COMMENT FAIRE : Auditer des objets Active Directory dans Windows Server 2003

Cet article explique étape par étape comment utiliser la fonctionnalité d'audit de Windows Server 2003 pour effectuer le suivi des activités des utilisateurs et des événements à l'échelle du système dans Active Directory.

À l'aide de la fonctionnalité d'audit de Windows Server 2003, vous pouvez effectuer le suivi des activités d'utilisateurs ainsi que des activités de Windows Server 2003 correspondant à des événements nommés sur un ordinateur. Vous pouvez en outre spécifier quels événements sont enregistrés dans le journal de sécurité. Par exemple, le journal de sécurité peut enregistrer les tentatives d'ouverture de session valides et non valides et tous les événements liés à la création, l'ouverture ou la suppression de fichiers ou d'autres objets. Une entrée d'audit dans le journal de sécurité contient les informations suivantes :

• l'action effectuée ;
• l'utilisateur qui a effectué l'action ;
• le succès ou l'échec de l'événement et l'heure à laquelle il s'est produit.

Un paramètre de stratégie d'audit définit les catégories d'événements enregistrés par Windows Server 2003 dans le journal de sécurité de chaque ordinateur. Le journal de sécurité vous permet d'effectuer le suivi des événements que vous avez spécifiés.

Lorsque vous auditez des événements Active Directory, Windows Server 2003 enregistre un événement dans le journal de sécurité du contrôleur de domaine. Par exemple, si un utilisateur essaie d'ouvrir une session sur le domaine à l'aide d'un compte d'utilisateur de domaine et que la tentative d'ouverture de session échoue, l'événement est enregistré sur le contrôleur de domaine et non sur l'ordinateur sur lequel la tentative d'ouverture de session a été effectuée. En effet, c'est le contrôleur de domaine qui a essayé d'authentifier la tentative d'ouverture de session et qui n'y est pas parvenu.

Utilisez l'Observateur d'événements pour afficher les événements que Windows Server 2003 enregistre dans le journal de sécurité. Vous pouvez également archiver vos fichiers journaux pour effectuer le suivi de tendances sur une période donnée ; par exemple, pour déterminer le degré d'utilisation d'imprimantes ou de fichiers ou pour contrôler l'utilisation de ressources non autorisées.

Pour activer l'audit d'objets Active Directory :

• Configurez un paramètre de stratégie d'audit pour un contrôleur de domaine. Lorsque vous configurez un paramètre de stratégie d'audit, vous pouvez auditer des objets mais vous ne pouvez pas spécifier l'objet à auditer.
• Configurez l'audit pour des objets Active Directory spécifiques. Lorsque vous spécifiez les événements à auditer pour des fichiers, dossiers, imprimantes et objets Active Directory, Windows Server 2003 en effectue le suivi et enregistre ces événements.

Configurer un paramètre de stratégie d'audit pour un contrôleur de domaine

Par défaut, l'audit est désactivé. En ce qui concerne les contrôleurs de domaine, un paramètre de stratégie d'audit est configuré pour tous les contrôleurs de domaine dans le domaine. Pour auditer les événements qui se produisent sur des contrôleurs de domaine, configurez un paramètre de stratégie d'audit qui s'applique à tous les contrôleurs de domaine dans un objet de stratégie de groupe (GPO) non local pour ce domaine. Vous pouvez accéder à ce paramètre de stratégie par le biais de l'unité d'organisation Contrôleurs de domaine. Pour auditer l'accès des utilisateurs à des objets Active Directory, configurez la catégorie d'événements Auditer l'accès au service d'annuaire dans le paramètre de stratégie d'audit.

REMARQUES

• Vous devez accorder le droit d'utilisateur Gérer le journal d'audit et de sécurité à l'ordinateur sur lequel vous souhaitez configurer un paramètre de stratégie d'audit ou consulter un journal d'audit. Par défaut, Windows Server 2003 accorde ces droits au groupe Administrateurs.
• Les fichiers et dossiers à auditer doivent être situés sur des volumes du système de fichiers NTFS.

Pour configurer un paramètre de stratégie d'audit pour un contrôleur de domaine :

1. Cliquez sur Démarrer, pointez sur Programmes, sur Outils d'administration, puis cliquez sur Utilisateurs et ordinateurs Active Directory.
2. Dans le menu Affichage, cliquez sur Fonctionnalités avancées.
3. Cliquez avec le bouton droit sur Contrôleurs de domaine, puis sur Propriétés.
4. Cliquez sur l'onglet Stratégie de groupe, sur Stratégie par défaut des contrôleurs de domaine, puis sur Modifier.
5. Cliquez sur Configuration de l'ordinateur, puis double-cliquez sur Paramètres Windows, sur Paramètres de sécurité, sur Stratégies locales et sur Stratégie d'audit.
6. Dans le volet droit, cliquez avec le bouton droit sur Auditer l'accès au service d'annuaire, puis cliquez sur Propriétés.
7. Cliquez sur Définir ces paramètres de stratégie, puis activez l'une des cases à cocher suivantes (ou les deux) :
   • Réussite : activez cette case à cocher pour auditer les tentatives réussies dans cette catégorie d'événements.
   • Échec : activez cette case à cocher pour auditer les tentatives qui ont échoué dans cette catégorie d'événements.
8. Cliquez avec le bouton droit sur une autre catégorie d'événements à auditer, puis cliquez sur Propriétés.
9. Cliquez sur OK.
10. Étant donné que les modifications apportées au paramètre de stratégie d'audit de votre ordinateur ne prennent effet que lorsque le paramètre est propagé ou appliqué à votre ordinateur, effectuez l'une des procédures suivantes pour démarrer la propagation de stratégie :
    • Tapez gpupdate /Target:computer à l'invite de commandes, puis appuyez sur ENTRÉE.
    • Attendez que la stratégie se propage automatiquement ; la propagation se produit à intervalles réguliers et configurables. L'intervalle de propagation par défaut est de cinq minutes.
11. Ouvrez le journal de sécurité pour afficher les événements enregistrés.
    
    Remarque Si vous êtes un administrateur de domaine ou d'entreprise, vous pouvez activer l'audit de sécurité pour des stations de travail, des serveurs membres et des contrôleurs de domaine à distance.

Configurer l'audit pour des objets Active Directory spécifiques

Après avoir configuré un paramètre de stratégie d'audit, vous pouvez configurer l'audit pour des objets spécifiques tels que des utilisateurs, des ordinateurs, des unités d'organisation ou des groupes en spécifiant le type d'accès et les utilisateurs dont vous souhaitez auditer l'accès. Pour configurer l'audit pour des objets Active Directory spécifiques :

1. Cliquez sur Démarrer, pointez sur Programmes, sur Outils d'administration, puis cliquez sur Utilisateurs et ordinateurs Active Directory.
2. Assurez-vous que l'option Fonctionnalités avancées est sélectionnée dans le menu Affichage en vérifiant qu'une coche est placée en regard de la commande.
3. Cliquez avec le bouton droit sur l'objet Active Directory à auditer, puis cliquez sur Propriétés.
4. Cliquez sur l'onglet Sécurité, puis sur Paramètres avancés.
5. Cliquez sur l'onglet Audit, puis sur Ajouter.
6. Effectuez l'une des procédures suivantes :
   • Tapez le nom de l'utilisateur ou du groupe dont vous souhaitez auditer l'accès dans la zone Entrez le nom de l'objet à sélectionner, puis cliquez sur OK.
   • Dans la liste de noms, double-cliquez sur l'utilisateur ou le groupe dont vous souhaitez auditer l'accès.
7. Activez la case à cocher Réussi ou En échec pour les actions à auditer, puis cliquez sur OK.
8. Cliquez à deux reprises sur OK.

Résolution des problèmes

La taille du journal de sécurité est limitée. Par conséquent, Microsoft vous recommande de sélectionner soigneusement les fichiers et dossiers à auditer. Prenez également en considération l'espace disque que vous souhaitez réserver au journal de sécurité. La taille maximale est définie dans l'Observateur d'événements.