Exporter (0) Imprimer
Développer tout

Services de domaine Active Directory : Audit

Mis à jour: mars 2009

S'applique à: Windows Server 2008

Dans le système d’exploitation Windows Server® 2008, vous pouvez désormais sélectionner une nouvelle sous-catégorie de stratégie d’audit (Modification du service d’annuaire) pour l’audit des services de domaine Active Directory® (AD DS) afin d’enregistrer les anciennes et les nouvelles valeurs lorsque des modifications sont apportées aux objets AD DS et à leurs attributs.

noteRemarque
Cette nouvelle fonctionnalité d’audit s’applique également aux services AD LDS (Active Directory Lightweight Directory Services). Toutefois, cet article ne concerne que les services AD DS.

À quoi sert l’audit des services AD DS ?

La stratégie d’audit globale Auditer l’accès au service d’annuaire contrôle si l’audit des événements du service d’annuaire est activé ou désactivé. Ce paramètre de sécurité détermine si les événements sont enregistrés dans le journal de sécurité lorsque certaines opérations sont effectuées sur des objets de l’annuaire. Vous pouvez contrôler les opérations à auditer en modifiant la liste de contrôle d’accès système (SACL) d’un objet. Dans Windows Server 2008, cette stratégie est activée par défaut.

Si vous définissez ce paramètre de stratégie (en modifiant la stratégie des contrôleurs de domaine par défaut), vous pouvez spécifier s’il faut auditer les réussites, auditer les échecs ou ne rien auditer du tout. Les audits des réussites génèrent une entrée d’audit lorsqu’un utilisateur réussit à accéder à un objet AD DS pour lequel une liste SACL a été spécifiée. Les audits des échecs génèrent une entrée d’audit lorsqu’un utilisateur essaie sans succès d’accéder à un objet AD DS pour lequel une liste SACL a été spécifiée.

Vous pouvez définir une liste SACL sur un objet AD DS sous l’onglet Sécurité de la boîte de dialogue des propriétés de cet objet. La stratégie Auditer l’accès au service d’annuaire est appliquée de la même manière que la stratégie Auditer l’accès aux objets ; par contre, elle ne concerne que les objets AD DS et ne s’applique ni aux objets du système de fichiers, ni aux objets du Registre.

Qui cette fonctionnalité peut-elle intéresser ?

Cette fonctionnalité concerne les administrateurs des services AD DS qui sont chargés de configurer l’audit de l’annuaire. Les administrateurs définissent des listes SACL appropriées sur les objets qu’ils veulent auditer.

En général, les autorisations permettant de modifier les listes SACL et d’afficher le journal de sécurité sont attribuées uniquement aux membres des groupes Administrateurs, notamment les groupes Admins du domaine, Builtin\Administrateurs et Administrateurs de l’entreprise.

Quelle fonctionnalité existante a été modifiée ?

Windows Server 2008 ajoute à l’audit des services AD DS la faculté d’enregistrer les anciennes et les nouvelles valeurs d’un attribut lorsque celui-ci est modifié de manière satisfaisante. Auparavant, l’audit des services AD DS n’enregistrait que le nom de l’attribut qui était modifié, et non ses valeurs précédentes et actuelles.

Audit de l’accès aux services AD DS

Dans Windows 2000 Server et Windows Server 2003, une seule stratégie d’audit, Auditer l’accès au service d’annuaire, contrôlait si l’audit des événements du service d’annuaire était activé ou désactivé. Dans Windows Server 2008, cette stratégie est divisée en quatre sous-catégories :

  • Accès au service d’annuaire

  • Modification du service d’annuaire

  • Réplication du service d’annuaire

  • Réplication du service d’annuaire détaillé

La capacité à auditer les modifications apportées aux objets dans AD DS est activée par le biais de la nouvelle sous-catégorie d’audit Modification du service d’annuaire. Les types de modifications que vous pouvez auditer sont les opérations de création, de modification, de déplacement et de récupération qui sont effectuées sur un objet. Les événements qui sont générés par ces opérations apparaissent dans le journal de sécurité.

Cette nouvelle sous-catégorie de stratégie ajoute les fonctionnalités suivantes à l’audit dans AD DS :

  • Lorsqu’une opération de modification est effectuée sur l’attribut d’un objet, AD DS enregistre les valeurs précédentes et actuelles de l’attribut. Si l’attribut comporte plusieurs valeurs, seules les valeurs affectées par l’opération de modification sont enregistrées.

  • Si un nouvel objet est créé, les valeurs des attributs qui sont définis au moment de la création sont enregistrées. Si des attributs sont ajoutés au cours de l’opération de création, ces nouvelles valeurs d’attribut sont enregistrées. Dans la plupart des cas, AD DS affecte des valeurs par défaut aux attributs (comme sAMAccountName). Les valeurs de ces attributs système ne sont pas enregistrées.

  • Si un objet est déplacé au sein d’un domaine, l’ancien emplacement et le nouvel emplacement sont enregistrés (sous la forme d’un nom unique). Lorsqu’un objet est déplacé vers un autre domaine, un événement de création est généré sur le contrôleur de domaine du domaine cible.

  • Si un objet supprimé est récupéré, l’emplacement vers lequel il est déplacé est enregistré. En outre, si des attributs sont ajoutés, modifiés ou supprimés au cours d’une opération de récupération, les valeurs de ces attributs sont enregistrées.

noteRemarque
Si un objet est supprimé, aucun événement d’audit des modifications n’est généré. Par contre, un événement d’audit est généré si la sous-catégorie Accès au service d’annuaire est activée.

Une fois que la sous-catégorie Modification du service d’annuaire est activée, AD DS enregistre des événements dans le journal des événements de sécurité lorsque des modifications sont apportées aux objets dont un administrateur a configuré l’audit. Le tableau suivant décrit ces événements.

 

ID d’événement Type d’événement Description de l’événement

5136

Modification

Cet événement est enregistré lorsqu’une modification est apportée à un attribut dans l’annuaire.

5137

Création

Cet événement est enregistré lorsqu’un nouvel objet est créé dans l’annuaire.

5138

Récupération

Cet événement est enregistré lorsqu’un objet supprimé est récupéré dans l’annuaire.

5139

Déplacement

Cet événement est enregistré lorsqu’un objet est déplacé au sein du domaine.

Pourquoi cette modification est-elle importante ?

Le fait de pouvoir identifier la manière dont les attributs d’objet changent accroît l’utilité des journaux des événements pour suivre les modifications qui ont lieu pendant la durée de vie d’un objet.

Qu’est-ce qui fonctionne différemment ?

Dans Windows Server 2008, vous implémentez la nouvelle fonctionnalité d’audit à l’aide des contrôles suivants :

  • Stratégie d’audit globale

  • Liste de contrôle d’accès système (SACL)

  • Schéma

Stratégie d’audit globale

L’activation de la stratégie d’audit globale Auditer l’accès au service d’annuaire active toutes les sous-catégories de stratégie du service d’annuaire. Vous pouvez définir cette stratégie d’audit globale dans la stratégie de groupe des contrôleurs de domaine par défaut (sous Paramètres de sécurité\Stratégies locales\Stratégie d’audit). Dans Windows Server 2008, cette stratégie d’audit globale est activée par défaut. Par conséquent, la sous-catégorie Modification du service d’annuaire est elle aussi activée par défaut. Cette sous-catégorie n’est configurée que pour les événements de réussite.

Dans Windows 2000 Server et Windows Server 2003, la stratégie Auditer l’accès au service d’annuaire était le seul contrôle d’audit disponible pour Active Directory. Les événements générés par ce contrôle n’indiquaient pas les anciennes et les nouvelles valeurs des modifications. Ce paramètre générait des événements d’audit dans le journal de sécurité sous le numéro d’ID 566. Dans Windows Server 2008, la sous-catégorie de stratégie d’audit Accès au service d’annuaire continue à générer les mêmes événements, mais le numéro d’ID d’événement est désormais le 4662.

Avec la nouvelle sous-catégorie de stratégie d’audit Modification du service d’annuaire, les modifications apportées à l’annuaire sont enregistrées dans le journal aux côtés des valeurs précédentes et des valeurs actuelles des attributs concernés. Les paramètres des sous-catégories Accès au service d’annuaire et Modification du service d’annuaire sont stockés dans la base de données LSA (autorité de sécurité locale). Ils peuvent être interrogés à l’aide de nouvelles interfaces de programmation d’applications (API) LSA.

Les deux sous-catégories d’audit sont indépendantes l’une de l’autre. Si vous désactivez Accès au service d’annuaire, vous continuez à voir les événements de modification qui sont générés si la sous-catégorie Modification du service d’annuaire est activée. De même, si vous désactivez Modification du service d’annuaire et que vous activez Accès au service d’annuaire, vous pouvez voir les événements du journal de sécurité assortis du numéro d’ID 4662.

Vous pouvez utiliser l’outil en ligne de commande Auditpol.exe pour afficher ou définir les sous-catégories de stratégie d’audit. Il n’existe pas d’interface Windows dans Windows Server 2008 pour afficher ou définir les sous-catégories de stratégie d’audit.

Liste de contrôle d’accès système (SACL)

La liste SACL est la partie du descripteur de sécurité d’un objet qui spécifie les opérations qui doivent être auditées pour une entité de sécurité. Elle constitue toujours l’autorité ultime pour déterminer si une vérification d’accès doit ou non être auditée.

Le contenu de la liste SACL est contrôlé par les administrateurs de sécurité du système local. Les administrateurs de sécurité sont les utilisateurs auxquels le privilège Gérer le journal d’audit et de sécurité (SeSecurityPrivilege) a été attribué. Par défaut, ce privilège est attribué au groupe Administrateurs intégré.

Si la liste SACL ne contient pas d’entrée de contrôle d’accès imposant la journalisation des modifications des attributs, aucun événement d’audit des modifications ne sera enregistré, même si la sous-catégorie Modification du service d’annuaire est activée. Par exemple, si une liste SACL ne contient pas d’entrée de contrôle d’accès imposant l’accès Propriété d’écriture pour l’attribut de numéro de téléphone d’un objet utilisateur à auditer, aucun événement d’audit n’est généré lorsque l’attribut de numéro de téléphone est modifié, même si la sous-catégorie Modification du service d’annuaire est activée.

Schéma

Pour éviter qu’un nombre trop important d’événements ne soit généré, vous pouvez utiliser un contrôle supplémentaire dans le schéma pour créer des exceptions à ne pas auditer.

Par exemple, si vous voulez voir toutes les modifications d’attributs pour un objet utilisateur à l’exception d’un ou deux attributs, vous pouvez définir un indicateur dans le schéma pour les attributs que vous ne voulez pas auditer. La propriété searchFlags de chaque attribut définit si l’attribut est indexé, répliqué dans le catalogue global ou tout autre comportement. Il y a actuellement sept bits définis pour la propriété searchFlags.

Si bit 9 (valeur 256) est défini pour un attribut, AD DS n’enregistre pas les événements de modification lorsque l’attribut est modifié. Cela s’applique à tous les objets contenant cet attribut.

Quels paramètres ont été ajoutés ou modifiés ?

Il y a de nouveaux paramètres de clé de Registre et de stratégie de groupe pour l’audit des services AD DS.

Paramètres de Registre

Les valeurs de clé de Registre suivantes sont utilisées pour configurer l’audit des services AD DS.

 

Nom du paramètre Emplacement Valeurs possibles

MaximumStringBytesToAudit

HKEY_LOCAL_MACHINE\ System\CurrentControlSet\ Services\NTDS\Parameters

  • Valeur de Registre minimale : 0

  • Valeur de Registre maximale : 64000

  • Valeur par défaut : 1000

Paramètres de stratégie de groupe

Vous ne pouvez pas afficher les sous-catégories de stratégie d’audit à l’aide de l’Éditeur de stratégie de groupe locale (GPedit.msc). Vous pouvez uniquement les afficher à l’aide de l’outil en ligne de commande Auditpol.exe. L’exemple de commande auditpol suivant active la sous-catégorie d’audit Modification du service d’annuaire :

auditpol /set /subcategory:"modification du service d’annuaire" /success:enable

Cela vous a-t-il été utile ?
(1500 caractères restants)
Merci pour vos suggestions.

Ajouts de la communauté

AJOUTER
Microsoft réalise une enquête en ligne pour recueillir votre opinion sur le site Web de MSDN. Si vous choisissez d’y participer, cette enquête en ligne vous sera présentée lorsque vous quitterez le site Web de MSDN.

Si vous souhaitez y participer,
Afficher:
© 2014 Microsoft