IIS) sont enregistrées en temps réel dans une base de données centralisée.
  2. Filtrage et recherche puissants : Vous pouvez vous concentrer uniquement sur les informations pertinentes grâce à des fonctionnalités de filtrage et de recherche avancées.
  3. Évolutivité : UserLock est suffisamment évolutif pour fonctionner de manière fiable, que vous ayez 100 ou 100 000 utilisateurs.
  4. Sécurité renforcée : Contrairement à la possibilité de suppression des journaux dans Active Directory natif, UserLock assure une stricte auditabilité de toutes les activités des administrateurs, qui sont archivées de manière sécurisée.
  5. Installation facile : L’installation de UserLock ne prend que quelques minutes et peut être effectuée sur n’importe quel serveur membre du domaine, sans nécessité d’un contrôleur de domaine dédié.
  6. Compatibilité avec Active Directory : UserLock fonctionne en tant qu’application serveur-client, étendant et complétant les fonctionnalités de sécurité d’Active Directory sans modifier son schéma.
À lire aussi  Votre chat est en chaleur ?

Des rapports détaillés sur chaque événement de connexion

En ce qui concerne l’historique complet du comportement de connexion de tous les utilisateurs du domaine, UserLock collecte une large gamme de paramètres d’événements pour chaque compte. Chacun de ces paramètres peut être ajouté aux rapports et filtré pour générer votre propre rapport d’historique. Toutes les tentatives de connexion réussies et échouées peuvent être incluses dans ces rapports. De plus, la raison des connexions rejetées par Active Directory ou par les restrictions de UserLock est également détaillée.

Même les utilisateurs privilégiés peuvent être étroitement surveillés. Un historique complet de toutes les connexions utilisateur système et administrateur aide à protéger à la fois votre organisation et vos administrateurs. Par exemple, en cas d’incident, vous pouvez facilement démontrer que l’administrateur n’a pas utilisé son compte administrateur ou le compte de service pour accéder aux données ou au système.

Visualisation de l’historique des sessions utilisateur Active Directory :

Historique des sessions utilisateur

Configuration des rapports dans la console UserLock :

Les rapports peuvent être facilement configurés dans la console UserLock. Vous pouvez utiliser des filtres de rapport courants, tels que des paramètres de temps, qui sont particulièrement importants pour la lisibilité du rapport. De plus, vous pouvez auditer les journaux pour des entités spécifiques autres que les utilisateurs, par exemple par groupe ou unité d’organisation. Il est également possible de créer un rapport basé sur une base de données archivée en modifiant la source cible de la base de données.

Historique des sessions - Configuration

Planification de rapports automatisés

Un historique complet de toutes les connexions pour un utilisateur et/ou une machine peut également être facilement programmé pour être envoyé directement dans votre boîte de réception. Cette fonctionnalité est particulièrement utile si vous devez consulter régulièrement un rapport, par exemple l’historique des sessions de la semaine précédente.

À lire aussi  Comment lutter contre les inégalités et la pauvreté

Nouveaux rapports prédéfinis pour des types spécifiques de connexions et de tentatives de connexion

UserLock propose également de nouveaux rapports prédéfinis pour certains types spécifiques de connexions et de tentatives de connexion. En voici quelques exemples :

  • Un rapport sur tous les utilisateurs du domaine ayant des sessions simultanées ouvertes au cours d’une journée donnée.

Historique des sessions simultanées

  • Un rapport sur l’historique de toutes les sessions aux serveurs Microsoft IIS (par exemple, les applications Web telles qu’Outlook Web Access).

Historique IIS

  • Un rapport détaillant toutes les tentatives d’accès rejetées par Active Directory, y compris les tentatives de connexion multiples infructueuses.

Connexions refusées par Active Directory

Aller au-delà de l’audit avec UserLock

UserLock ne se limite pas à l’audit. En plus de surveiller les connexions, il vous permet également de détecter les accès potentiellement inappropriés en temps réel grâce à des alertes de surveillance et d’accès instantanées. De plus, grâce aux restrictions de connexion contextuelles de UserLock (par exemple, heures, machines, nombre de connexions simultanées, etc.), vous pouvez prévenir l’utilisation inappropriée des identifiants et passer d’une approche réactive à une approche proactive pour renforcer votre sécurité.

Tanguy Lafontaine