Etape 4. Superviser et auditer votre organisation d’AD

surveiller la disponibilité de base de vos DC. Il est probable que vous surveillez déjà la disponibilité de l’hôte, pour assurer la disponibilité globale de l’infrastructure d’AD. Mais, sous l’angle de la sécurité, il est important de savoir quand un DC tombe en panne inopinément, afin de pouvoir analyser la cause le plus tôt possible. Peut-être qu’un DC d’un site distant a été volé ou qu’un assaillant a obtenu l’accès physique et a arrêté la machine pour installer un cheval de Troie.

Outre la surveillance de la disponibilité de base des DC, on peut utiliser Performance Monitor pour surveiller de nombreuses mesures d’AD, allant du nombre de requêtes LDAP (Lightweight Directory Access Protocol) par seconde jusqu’à la quantité de données répliquées. Vous pouvez établir une ligne de base pour chacun des compteurs qui vous intéressent, puis les surveiller. Ce faisant, si vous observez, par exemple, que le nombre de requêtes LDAP ou de requêtes d’authentification par seconde grimpe fortement pendant une certaine période, ce peut être l’indice d’une attaque. Pour une surveillance (et un système d’alerte) plus poussée, vous pouvez utiliser un outil comme MOM (Microsoft Operations Manager).

Les fonctions d’audit fournies par les OS Windows et d’AD vous permettent de journaliser certains événements dans le journal d’événements de la Securité. Vous pouvez tout journaliser, depuis les divers changements de configuration d’OS jusqu’aux modifications approfondies effectuées dans AD. Toutefois, pratiquez l’audit avec parcimonie. En effet, si vous auditez trop, vous submergerez rapidement vos journaux de sécurité et ne pourrez plus en extraire les événements importants. Pour des conseils sur ce qu’il convient d’auditer, voir l’article Microsoft « « Best Practices Guide for Securing Active Directory Installations » (http://tinyurl.com/3c928).