Forum |  HardWare.fr | News | Articles | PC | Prix | S'identifier | S'inscrire | Aide | Shop Recherche
938 connectés 

 



 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

Mise en place d'un audit

n°132477
matteu
Posté le 17-07-2015 à 11:00:51  profilanswer
 

Bonjour,
 
Encore une fois je viens soliciter votre aide !
 
En effet, j'ai mis en place l'audit telle que defini ci dessous :
http://img11.hostingpics.net/pics/2170222015071710h5434.png
http://img11.hostingpics.net/pics/1310652015071710h5402.png
 
 
Le problème étant que toutes les ouvertures de sessions sont bien enregistrées dans le journal d'évènement d'un des 2 DC par contre, si je ferme la session, je saisie un mauvais mot de passe et je regarde ensuite le journal d'évènements il n'y a pas d'échec. On dirait que ca ne marche pas tout le temps...  
Ca fonctionne bien pour toutes les modifs de l'AD par contre...
 
J'ai également remarqué qu'en échec j'ai ca :
http://img11.hostingpics.net/pics/7358192015071710h5728.png
 


---------------
Mon Feedback---Mes ventes
mood
Publicité
Posté le 17-07-2015 à 11:00:51  profilanswer
 

n°132528
matteu
Posté le 18-07-2015 à 22:07:50  profilanswer
 

personne saurait m'apporter une réponse ?
 
En analysant un peu, j'ai l'impression que pour l'ouverture de session ca ne fonctionne dans le cas des erreurs uniquement si j'essaye de me logger sur le serveur directement en bureau a distance par exemple mais lorsqu'un utilisateur se log sur son pc j'ai bien la réussite mais pas l'échec si il tappe un mauvais mot de passe.
 
Le seul cas ou j'ai reussi a l'avoir c'est en activant l'audit de l'authentification kerberos qui me génére un id 4771 avec un échec mais la le problème c'est que j'ai le nom du compte ainsi que l'@ ip du poste mais pas le poste....
 
L'audit à mettre en place nécessite de connaitre le nom du poste, l'heure de l'échec et le nom du compte. Nous n'avons pas d'ip fixe dans le parc, donc si on doit dire 3 mois apres telle personne a eu un soucis avec son compte et qu'on est pas capable de remonter au pc source ca posera problème...
 
Connaissez vous la solution à mettre en place pour auditer les echec de connexion d'authentification ?
 
Ca fonctionne très bien pour les modifications de GPO ou les modifications de l'AD mais pour les comptes j'ai l'impression que ca n'a pas le meme comportement pour les reussites que les echecs


---------------
Mon Feedback---Mes ventes
n°132529
nebulios
Posté le 18-07-2015 à 22:26:31  profilanswer
 

Il y a des prérequis pour mettre en place un audit avancé, commence par vérifier de ce côté là.

n°132530
matteu
Posté le 18-07-2015 à 22:33:22  profilanswer
 

https://technet.microsoft.com/fr-fr [...] 10%29.aspx

 

tu parles de ca ?

 

donc si oui, sur 2012 -> rien...

 

Puisque quand tu active l'audit avancé ca désactive les autres.

 

Je vois aucun prérequis sur quoi que ce soit d'autres, ou alors j'ai raté une étape...

 

Je fais pas preuve de mauvaise volonté la, parce que j'ai passé plusieurs heures déjà à chercher et je comprends toujours pas... Sur tous les tutos que j'ai pu trouvé, j'ai jamais croisé un prérequis.

 

encore un exemple : http://www.it-connect.fr/audit-des [...] directory/
meme si il n'audite pas la meme chose, il n'y a aucun prérequis la non plus.

 

Je veux donc bien que tu précises tes propos stp

Message cité 1 fois
Message édité par matteu le 18-07-2015 à 22:35:36

---------------
Mon Feedback---Mes ventes
n°132663
ChaTTon2
Je l'aime !
Posté le 23-07-2015 à 08:18:45  profilanswer
 

Pour la fermeture de session, tu n'as pas l'audit d'activé dans ton second screen.


---------------
Mon feed-back : http://forum.hardware.fr/hfr/Achat [...] 1974_1.htm
n°132664
matteu
Posté le 23-07-2015 à 08:25:11  profilanswer
 

Bonjour et merci de ta contribution.
 
Ce n'est pas quelque chose que l'on souhaite auditer c'est pour ca ^^
 
Toujours pas trouvé de solution à ce problème en tous cas.


---------------
Mon Feedback---Mes ventes
n°132665
ChaTTon2
Je l'aime !
Posté le 23-07-2015 à 08:33:56  profilanswer
 

Question bête (je ne suis pas encore au bureau) mais dans les journaux de sécurité Windows, tu as déjà une alerte avec le nom du pc et de l'utilisateur non ?


---------------
Mon feed-back : http://forum.hardware.fr/hfr/Achat [...] 1974_1.htm
n°132667
matteu
Posté le 23-07-2015 à 08:58:15  profilanswer
 

justement non ^^
 
Tu as tous les succès ca oui.
Mais si par exemple quelqu'un cherche a forcer le compte de quelqu'un d'autre, tu le vois pas ca...
 
Donc la mise en place de l'echec d'ouverture de session servirait a ca.
Sauf que ca marche si tu cherches a te logguer directement sur vsrvdc2 en RDP mais pas durant le processus de connexion d'un pc utilisateur.
Pour cela c'est l'authentification qu'il faut auditer et la mon problème, c'est que je n'ai pas d'info quand on audite ca.
 
J'aimerais donc savoir si il existe une méthode qui me permette de savoir quand quelqu'un fait une erreur de loggin son nom + pc + heure


---------------
Mon Feedback---Mes ventes
n°132682
ChaTTon2
Je l'aime !
Posté le 23-07-2015 à 13:50:22  profilanswer
 

Exact je viens de regarder ... C'est ballot ...


---------------
Mon feed-back : http://forum.hardware.fr/hfr/Achat [...] 1974_1.htm
n°132685
matteu
Posté le 23-07-2015 à 15:10:26  profilanswer
 

Tres ...
Du cou je sais pas trop comment faire ...


---------------
Mon Feedback---Mes ventes
mood
Publicité
Posté le 23-07-2015 à 15:10:26  profilanswer
 

n°132686
Je@nb
Modérateur
In ze cloud
Posté le 23-07-2015 à 15:40:21  profilanswer
 

elle est appliquée à quoi ta gpo ?
J'aurai tendance à activer Audit Kerberos Service Ticket Operations sur une gpo qui s'applique au dc


Message édité par Je@nb le 23-07-2015 à 15:40:31
n°132689
matteu
Posté le 23-07-2015 à 17:05:45  profilanswer
 

Sur les dc
Ouverture de session pour réussite et service authentification Kerberos pour les échecs pas le choix ...


---------------
Mon Feedback---Mes ventes
n°132707
nebulios
Posté le 23-07-2015 à 20:42:06  profilanswer
 

matteu a écrit :

https://technet.microsoft.com/fr-fr [...] 10%29.aspx
 
tu parles de ca ?
 
donc si oui, sur 2012 -> rien...
 


Là : https://technet.microsoft.com/fr-fr [...] 10%29.aspx
 
Je suppose que c'est bon mais on ne sait rien de ton infra ou presque. Et il vaut mieux forcer l'utilisation de l'audit avancé via la GPO, et configurer l'audit de l'AD aussi.
 
Tu as un template tout prêt dans SCM 3.0 de mémoire.
 
Et regarde là : https://technet.microsoft.com/fr-fr [...] 0%29.aspx!
Pas d'évènements 529 ?

n°132709
matteu
Posté le 23-07-2015 à 20:49:45  profilanswer
 

J ai donc bien les prerequis oui
J ai pas scm :p juste sccm  
 
Il faut en plus de ça que derrière je puisse traiter tout ça pour faire des graphes etc et de ce que je vois sur le net c est logparser si j arrive a m en servir sinon powershell!
 
Mais c est vraiment etonant que Microsoft ne propose pas de rapport sur ça !


---------------
Mon Feedback---Mes ventes
n°132711
nebulios
Posté le 23-07-2015 à 21:06:49  profilanswer
 

De quoi tu parles ?

n°132714
matteu
Posté le 23-07-2015 à 21:39:08  profilanswer
 

Rien j ai lu trop vite du cou j ai dis n importe quoi
Scm c est pareil que les gpo donc je vois pas spécialement l avantage la .
Ce que je voulais faire n est pas implémente par Microsoft apparement.
Il est possible d avoir l ip de la machine mais pas son nom ! Donc il faut analyser les logs avant la fin des baux pour être sur des données !
 
Pour traiter tous les logs etc vous utilisez powershell ?
La seule idée que j ai en tête c est faire des requête  
Une qui compte tous les événement par id d evenement
Une qui compte le nombre d échec d authentification par personne  


---------------
Mon Feedback---Mes ventes
n°132717
Je@nb
Modérateur
In ze cloud
Posté le 23-07-2015 à 22:34:41  profilanswer
 

Tu as plein d'outils qui font ça et qui vont plus ou moins loin dans les analyses.

n°132725
matteu
Posté le 24-07-2015 à 09:46:07  profilanswer
 

mmmm tu peux donner quelque exemples ?  
 
Parce que j'ai trouvé en gratuit que logparser (lizard) + event log explorer qui avaient l'air de faire ce job.
 


---------------
Mon Feedback---Mes ventes
n°132729
Je@nb
Modérateur
In ze cloud
Posté le 24-07-2015 à 11:03:39  profilanswer
 

https://www.manageengine.com/produc [...] ports.html
Splunk bien configuré
Quest (Dell) doit avoir ça aussi

n°132961
matteu
Posté le 06-08-2015 à 23:42:41  profilanswer
 

c est payant tout ca :(


---------------
Mon Feedback---Mes ventes
n°133169
matteu
Posté le 15-08-2015 à 18:05:06  profilanswer
 

Bon bé va falloir que j'arrive a faire des requetes SQL avec logparser lizard je suppose, car j'ai rien trouvé de plus simple ou plus automatisé en gratuit malheureusement.


---------------
Mon Feedback---Mes ventes
n°133950
matteu
Posté le 13-09-2015 à 21:39:33  profilanswer
 

Bon faut que je m en occupe sérieusement cette semaine de ce projet la.
Donc la meilleure méthode au niveau journal d événement c est d agrandir la taille ou bien d en créer un nouveau une fois qu il est plein parce que la on peut garder que 3 jours d historique il se rempli vraiment vite à cause des logon success.
 
Quelqu un a déjà exploiter les event avec un logiciel gratuit parce que j avoue que logparser j ai un peu de mal


---------------
Mon Feedback---Mes ventes
n°134021
matteu
Posté le 15-09-2015 à 08:26:23  profilanswer
 

Je me permets de relancer un peu le sujet.
 
Je voudrais savoir si la maniere de procede est la bonne :
 
On a 2 dc + 1 FS a auditer + tous les serveurs si jamais un crash se produit.
 
Le moyen de centraliser tout ca, c'est de faire un abonnement sur un serveur ?
Si un evenement est supprime sur un serveur, il va etre supprime aussi du poste collecteur du cou non ?
 
La but est d'avoir dans le pire des cas 1 fichier tous les mois qui recense tous les evenement audits AD + audit FS + audit crash de tous les serveurs.
 
Dans le meilleur des cas, si c'est possible ce serait pouvoir intégrer dans une base de donnée chaque évènements qui se produit dans le journal de sécurité d'un DC + les acces FS pour les FS et les audits crash pour tous les serveurs.
 
 
Actuellement, sur un DC j'ai un historique de 7 jours environs de par la taille de 200Mo. ca veut dire qu'il faut que je passe a 1Go environs et sélectionner l'option archiver pour que ca me permettre d'avoir 1 mois d'ancienneté.
 
J'avoue que je ne sais pas trop par ou commencer.....
 
La GPO concernant les services audit a été mise en place, maintenant je bloque un peu sur comment je peux extraire ces données de facon à ce qu'elles soient exploitables.
Je vais pas m'amuser a me connecter sur un serveur pour récupérer son journal d'évènement, puis un autre, puis un autre etc


---------------
Mon Feedback---Mes ventes
n°134167
matteu
Posté le 18-09-2015 à 08:08:54  profilanswer
 

Personne n'a d'idée ?
 
Au final, mon responsable souhaiterait qu'on intégre tout dans une base de donnée et qu'on fasse les recherches grace à la base ensuite.
 
get-winevent et get-eventlog perdent des informations apparement quand on s'en sert...
D'autres idée ?
Je trouve pas de doc la dessus sur internet...


---------------
Mon Feedback---Mes ventes
n°134207
matteu
Posté le 20-09-2015 à 21:20:52  profilanswer
 

Alors un peu d'avancement :

 

De ce que j'ai l'impression de voir sur le net, il faut utiliser get-winevent et le parametre filterxpath

 

Faut que j'agrandisse un peu mes recherche mais au final, c'est récupérer des champs xml et vu que je sais pas comment on fait :)

 

Il faut récupérer comme informations en XML :

 

 

<EventID>4624</EventID> Numéro ID
<TimeCreated SystemTime="2015-07-23T14:48:30.480533500Z" />  Date + heure
<Computer>DC1</Computer>  Ordinateur qui a collecté l’évènement
<EventData>
<Data Name="TargetUserName">DC2$</Data> nom de l’utilisateur qui a tenté de se loger (enlever les ordinateurs ? filtrer par rapport au $ a la fin du mot)
<Data Name="TargetDomainName">TEST</Data> domaine de l’utilisateur
<Data Name="IpAddress">192.168.97.10</Data> @IP depuis laquelle l’utilisateur s’est loggué

 

Le but est de pouvoir récupérer ces informations sous forme de colone et de les intégrer ensuite dans la base de donnée.

 

Un Ensuite il faudra faire des reports pour faire des analyses par exemple top 10 users les plus bloqués du mois / des 6 mois / de l’année

 

Voir lorsqu’on tappe el  nom de l’utilisateur…


Message édité par matteu le 21-09-2015 à 10:55:15

---------------
Mon Feedback---Mes ventes
n°134232
nebulios
Posté le 21-09-2015 à 21:43:45  profilanswer
 

Tu as bien activé l'utilisation de la stratégie d'audit avancée au moins ?
 
Si tu as SCOM, tu peux faire remonter les résultats d'audit via des reports ACS.

n°134234
matteu
Posté le 21-09-2015 à 22:46:38  profilanswer
 

C est pas mon premier écran ca ?
J ai pas scom malheureusement donc faut que j arrive en power shell à pouvoir les exploiter


---------------
Mon Feedback---Mes ventes
n°134235
nebulios
Posté le 22-09-2015 à 00:33:17  profilanswer
 

Non il manque le paramètre principal sur ton écran :/

n°134236
matteu
Posté le 22-09-2015 à 08:12:44  profilanswer
 

Je comprends pas de quoi tu me parles :(
 
La l'audit fonctionne bien pour moi, j'obtiens bien les paramètres souhaités...
 
Mon problème maintenant c'est de ppouvoir les exporter sur un fichier csv pour les intégrer via ssis dans sql serveur


---------------
Mon Feedback---Mes ventes
n°134267
nebulios
Posté le 22-09-2015 à 20:18:35  profilanswer
 

Ca : "If you use Advanced Audit Policy Configuration settings or use logon scripts (for computers running Windows Vista or Windows Server 2008) to apply advanced audit policy, be sure to enable the Audit: Force audit policy subcategory settings (Windows Vista or later) to override audit policy category settings policy setting under Local Policies\Security Options. This will prevent conflicts between similar settings by forcing basic security auditing to be ignored."

n°134269
matteu
Posté le 22-09-2015 à 21:05:17  profilanswer
 

Je n'ai aucun problème de récupération d'info c'est pour ca que je comprends pas ton message :(
Je verifierai quand meme que j'avais bien activé cette option. C'est sensé modifier quelque chose ?
En dehors d'éviter les conflits, il n'y aura aucune incidence sur les résultats reccueuillis la si je comprends bien.

 

Ok c'est ca donc :
L’utilisation conjointe des paramètres de stratégie d’audit de base sous Stratégies locales\Stratégie d’audit et des paramètres avancés sous Configuration avancée de la stratégie d’audit peuvent provoquer des résultats inattendus. Par conséquent, il est préférable de ne pas associer deux ensembles de paramètres de stratégie d’audit. Si vous recourez aux paramètres de Configuration avancée de la stratégie d’audit, vous devez activer le paramètre de stratégie Audit : force les paramètres de sous-catégorie de stratégie d’audit (Windows Vista ou version ultérieure) à se substituer aux paramètres de catégorie de stratégie d’audit sous Stratégies locales\Options de sécurité. Cela permettra d’éviter les conflits entre des paramètres analogues en ignorant systématiquement l’audit de sécurité de base.  

 

Je vérifie ca demain.
Une chose est sure, je n'ai rien configuré dans stratégie locale -> stratégie d'audit donc dans tous les cas, je n'ai pas de conflit si j'ai bien compris le message sur le technet qui dit qu'il ne faut aps utiliser les deux en meme temps.


Message édité par matteu le 22-09-2015 à 21:08:54

---------------
Mon Feedback---Mes ventes
n°138868
matteu
Posté le 29-03-2016 à 11:03:16  profilanswer
 

Bonjour,
 
Je relance le sujet car j'ai avancé sur le sujet.
 
Je rencontre cependant une problèmatique principale :  
J'ai beaucoup trop d'informations 'inutiles'.
je souhaiterais avoir uniquement les connexion utilisateurs lorsqu'ils arrivent sur leur pc mais j'en ai beaucoup par jour et ca polue énormément les informations du cou...
Pour moi la j'ai trop d'info...
C'est à dire que pour 150personnes environs, je me retrouve avec 20 000 lignes pour 1 seul DC.
Je souhaiterais savoir comment optimiser ca...  
De plus, j'ai toujours quelque doublon malgré le get-unique à la fin
Je vous joins mon script :
 
$serveurs = "srv2","srv1"
 
$date = (Get-Date "00:00:00" )
$serveurs | foreach {
    $serveur = $_
$events = Get-WinEvent -ErrorAction Continue -FilterHashTable @{ LogName = "Security"; StartTime = $date; ID = 4608,4609,4616,4621,4624,4771,5136,5137,5138,5139,5141 } -ComputerName $serveur | Where-Object {$_.TimeCreated.date -eq $date.Date}
$events | foreach {
        $Sid = ""
        $compte = ""
        $domaine = ""
        $station = ""
        $ipadress = ""
        $ObjectDN = ""
        $ObjectClass = ""
        $id = $_.id
        $eventXML = [xml]$_.ToXml()
        switch ($eventXML.Event.EventData.Data) {
            {$_.name -eq 'TargetUserName'} {$compte = $_."#text"}
            {$_.name -eq 'TargetDomainName'} {$domaine = $_."#text"}
            {$_.name -eq 'SubjectUserName'} {$compte = $_."#text"}
            {$_.name -eq 'SubjectDomainName'} {$domaine = $_."#text"}
            {$_.name -eq 'WorkstationName'} {$station = $_."#text"}
            {$_.name -eq 'ObjectDN'} {$ObjectDN = $_."#text"}
            {$_.name -eq 'ObjectClass'} {$ObjectClass = $_."#text"}
            {$_.name -eq 'TargetUserSid'} {$Sid = $_."#text"}
            {$_.name -eq 'TargetUSid'} {$Sid = $_."#text"}
            {$_.name -eq 'SubjectUserSid'} {$Sid = $_."#text"}
            {$_.name -eq 'IpAddress'} {
                if ($id -eq "4624" ) {
                    $ipadress = $_."#text"}  
                if ($id -eq "4771" ) {
                    $ipadress = $_."#text".split(":" )[3]
                    }
                }
            }
        if ($ipadress -ne "" -and ($station -eq "" -or $station -eq $null -or $id -eq 4624)) {
            try {$station = (([System.Net.DNS]::GetHostEntry($ipadress)).hostname -split "\." )[0]} catch {}  
            }
        if ($compte -ne "SERVICE LOCAL" -and $compte -ne "Système" -and $compte[-1] -ne "$" ) {
            $_ | select @{n="Serveur";e={$_.MachineName}}, @{n="date";e={$_.TimeCreated}}, @{n="InstanceId";e={$_.Id}}, @{n="catégorie";e={$_.TaskDisplayName}}, @{n="Keywords";e={$_.KeywordsDisplayNames}}, @{n="Sid";e={$Sid}}, @{n="nom du compte";e={$compte.ToUpper()}}, @{n="domaine du compte";e={$domaine}}, @{n="station de travail";e={$station.ToUpper()}}, @{n="Adresse IP";e={$ipadress}}, @{n="ObjectDN";e={$ObjectDN}}, @{n="ObjectClass";e={$ObjectClass}} | Write-Output
            }
            }
        }  | Get-Unique -AsString | Export-Csv c:\test.csv -NoTypeInformation -Encoding unicode -Delimiter ";"


---------------
Mon Feedback---Mes ventes
n°138871
Je@nb
Modérateur
In ze cloud
Posté le 29-03-2016 à 11:17:00  profilanswer
 

cherche que les event de login interactive

n°138874
matteu
Posté le 29-03-2016 à 12:11:03  profilanswer
 

Bonjour,
 
Merci beaucoup pour ton efficacite une fois de plus une réponse correcte.
Malheureusement, ce matin j'ai allumé mon pc et me suis logué, et le type est 3 tout comme tous les loggons automatique de la journée.
 
Je viens de m'imprimer la différence entre l'heure ou je me suis loggé et un autre evenement plus tard de connexion et il y a vraiment peu de choses qui changent :
 
Niveau d'emprunt d'identité : emprunt d'identité ou délégagtion
ID d'ouverture de session différent
GUID d'ouverture de session différent
Port source différent
thread ID différend
TargetlogonID différent
 
J'aurai bien aimé avoir un type d'ouverture de session 2 ^^


---------------
Mon Feedback---Mes ventes
n°138875
matteu
Posté le 29-03-2016 à 12:14:38  profilanswer
 

2
Interactif
Un utilisateur s'est connecté à cet ordinateur.

 

3
Réseau
Un utilisateur ou un ordinateur s'est connecté à cet ordinateur à partir du réseau.

 


C'est donc normal que sur le DC j'ai que des types 3...
C'est donc impossible a faire ce que je souhaite ?


Message édité par matteu le 29-03-2016 à 12:15:09

---------------
Mon Feedback---Mes ventes
n°138928
matteu
Posté le 30-03-2016 à 10:59:56  profilanswer
 

une petite idée ou pas ?  
 
En gros, le seul moyen sur c'est d'auditer tous les postes de travail xD
et récupérer sur chacun d'eux le log qui lui est de type 2 je suppose...  
 
Je comprends pas comment on peut exploiter les données que je récupère la :s


---------------
Mon Feedback---Mes ventes
n°138932
Je@nb
Modérateur
In ze cloud
Posté le 30-03-2016 à 11:53:00  profilanswer
 

Regardé rapidement http://www.eventtracker.com/newsle [...] ws-domain/
 
C'est pas con, l'ouverture de session demande un ticket kerberos TGT donc ça peut être le bon check à faire.

mood
Publicité
Posté le   profilanswer
 


Aller à :
Ajouter une réponse
 

Sujets relatifs
vmware mise à jour VMFS[Aide] Mettre en place un serveur Linux de déploiement d'images
[SCCM 2012] Aide pour mise en place d'un Primary site standaloneMise a jour Micrologiciel et pilotes serveur dell r530
[RESOLU] Mise en place d'un lien trunk ne fonctionne pasMise a jour des controleurs
Conseils mise en oeuvre Veeam Backup 8Audit INFO pour renouvellement matériel
Plus de sujets relatifs à : Mise en place d'un audit


Copyright © 1997-2018 Hardware.fr SARL (Signaler un contenu illicite) / Groupe LDLC / Shop HFR