Avant dans rentrer dans les détails, j'aimerais vous en dire plus sur le suivi des connexions/déconnexions dans un environnement Active Directory, qui est un processus relativement lourd.L'audit conçu par Windows s'apparente à une recherche d'empreintes, nous le plaçons dans un code source, quand le code rencontre le paramètre « d'audit », alors une empreinte apparaît sur l'activité correspondante.
Audit des déconnexions
L'audit des déconnexionsest tout à fait différent du précédent, il n'a rien à voir avec les serveurs d'authentification (DC). En fait, ce journal d'activité n'est jamais disponible avec les DC. Comme il s'agit d'une activité sur un ordinateur local, l'information de fermeture de session est seulement disponible dans les logs d'événements Poste/Serveur correspondants. Vous êtes donc obligés de recueillir les informations de déconnexion de chaque ordinateur présent sur le réseau. L'extensibilité entre alors en jeu, ainsi vous êtes amené à utiliser une méthodologie orientée agent, où chaque poste de travail contient un agent qui collecte et transfère les informations de déconnexionsvers le serveur principal.
L'introduction étant terminée, passons à la solution d'audit.
Connexion/Déconnexion via un serveur de fichiers avec ADAudit Plus
Mis à part ses capacités d'audit des changements de l'AD, ADAudit Plus dispose également d'une fonction d'audit du "serveur de fichiers", où chaque action est suivie et signalée comme la création/modification/suppression d'un fichier, changement depermission, etc... Un de nos clients a utilisé très intelligemment cette fonctionnalité pour calculer les connexions/déconnexions dans son environnement.
Il a ajouté un simple script de connexion avec le code ci-dessous et l'a assigné à tous les utilisateurs de l'AD à travers un GPO (stratégie de groupe).
Voici le script de déconnexion similaire au premier. Ces deux scripts se nomment respectivement « logon.cmd » et « logoff.cmd ».
Où «omega» est un serveur contenant un dossier de partage appelé "logon". Dans ce contexte, quand un utilisateur se connecte ou se déconnecte, une entrée est automatiquement crééesous les noms de "logon.log" et "logoff.log".
Maintenant, en utilisant la fonction d'audit du serveur de fichiers, il a configuré le serveur «omega» et a inclus ledossier « logon » dans l'audit. Ainsi,à chaque fois qu'un utilisateur se connecte ou se déconnecte, les fichiers « logon.log » et « logoff.log » sont mis à jour et donc audités par ADAudit Plus ! Lecôté intéressant ici est que l'entrée inscrite dans le fichier est basée sur les identifiants de l'utilisateur qui se connecte ou se déconnecte. Par conséquent, le nom d'utilisateur apparaitdans la colonne « qui a modifié » le fichier dans le journal des événements.
Ce qui permet à notre client d'obtenir un rapport comme celui-ci :
ADAudit Plus est capable de collecter les informations de connexion/déconnexion à partir des DC, des serveurs de membres, des serveurs de fichiers, ce contournement est seulement destiné aux postes de travail. La fonction de collecte des informations directement à partir des postes de travail est actuellement en développement et sera bientôt disponible.
Si avez des doutes sur certains ou des questions concernant ADAudit Plus, n'hésitez pas à nous contacter.