Audit de l'Active Directory avec PRTG

Active Directory (Active Directory) est un service d'annuaire créé par Microsoft pour être utilisé dans un environnement Windows Server. Il fournit des fonctions d'authentification et d'autorisation ainsi qu'un cadre pour d'autres services connexes. L'annuaire lui-même est une base de données LDAP qui contient des objets Active Directory en réseau.

L'audit d'Active Directory est le processus de suivi et d'enregistrement des événements qui se produisent dans un environnement Active Directory. Il s'agit d'actions telles que les connexions, les modifications apportées aux comptes d'utilisateurs, l'accès aux fichiers ou aux ressources, et les activités administratives. L'audit aide les organisations à maintenir la sécurité, la conformité et la responsabilité en fournissant un enregistrement détaillé de qui a fait quoi, quand et d'où au sein du réseau. Les composants typiques du processus d'audit sont les politiques d'audit, les logs d'audit et les rapports d'audit.

L'une des nombreuses fonctions d'Active Directory est celle de gardien : il contrôle les utilisateurs qui peuvent utiliser les ressources du réseau et leur niveau d'interaction avec ces ressources. Les partages de fichiers, les serveurs de fichiers, les applications, l'accès à l'internet, les imprimantes: tous dépendent d'Active Directory pour autoriser ou refuser l'accès. Il est donc vital pour les administrateurs système de savoir comment Active Directory protège ces ressources.

Microsoft a intégré d'excellentes fonctions d'audit dans Active Directory. Les opérations de connexion/déconnexion, d'accès aux objets, de modification des politiques, de gestion des comptes et de nombreuses autres activités laissent toutes des traces détaillées dans le journal des événements de sécurité de Windows. Malheureusement, même pour un petit réseau, l'audit d'Active Directory peut créer un très grand nombre de journaux des événements, ce qui rend très difficile le suivi des événements les plus importants. Les outils d'audit d'Active Directory comme PRTG vous aident à suivre ces événements et vous alertent si quelque chose ne fonctionne pas comme il se doit.

Un audit Active Directory (Active Directory) implique plusieurs aspects de sécurité essentiels pour garantir l'intégrité, la disponibilité et la confidentialité de l'environnement Active Directory. Voici quelques aspects clés de la sécurité généralement impliqués dans un audit Active Directory

Gestion des comptes utilisateurs

• Approvisionnement et déprovisionnement des comptes : S'assurer que les comptes d'utilisateurs sont créés, modifiés et désactivés conformément aux politiques établies et que les comptes inactifs sont rapidement désactivés.
• Comptes à privilèges : Auditer l'utilisation et la gestion des comptes privilégiés pour s'assurer qu'ils sont utilisés de manière appropriée et qu'ils ne sont pas surprivilégiés.

Politiques relatives aux mots de passe

• Exigences de complexité : Vérifier que les politiques en matière de mots de passe appliquent des exigences de complexité afin d'éviter les mots de passe trop faibles.
• Expiration et rotation : Vérifiez que les mots de passe sont programmés pour expirer périodiquement et que les utilisateurs sont tenus de les modifier régulièrement.
• Verrouillage des comptes : Assurez-vous que des politiques de verrouillage des comptes sont en place pour empêcher les attaques par force brute.

Objets de stratégie de groupe (GPO)

• Configuration des stratégies : Examiner les GPO pour s'assurer qu'ils sont configurés conformément aux meilleures pratiques en matière de sécurité et aux politiques de l'organisation.
• Application et portée : S'assurer que les GPO sont correctement appliqués et étendus aux utilisateurs et ordinateurs appropriés.

Contrôles d'accès

• Permissions et droits : Auditer les autorisations sur les objets Active Directory critiques (par exemple, les unités organisationnelles, les comptes d'utilisateurs) pour s'assurer qu'elles sont définies selon le principe du moindre privilège.
• Contrôle d'accès basé sur les rôles (RBAC) : Vérifier que l'accès est accordé en fonction des rôles et des responsabilités.

Audit et logs

• Journal des événements : Assurez-vous que la journalisation est activée pour les événements critiques d'Active Directory, tels que les événements de connexion, les modifications apportées aux objets d'Active Directory et les actions administratives.
• Examen des logs : Examinez et analysez régulièrement les logs à la recherche de signes d'activités suspectes ou non autorisées.

Configuration de la sécurité

• Paramètres de sécurité de base : Vérifier que l'environnement Active Directory est conforme aux paramètres et aux configurations de sécurité de base.
• Gestion des correctifs : Assurez-vous que les serveurs Active Directory et les contrôleurs de domaine sont régulièrement mis à jour avec les correctifs de sécurité.

Réplication et disponibilité

• Santé de la réplication : Vérifiez la santé et la configuration de la réplication Active Directory pour assurer la cohérence des données sur tous les contrôleurs de domaine.
• Sauvegarde et récupération : Vérifiez que des sauvegardes d'Active Directory sont effectuées régulièrement et que les procédures de récupération sont testées.

Comptes de service

• Utilisation et gestion : Vérifiez les comptes de service pour vous assurer qu'ils sont utilisés de manière appropriée et qu'ils disposent des autorisations minimales nécessaires.
• Gestion des mots de passe : Vérifiez que les mots de passe des comptes de service sont gérés de manière sécurisée, avec des changements périodiques et un stockage approprié.

Politiques de sécurité

• Conformité : Veiller à ce que les politiques Active Directory soient conformes aux exigences organisationnelles et réglementaires en matière de sécurité.
• Application des politiques : Vérifier que les politiques de sécurité sont appliquées de manière cohérente dans l'environnement Active Directory.

Sécurité physique

• Sécurité des contrôleurs de domaine : Veillez à ce que l'accès physique aux contrôleurs de domaine soit limité et supervisé.

Réponse aux incidents

• Superviser et alerter : Assurez-vous qu'il existe des mécanismes de détection et de réponse aux incidents de sécurité dans l'environnement Active Directory.
• Procédures de traitement des incidents : Vérifiez qu'il existe des procédures claires pour le traitement des incidents de sécurité impliquant Active Directory.

Conformité et rapports

• Exigences réglementaires : Vérifiez que les configurations et les pratiques d'Active Directory répondent aux exigences réglementaires et de conformité pertinentes (par exemple, GDPR, HIPAA).
• Rapports d'audit : Générez et examinez des rapports pour documenter la conformité et identifier les domaines à améliorer.

Non. PRTG est un logiciel de supervision réseau propriétaire qui vous permet de superviser l'ensemble de votre infrastructure IT, notamment :

• Supervision SSL: PRTG détermine dans quelle mesure vos connexions sont protégées. Vous pouvez ainsi savoir si vos connexions sont fortes, faibles ou pas du tout protégées.
• Supervision Ping: PRTG utilise le ping pour vérifier la disponibilité de tous les appareils de votre réseau. Si le ping échoue, vous en êtes immédiatement informé.
• Supervision de la qualité de service: Votre ligne est-elle saccadée ? Vos appels vidéo ne cessent-ils pas d'être interrompus ? Si c'est le cas, c'est qu'il y a un problème de qualité de service. PRTG vous permet de mettre en place une supervision simple et efficace de la qualité de service et de superviser des valeurs telles que la latence et la gigue.
• Supervision des compteurs de performance de Windows: Localisez les goulets d'étranglement du réseau, améliorez les performances de votre système et de vos applications et obtenez des informations sur les applications exécutées sur un serveur IIS grâce aux compteurs de performance Windows.
• Supervision des serveurs web: PRTG peut superviser la disponibilité de vos serveurs web, notamment la CPU, la mémoire, les performances du serveur web, les temps de chargement et bien plus encore.
• Et bien d'autres choses encore

Si vous utilisez Microsoft Entra ID (anciennement Azure Active Directory) et souhaitez garder un œil sur ce qui s'y passe, nous vous couvrons également.

Mettez en place, par exemple, un capteur Microsoft Azure Subscription Cost pour maîtriser vos coûts d'abonnement. Ou créez un capteur personnalisé PRTG pour superviser les activités susceptibles de présenter un risque :

• Soyez informé des connexions à risque, par exemple à partir d'un pays inhabituel ou suspect
• Recevoir des alertes sur les activités de voyage impossibles, par exemple, si un compte se connecte depuis l'Allemagne et deux minutes plus tard depuis Hongkong
• Vérifier les comptes Active Directory qui, selon Microsoft, sont exposés à un risque
• Garder un œil sur les nouveaux appareils enregistrés pour l'authentification multifactorielle

Dans PRTG, les « capteurs » sont les éléments de base de la supervision. Un capteur surveille généralement une valeur mesurée dans votre réseau, par exemple, le trafic d'un port sur un switch, la charge CPU d'un serveur ou l'espace libre d'un disque. En moyenne, vous avez besoin de 5 à 10 capteurs par équipement ou d'un capteur par port de switch.