Mise en place d'un audit - Infrastructures serveurs - Systèmes & Réseaux Pro
Marsh Posté le 18-07-2015 à 22:07:50
personne saurait m'apporter une réponse ?
En analysant un peu, j'ai l'impression que pour l'ouverture de session ca ne fonctionne dans le cas des erreurs uniquement si j'essaye de me logger sur le serveur directement en bureau a distance par exemple mais lorsqu'un utilisateur se log sur son pc j'ai bien la réussite mais pas l'échec si il tappe un mauvais mot de passe.
Le seul cas ou j'ai reussi a l'avoir c'est en activant l'audit de l'authentification kerberos qui me génére un id 4771 avec un échec mais la le problème c'est que j'ai le nom du compte ainsi que l'@ ip du poste mais pas le poste....
L'audit à mettre en place nécessite de connaitre le nom du poste, l'heure de l'échec et le nom du compte. Nous n'avons pas d'ip fixe dans le parc, donc si on doit dire 3 mois apres telle personne a eu un soucis avec son compte et qu'on est pas capable de remonter au pc source ca posera problème...
Connaissez vous la solution à mettre en place pour auditer les echec de connexion d'authentification ?
Ca fonctionne très bien pour les modifications de GPO ou les modifications de l'AD mais pour les comptes j'ai l'impression que ca n'a pas le meme comportement pour les reussites que les echecs
Marsh Posté le 18-07-2015 à 22:26:31
Il y a des prérequis pour mettre en place un audit avancé, commence par vérifier de ce côté là.
Marsh Posté le 18-07-2015 à 22:33:22
https://technet.microsoft.com/fr-fr [...] 10%29.aspx
tu parles de ca ?
donc si oui, sur 2012 -> rien...
Puisque quand tu active l'audit avancé ca désactive les autres.
Je vois aucun prérequis sur quoi que ce soit d'autres, ou alors j'ai raté une étape...
Je fais pas preuve de mauvaise volonté la, parce que j'ai passé plusieurs heures déjà à chercher et je comprends toujours pas... Sur tous les tutos que j'ai pu trouvé, j'ai jamais croisé un prérequis.
encore un exemple : http://www.it-connect.fr/audit-des [...] directory/
meme si il n'audite pas la meme chose, il n'y a aucun prérequis la non plus.
Je veux donc bien que tu précises tes propos stp
Marsh Posté le 23-07-2015 à 08:18:45
Pour la fermeture de session, tu n'as pas l'audit d'activé dans ton second screen.
Marsh Posté le 23-07-2015 à 08:25:11
Bonjour et merci de ta contribution.
Ce n'est pas quelque chose que l'on souhaite auditer c'est pour ca ^^
Toujours pas trouvé de solution à ce problème en tous cas.
Marsh Posté le 23-07-2015 à 08:33:56
Question bête (je ne suis pas encore au bureau) mais dans les journaux de sécurité Windows, tu as déjà une alerte avec le nom du pc et de l'utilisateur non ?
Marsh Posté le 23-07-2015 à 08:58:15
justement non ^^
Tu as tous les succès ca oui.
Mais si par exemple quelqu'un cherche a forcer le compte de quelqu'un d'autre, tu le vois pas ca...
Donc la mise en place de l'echec d'ouverture de session servirait a ca.
Sauf que ca marche si tu cherches a te logguer directement sur vsrvdc2 en RDP mais pas durant le processus de connexion d'un pc utilisateur.
Pour cela c'est l'authentification qu'il faut auditer et la mon problème, c'est que je n'ai pas d'info quand on audite ca.
J'aimerais donc savoir si il existe une méthode qui me permette de savoir quand quelqu'un fait une erreur de loggin son nom + pc + heure
Marsh Posté le 23-07-2015 à 13:50:22
Exact je viens de regarder ... C'est ballot ...
Marsh Posté le 23-07-2015 à 15:10:26
ReplyMarsh Posté le 23-07-2015 à 15:40:21
elle est appliquée à quoi ta gpo ?
J'aurai tendance à activer Audit Kerberos Service Ticket Operations sur une gpo qui s'applique au dc
Marsh Posté le 23-07-2015 à 17:05:45
Sur les dc
Ouverture de session pour réussite et service authentification Kerberos pour les échecs pas le choix ...
Marsh Posté le 23-07-2015 à 20:42:06
Matteu a écrit : https://technet.microsoft.com/fr-fr [...] 10%29.aspx |
Là : https://technet.microsoft.com/fr-fr [...] 10%29.aspx
Je suppose que c'est bon mais on ne sait rien de ton infra ou presque. Et il vaut mieux forcer l'utilisation de l'audit avancé via la GPO, et configurer l'audit de l'AD aussi.
Tu as un template tout prêt dans SCM 3.0 de mémoire.
Et regarde là : https://technet.microsoft.com/fr-fr [...] 0%29.aspx!
Pas d'évènements 529 ?
Marsh Posté le 23-07-2015 à 20:49:45
J ai donc bien les prerequis oui
J ai pas scm juste sccm
Il faut en plus de ça que derrière je puisse traiter tout ça pour faire des graphes etc et de ce que je vois sur le net c est logparser si j arrive a m en servir sinon powershell!
Mais c est vraiment etonant que Microsoft ne propose pas de rapport sur ça !
Marsh Posté le 23-07-2015 à 21:39:08
Rien j ai lu trop vite du cou j ai dis n importe quoi
Scm c est pareil que les gpo donc je vois pas spécialement l avantage la .
Ce que je voulais faire n est pas implémente par Microsoft apparement.
Il est possible d avoir l ip de la machine mais pas son nom ! Donc il faut analyser les logs avant la fin des baux pour être sur des données !
Pour traiter tous les logs etc vous utilisez powershell ?
La seule idée que j ai en tête c est faire des requête
Une qui compte tous les événement par id d evenement
Une qui compte le nombre d échec d authentification par personne
Marsh Posté le 23-07-2015 à 22:34:41
Tu as plein d'outils qui font ça et qui vont plus ou moins loin dans les analyses.
Marsh Posté le 24-07-2015 à 09:46:07
mmmm tu peux donner quelque exemples ?
Parce que j'ai trouvé en gratuit que logparser (lizard) + event log explorer qui avaient l'air de faire ce job.
Marsh Posté le 24-07-2015 à 11:03:39
https://www.manageengine.com/produc [...] ports.html
Splunk bien configuré
Quest (Dell) doit avoir ça aussi
Marsh Posté le 06-08-2015 à 23:42:41
ReplyMarsh Posté le 15-08-2015 à 18:05:06
Bon bé va falloir que j'arrive a faire des requetes SQL avec logparser lizard je suppose, car j'ai rien trouvé de plus simple ou plus automatisé en gratuit malheureusement.
Marsh Posté le 13-09-2015 à 21:39:33
Bon faut que je m en occupe sérieusement cette semaine de ce projet la.
Donc la meilleure méthode au niveau journal d événement c est d agrandir la taille ou bien d en créer un nouveau une fois qu il est plein parce que la on peut garder que 3 jours d historique il se rempli vraiment vite à cause des logon success.
Quelqu un a déjà exploiter les event avec un logiciel gratuit parce que j avoue que logparser j ai un peu de mal
Marsh Posté le 15-09-2015 à 08:26:23
Je me permets de relancer un peu le sujet.
Je voudrais savoir si la maniere de procede est la bonne :
On a 2 dc + 1 FS a auditer + tous les serveurs si jamais un crash se produit.
Le moyen de centraliser tout ca, c'est de faire un abonnement sur un serveur ?
Si un evenement est supprime sur un serveur, il va etre supprime aussi du poste collecteur du cou non ?
La but est d'avoir dans le pire des cas 1 fichier tous les mois qui recense tous les evenement audits AD + audit FS + audit crash de tous les serveurs.
Dans le meilleur des cas, si c'est possible ce serait pouvoir intégrer dans une base de donnée chaque évènements qui se produit dans le journal de sécurité d'un DC + les acces FS pour les FS et les audits crash pour tous les serveurs.
Actuellement, sur un DC j'ai un historique de 7 jours environs de par la taille de 200Mo. ca veut dire qu'il faut que je passe a 1Go environs et sélectionner l'option archiver pour que ca me permettre d'avoir 1 mois d'ancienneté.
J'avoue que je ne sais pas trop par ou commencer.....
La GPO concernant les services audit a été mise en place, maintenant je bloque un peu sur comment je peux extraire ces données de facon à ce qu'elles soient exploitables.
Je vais pas m'amuser a me connecter sur un serveur pour récupérer son journal d'évènement, puis un autre, puis un autre etc
Marsh Posté le 18-09-2015 à 08:08:54
Personne n'a d'idée ?
Au final, mon responsable souhaiterait qu'on intégre tout dans une base de donnée et qu'on fasse les recherches grace à la base ensuite.
get-winevent et get-eventlog perdent des informations apparement quand on s'en sert...
D'autres idée ?
Je trouve pas de doc la dessus sur internet...
Marsh Posté le 20-09-2015 à 21:20:52
Alors un peu d'avancement :
De ce que j'ai l'impression de voir sur le net, il faut utiliser get-winevent et le parametre filterxpath
Faut que j'agrandisse un peu mes recherche mais au final, c'est récupérer des champs xml et vu que je sais pas comment on fait
Il faut récupérer comme informations en XML :
<EventID>4624</EventID> Numéro ID
<TimeCreated SystemTime="2015-07-23T14:48:30.480533500Z" /> Date + heure
<Computer>DC1</Computer> Ordinateur qui a collecté l’évènement
<EventData>
<Data Name="TargetUserName">DC2$</Data> nom de l’utilisateur qui a tenté de se loger (enlever les ordinateurs ? filtrer par rapport au $ a la fin du mot)
<Data Name="TargetDomainName">TEST</Data> domaine de l’utilisateur
<Data Name="IpAddress">192.168.97.10</Data> @IP depuis laquelle l’utilisateur s’est loggué
Le but est de pouvoir récupérer ces informations sous forme de colone et de les intégrer ensuite dans la base de donnée.
Un Ensuite il faudra faire des reports pour faire des analyses par exemple top 10 users les plus bloqués du mois / des 6 mois / de l’année
Voir lorsqu’on tappe el nom de l’utilisateur…
Marsh Posté le 21-09-2015 à 21:43:45
Tu as bien activé l'utilisation de la stratégie d'audit avancée au moins ?
Si tu as SCOM, tu peux faire remonter les résultats d'audit via des reports ACS.
Marsh Posté le 21-09-2015 à 22:46:38
C est pas mon premier écran ca ?
J ai pas scom malheureusement donc faut que j arrive en power shell à pouvoir les exploiter
Marsh Posté le 22-09-2015 à 08:12:44
Je comprends pas de quoi tu me parles
La l'audit fonctionne bien pour moi, j'obtiens bien les paramètres souhaités...
Mon problème maintenant c'est de ppouvoir les exporter sur un fichier csv pour les intégrer via ssis dans sql serveur
Marsh Posté le 22-09-2015 à 20:18:35
Ca : "If you use Advanced Audit Policy Configuration settings or use logon scripts (for computers running Windows Vista or Windows Server 2008) to apply advanced audit policy, be sure to enable the Audit: Force audit policy subcategory settings (Windows Vista or later) to override audit policy category settings policy setting under Local Policies\Security Options. This will prevent conflicts between similar settings by forcing basic security auditing to be ignored."
Marsh Posté le 22-09-2015 à 21:05:17
Je n'ai aucun problème de récupération d'info c'est pour ca que je comprends pas ton message
Je verifierai quand meme que j'avais bien activé cette option. C'est sensé modifier quelque chose ?
En dehors d'éviter les conflits, il n'y aura aucune incidence sur les résultats reccueuillis la si je comprends bien.
Ok c'est ca donc :
L’utilisation conjointe des paramètres de stratégie d’audit de base sous Stratégies locales\Stratégie d’audit et des paramètres avancés sous Configuration avancée de la stratégie d’audit peuvent provoquer des résultats inattendus. Par conséquent, il est préférable de ne pas associer deux ensembles de paramètres de stratégie d’audit. Si vous recourez aux paramètres de Configuration avancée de la stratégie d’audit, vous devez activer le paramètre de stratégie Audit : force les paramètres de sous-catégorie de stratégie d’audit (Windows Vista ou version ultérieure) à se substituer aux paramètres de catégorie de stratégie d’audit sous Stratégies locales\Options de sécurité. Cela permettra d’éviter les conflits entre des paramètres analogues en ignorant systématiquement l’audit de sécurité de base.
Je vérifie ca demain.
Une chose est sure, je n'ai rien configuré dans stratégie locale -> stratégie d'audit donc dans tous les cas, je n'ai pas de conflit si j'ai bien compris le message sur le technet qui dit qu'il ne faut aps utiliser les deux en meme temps.
Marsh Posté le 29-03-2016 à 11:03:16
Bonjour,
Je relance le sujet car j'ai avancé sur le sujet.
Je rencontre cependant une problèmatique principale :
J'ai beaucoup trop d'informations 'inutiles'.
je souhaiterais avoir uniquement les connexion utilisateurs lorsqu'ils arrivent sur leur pc mais j'en ai beaucoup par jour et ca polue énormément les informations du cou...
Pour moi la j'ai trop d'info...
C'est à dire que pour 150personnes environs, je me retrouve avec 20 000 lignes pour 1 seul DC.
Je souhaiterais savoir comment optimiser ca...
De plus, j'ai toujours quelque doublon malgré le get-unique à la fin
Je vous joins mon script :
$serveurs = "srv2","srv1"
$date = (Get-Date "00:00:00" )
$serveurs | foreach {
$serveur = $_
$events = Get-WinEvent -ErrorAction Continue -FilterHashTable @{ LogName = "Security"; StartTime = $date; ID = 4608,4609,4616,4621,4624,4771,5136,5137,5138,5139,5141 } -ComputerName $serveur | Where-Object {$_.TimeCreated.date -eq $date.Date}
$events | foreach {
$Sid = ""
$compte = ""
$domaine = ""
$station = ""
$ipadress = ""
$ObjectDN = ""
$ObjectClass = ""
$id = $_.id
$eventXML = [xml]$_.ToXml()
switch ($eventXML.Event.EventData.Data) {
{$_.name -eq 'TargetUserName'} {$compte = $_."#text"}
{$_.name -eq 'TargetDomainName'} {$domaine = $_."#text"}
{$_.name -eq 'SubjectUserName'} {$compte = $_."#text"}
{$_.name -eq 'SubjectDomainName'} {$domaine = $_."#text"}
{$_.name -eq 'WorkstationName'} {$station = $_."#text"}
{$_.name -eq 'ObjectDN'} {$ObjectDN = $_."#text"}
{$_.name -eq 'ObjectClass'} {$ObjectClass = $_."#text"}
{$_.name -eq 'TargetUserSid'} {$Sid = $_."#text"}
{$_.name -eq 'TargetUSid'} {$Sid = $_."#text"}
{$_.name -eq 'SubjectUserSid'} {$Sid = $_."#text"}
{$_.name -eq 'IpAddress'} {
if ($id -eq "4624" ) {
$ipadress = $_."#text"}
if ($id -eq "4771" ) {
$ipadress = $_."#text".split(":" )[3]
}
}
}
if ($ipadress -ne "" -and ($station -eq "" -or $station -eq $null -or $id -eq 4624)) {
try {$station = (([System.Net.DNS]::GetHostEntry($ipadress)).hostname -split "\." )[0]} catch {}
}
if ($compte -ne "SERVICE LOCAL" -and $compte -ne "Système" -and $compte[-1] -ne "$" ) {
$_ | select @{n="Serveur";e={$_.MachineName}}, @{n="date";e={$_.TimeCreated}}, @{n="InstanceId";e={$_.Id}}, @{n="catégorie";e={$_.TaskDisplayName}}, @{n="Keywords";e={$_.KeywordsDisplayNames}}, @{n="Sid";e={$Sid}}, @{n="nom du compte";e={$compte.ToUpper()}}, @{n="domaine du compte";e={$domaine}}, @{n="station de travail";e={$station.ToUpper()}}, @{n="Adresse IP";e={$ipadress}}, @{n="ObjectDN";e={$ObjectDN}}, @{n="ObjectClass";e={$ObjectClass}} | Write-Output
}
}
} | Get-Unique -AsString | Export-Csv c:\test.csv -NoTypeInformation -Encoding unicode -Delimiter ";"
Marsh Posté le 29-03-2016 à 12:11:03
Bonjour,
Merci beaucoup pour ton efficacite une fois de plus une réponse correcte.
Malheureusement, ce matin j'ai allumé mon pc et me suis logué, et le type est 3 tout comme tous les loggons automatique de la journée.
Je viens de m'imprimer la différence entre l'heure ou je me suis loggé et un autre evenement plus tard de connexion et il y a vraiment peu de choses qui changent :
Niveau d'emprunt d'identité : emprunt d'identité ou délégagtion
ID d'ouverture de session différent
GUID d'ouverture de session différent
Port source différent
thread ID différend
TargetlogonID différent
J'aurai bien aimé avoir un type d'ouverture de session 2 ^^
Marsh Posté le 29-03-2016 à 12:14:38
2
Interactif
Un utilisateur s'est connecté à cet ordinateur.
3
Réseau
Un utilisateur ou un ordinateur s'est connecté à cet ordinateur à partir du réseau.
C'est donc normal que sur le DC j'ai que des types 3...
C'est donc impossible a faire ce que je souhaite ?
Marsh Posté le 30-03-2016 à 10:59:56
une petite idée ou pas ?
En gros, le seul moyen sur c'est d'auditer tous les postes de travail xD
et récupérer sur chacun d'eux le log qui lui est de type 2 je suppose...
Je comprends pas comment on peut exploiter les données que je récupère la :s
Marsh Posté le 30-03-2016 à 11:53:00
Regardé rapidement http://www.eventtracker.com/newsle [...] ws-domain/
C'est pas con, l'ouverture de session demande un ticket kerberos TGT donc ça peut être le bon check à faire.
Marsh Posté le 17-07-2015 à 11:00:51
Bonjour,
Encore une fois je viens soliciter votre aide !
En effet, j'ai mis en place l'audit telle que defini ci dessous :
Le problème étant que toutes les ouvertures de sessions sont bien enregistrées dans le journal d'évènement d'un des 2 DC par contre, si je ferme la session, je saisie un mauvais mot de passe et je regarde ensuite le journal d'évènements il n'y a pas d'échec. On dirait que ca ne marche pas tout le temps...
Ca fonctionne bien pour toutes les modifs de l'AD par contre...
J'ai également remarqué qu'en échec j'ai ca :
---------------
Mon Feedback---Mes ventes