Académique Documents
Professionnel Documents
Culture Documents
des modifications
importantes de
l'Active Directory
www.netwrix.fr
Table des matières
Introduction 3
Outils d’origine 7
Développement ou achat ? 7
Logiciel tiers 8
La recette du succès 9
À propos de Netwrix 10
2
Introduction
Dans l’infrastructure informatique de l’entreprise, les modifications sont normales. Cet aspect de la vie d’une
entreprise ne saurait être statique pour plusieurs raisons :
Les composants informatiques sont conçus pour être dynamiques, flexibles et capables de
supporter diverses configurations.
La quantité et la diversité des informations est importante. Les entreprises d’aujourd'hui s’appuient
sur l'informatique, en conséquence de nombreuses tches variées n’ayant aucun rapport, dépendent
du cycle de l’information.
Le pourcentage de modifications, bien que varié dans l’ensemble des tâches, est considérable.
Interdépendance des informations. La modification d’un seul composant peut nécessiter une série
de changements dans d’autres éléments. Par exemple, une nouvelle entrée dans la base de
données RH signifie qu’un nouveau compte d’utilisateur Active Directory doit être créé, qu'une boîte
aux lettres Exchange doit être activée pour l’utilisateur et ainsi de suite.
Si on laisse l’information devenir obsolète, le fonctionnement peut être perturbé. Toutefois, pour les mêmes
raisons qu’il ne faut pas laisser le flux d’informations décliner, il ne faut pas laisser de modifications sans
surveillance. Ces aspects de la vie de l’entreprise confiés à l’informatique sont plus faciles à modifier que
les autres structures. Cependant, les conséquences de modifications malveillantes peuvent être aussi
préjudiciables et coteuses à corriger que des dommages physiques. En outre, le personnel informatique
doit se préoccuper de la conformité. Les mesures de conformité avec RGPD, SOX, HIPAA, GLBA et FISMA ne
sont pas dictées par les besoins internes, mais doivent quand même être prises en compte pour le
fonctionnement harmonieux de l’entreprise.
Comment est-il possible de s’assurer que toutes les modifications nécessaires soient appliquées, et que les
effets des modifications non désirées soient réduits au minimum ? Ce livre blanc décrit les approches pour
auditer les modifications, explique comment les données d’audit peuvent être utilisées pour la gestion des
modifications et met l’accent sur l’une des structures d’informations la plus importante dans l’entreprise
aujourd'hui : Active Directory.
3
Modification de l’audit de conformité
L’audit des données doit être conservé pendant un temps très long – jusqu' 7 ans selon certaines
règlementations. L’étendue des données stockées devrait suffire à satisfaire toute demande émanant des
auditeurs et être aussi détaillée que possible. Si un auditeur a besoin de savoir qui a nommé John Smith
administrateur de domaine ou d’afficher l’historique complet de l’appartenance de Jane Thompson à l’unité
d’organisation depuis les cinq dernières années, les données doivent être facilement accessibles pour
analyse. Très important, les données doivent indiquer clairement qui avait lancé la modification
enregistrée. Dans le cas contraire, le préjudice causé par les modifications est de la responsabilité du CIO.
Plus l’audit des données est complet, plus il est certain que le coupable réel sera rendu responsable des
malversations.
Le volume des données d’audit liées au changement est nécessairement important, et n’est pas utile en
totalité pour la gestion des modifications. Dans l’environnement informatique d’une entreprise, les aspects
qui doivent être spécialement surveillés sont principalement les configurations d’identité et de sécurité.
Dans ces zones vitales, toutes les modifications n’ont pas besoin d’être inspectées, surtout quand le
volume des modifications est systématiquement énorme. Toutefois, l’attention peut être dûment guidée
par des critères d’évaluation précis, tels que ceux énumérés ci-dessous.
Cependant, même les changements planifiés doivent être surveillés pour s’assurer qu’ils se produisent
ponctuellement et sans violation de la stratégie.
Un exemple de changement planifié est l’autorisation de délégation, telle que la délégation du droit de
réinitialiser les mots de passe utilisateurs pour aider le personnel du centre d’assistance. Il s’agit d’une
action sensible qui ne devrait jamais rester inaperçue ; il faut s’assurer qu’un niveau approprié
d’autorisations est délégué aux bonnes personnes. De même, il faut toujours enregistrer le déplacement
des comptes d’utilisateurs d’une unité d’organisation à une autre, en fonction des modifications dans la
hiérarchie de l’entreprise. Si cela se fait sans gestion de privilèges appropriés, le compte d’utilisateur peut
récupérer des privilèges excessifs travers la Stratégie de Groupe.
Un changement significatif qui n’est pas typique est très probablement non planifié. Il est fréquent de
désactiver plutt que de supprimer les comptes des anciens employés, au cas o ces comptes devraient être
réactivés plus tard. Si un compte est supprimé, cela peut signaler une violation des politiques.
5
Toutefois, la part des informations utiles dans les pistes de vérification n’est jamais importante. De
nombreux événements sont normalement enregistrés pour des modifications même mineures, et ces
événements devront être mis en corrélation pour savoir ce qui s’est réellement passé. Cela signifie que le
même type d’événement peut figurer parmi le bruit de fond, ou il peut accompagner un changement
crucial, en fonction des autres événements enregistrés au même moment.
Il peut être difficile de dire si oui ou non un changement était intentionnel. Par exemple, une unité
d’organisation peut être supprimée ainsi que tout son contenu. Sans une analyse, il est possible de ne pas
pouvoir déterminer si oui ou non cela a été fait volontairement. Pour analyser le problème et restaurer les
objets supprimés, vous avez besoin d’un enregistrement détaillé de ce qui s’est passé. Prioriser les
modifications vous aide à construire votre stratégie de gestion du changement.
Les modifications à certaines parties de ce système peuvent amener le processus d’ensemble de ses
activités à un statu quo. Les outils que vous utilisez pour la gestion des modifications doivent être en
mesure de faire face à l’énorme quantité de données d’audit qu’il faut trier. Cette section présente les
principales approches utilisées dans la production des environnements informatiques.
6
Outils d’origine
Les outils d’origine basés sur la console MMC de Windows, tels que Event Viewer, Active Directory Users
and Computers, Group Policy Object Editor, Group Policy Management Console et autres, sont une
solution d’entrée de gamme. Ils ont l’avantage de ne nécessiter aucune personnalisation ni un logiciel tiers
mais, même dans une infrastructure de taille moyenne, ils ne sont pas assez puissants pour effectuer une
gestion significative des modifications.
Même avec une stratégie de gestion des modifications bien conçue,les outils d’origine ne peuvent réduire
de manière significative les dommages des modifications malveillantes, en raison de la latence élevée
entre les modifications et leur mise en évidence, et le manque de fonctionnalités des avertissements. Une
modification n’est analysée que lorsqu’elle a déjà causé des conséquences indésirables comme une
interruption du service ou un ralentissement des opérations.
En outre, le processus d’examen manuel est inefficace et fastidieux. Il faut parfois analyser plusieurs
sources apparemment sans rapport entre elles, afin de replacer un événement dans son contexte.
Le temps entre un changement injustifié et ses effets indésirables peut être très court, et l’automatisation
de détection de modification est très importante pour assurer une réponse rapide ; mais si l’administrateur
ne dispose que des outils d’origine, la solution à un problème induit par la modification peut prendre une
semaine ou plus.
Développement ou achat ?
La recherche de méthodes d’automatisation et d’analyse peut conduire une entreprise investir dans un
logiciel interne. La gamme de technologies qui peuvent être employées est large.
PowerShell, .NET Framework et beaucoup d’autres langages de programmation et de script présentent
des contraintes pour Active Directory et les API Windows, qui sont abondamment documentés.
S’abonner aux événements – surveiller les événements que vous anticipez est très efficace pour
autant que vous sachiez quel type d’événement vous devez rechercher.
7
La recherche d’événements – la centralisation de la recherche d’événements pour la rendre plus efficace.
Cette liste peut s’allonger, en fonction des besoins spécifiques d’une organisation. En fait, elle peut se
développer longuement, en raison de l’étendue complète des fonctionnalités disponibles.
L’efficacité du développement interne est déterminée non pas tant par ce qu’il est possible de faire mais par
ce qui peut être fait dans le temps imparti avec les ressources disponibles. Si la société n’est pas spécialiste
du logiciel Active Directory – et la plupart ne le sont pas – alors le temps et les ressources sont
obligatoirement insuffisants pour assurer la tranquillité d’esprit. Même si la solution "maison" est bonne, il
est certain que son développement rencontrera des problèmes :
Soutien – le logiciel produit en interne peut avoir beaucoup d’auteurs, ce qui augmente la difficulté de
prise en charge ; de plus, une telle solution peut évoluer de façon organique et n’est pas susceptible
d’être centralisée.
Test – avec un environnement sensible tel que Active Directory, un nouveau logiciel n’entre pas
normalement en service productif sans subir des tests intensifs, nécessitant beaucoup de temps et
d’expertise.
Les programmes et les scripts internes peuvent être la solution optimale pour certaines entreprises, mais il
s’agit d’un cas rare dans les grands environnements distribués qui doivent accueillir des clients internes et
distants, des systèmes hétérogènes etc. Plus souvent, une alternative plus rentable et de meilleure qualité
est d’acheter des logiciels tiers, spécialement conçus pour la gestion des modifications à Active Directory.
Logiciel tiers
Quand il s’agit de choisir une solution tierce pour l’audit des modifications à des serveurs de fichiers, un large
éventail de logiciels disponibles semble faire l’affaire. La décision finale peut être influencée par plusieurs
facteurs, tels que les suivants :
Rapport qualité/prix
Coût de l’acquisition
8
Lorsque le choix est fait, il est important de se rappeler que les outils seuls ne peuvent résoudre les
problèmes complexes de gestion de l’audit, du suivi et des modifications apportées à Active Directory.
La recette du succès
Pour être efficace dans le suivi des modifications d’Active Directory, il est important d’avoir une stratégie
judicieuse et des outils logiciels qui soient suffisamment souples pour répondre à tous vos besoins, mais
sans perturber votre stratégie. Priorisez les modifications par importance, pertinence et objectif. N’oubliez
pas de différencier les modifications prévues et non prévues. Pour les modifications prévues, assurez-vous
qu’elles sont effectivement réalisées conformément à la planification ; pour les modifications non prévues,
réduisez au maximum le temps de découverte et assurez une réaction rapide si nécessaire.
Pour chaque modification découverte, tous les détails possibles, y compris les valeurs "avant" et "après",
sont présentés. Basé sur les données de ces paramètres,vous pouvez effectuer la restauration des
modifications indésirables. L’application envoie des alertes pratiquement en temps réel par e-mail vous
informant des actions qui pourraient se transformer en incidents de sécurité. La fonction de Recherche
Interactive permet de parcourir les données d’audit et d’analyser les détails dont vous avez besoin pour
toute modification.
9
Plus de 200 rapports prédéfinis avec les possibilités faciles de regroupement, filtrage, et classification
peuvent être exportés dans différents formats ou livrés par courriel avec un abonnement. En outre,
l’application inclut des rapports en ligne avec les normes de conformité telles que RGPD, SOX, HIPAA, PCI
DSS et la conformité FISMA/NIST. Une autre caractéristique essentielle pour le maintien de la
conformité est un archivage à long terme des données d’audit. Pour valider l’efficacité des contrôles
d’accès, détecter tout accès non autorisé et analyser les incidents de sécurité ; Netwrix Auditor pour
Active Directory trace également les ouvertures de session (aussi bien réussies qu’échouées) et les
événements de fermeture de session, et les signale avec les détails qui-quoi-quand-où. Pour en savoir plus
sur Netwrix Auditor pour Active Directory, veuillez découvrire la présentation ou télécharger un essai
gratuit de 20 jours.
À propos de Netwrix
Netwrix est un éditeur de logiciels qui permet aux professionnels de la sécurité et de la gouvernance de
l’information de reprendre le contrôle des données sensibles, réglementées et stratégiques, quel que soit
leur emplacement. Plus de 10 000 organisations du monde entier s’appuient sur les solutions Netwrix pour
sécuriser leurs données sensibles, tirer pleinement parti des contenus d’entreprise, réussir les audits de
conformité en déployant moins d’efforts et en dépensant moins et améliorer la productivité de leurs
équipes informatiques et de leurs travailleurs du savoir. Fondée en 2006, Netwrix a obtenu plus de 150
distinctions sectorielles et a été sélectionnée dans les listes Inc. 5000 et Deloitte Technology Fast 500, qui
recensent les entreprises à la croissance la plus rapide aux États-Unis.
Siège Social:
300 Spectrum Center Drive, Suite 200, Irvine, CA 92618
Téléphone : +33 9 75 18 11 19 Appel Gratuit : 888-638-9749 netwrix.com/social
10