Audit

des modifications
importantes de
l'Active Directory

www.netwrix.fr
Table des matières
Introduction 3

Modification de l’audit de conformité 4

Comment l’audit des modifications influe sur la gestion des modifications 4

Exemple concret : modifications d’Active Directory 6

Outils d’origine 7

Développement ou achat ? 7

Logiciel tiers 8

La recette du succès 9

Le choix intelligent : Netwrix Auditor for Active Directory 9

À propos de Netwrix 10

2
Introduction
Dans l’infrastructure informatique de l’entreprise, les modifications sont normales. Cet aspect de la vie d’une
entreprise ne saurait être statique pour plusieurs raisons :

Les composants informatiques sont conçus pour être dynamiques, flexibles et capables de
supporter diverses configurations.

La quantité et la diversité des informations est importante. Les entreprises d’aujourd'hui s’appuient
sur l'informatique, en conséquence de nombreuses tches variées n’ayant aucun rapport, dépendent
du cycle de l’information.

Le pourcentage de modifications, bien que varié dans l’ensemble des tâches, est considérable.

Interdépendance des informations. La modification d’un seul composant peut nécessiter une série
de changements dans d’autres éléments. Par exemple, une nouvelle entrée dans la base de
données RH signifie qu’un nouveau compte d’utilisateur Active Directory doit être créé, qu'une boîte
aux lettres Exchange doit être activée pour l’utilisateur et ainsi de suite.

Si on laisse l’information devenir obsolète, le fonctionnement peut être perturbé. Toutefois, pour les mêmes
raisons qu’il ne faut pas laisser le flux d’informations décliner, il ne faut pas laisser de modifications sans
surveillance. Ces aspects de la vie de l’entreprise confiés à l’informatique sont plus faciles à modifier que
les autres structures. Cependant, les conséquences de modifications malveillantes peuvent être aussi
préjudiciables et coteuses à corriger que des dommages physiques. En outre, le personnel informatique
doit se préoccuper de la conformité. Les mesures de conformité avec RGPD, SOX, HIPAA, GLBA et FISMA ne
sont pas dictées par les besoins internes, mais doivent quand même être prises en compte pour le
fonctionnement harmonieux de l’entreprise.

Comment est-il possible de s’assurer que toutes les modifications nécessaires soient appliquées, et que les
effets des modifications non désirées soient réduits au minimum ? Ce livre blanc décrit les approches pour
auditer les modifications, explique comment les données d’audit peuvent être utilisées pour la gestion des
modifications et met l’accent sur l’une des structures d’informations la plus importante dans l’entreprise
aujourd'hui : Active Directory.

3
Modification de l’audit de conformité
L’audit des données doit être conservé pendant un temps très long – jusqu' 7 ans selon certaines
règlementations. L’étendue des données stockées devrait suffire à satisfaire toute demande émanant des
auditeurs et être aussi détaillée que possible. Si un auditeur a besoin de savoir qui a nommé John Smith
administrateur de domaine ou d’afficher l’historique complet de l’appartenance de Jane Thompson à l’unité
d’organisation depuis les cinq dernières années, les données doivent être facilement accessibles pour
analyse. Très important, les données doivent indiquer clairement qui avait lancé la modification
enregistrée. Dans le cas contraire, le préjudice causé par les modifications est de la responsabilité du CIO.
Plus l’audit des données est complet, plus il est certain que le coupable réel sera rendu responsable des
malversations.

Comment l’audit des modifications influe

sur la gestion des modifications
La gestion des modifications est un processus continu pour décider quels types des modifications
apportées à l’infrastructure informatique doivent et ne doivent pas survenir, quelles modifications vous
voulez surveiller, et ce que vous devez faire à propos des modifications que vous découvrez. Ce processus
est impossible sans un ensemble complet des données d’audit présentées par les conclusions de l’audit.

Le volume des données d’audit liées au changement est nécessairement important, et n’est pas utile en
totalité pour la gestion des modifications. Dans l’environnement informatique d’une entreprise, les aspects
qui doivent être spécialement surveillés sont principalement les configurations d’identité et de sécurité.

Dans ces zones vitales, toutes les modifications n’ont pas besoin d’être inspectées, surtout quand le
volume des modifications est systématiquement énorme. Toutefois, l’attention peut être dûment guidée
par des critères d’évaluation précis, tels que ceux énumérés ci-dessous.

Critique par opposition sans conséquence

Sur l’échelle de priorité, les modifications varient selon les conséquences qu’elles provoquent. De toute
évidence, la suppression d’un groupe non vide légitime est un problème plus grave que la modification
d’une description du groupe. Un changement encore plus critique est l’ajout d’un compte d’utilisateur non
autorisé au groupe d’Administrateurs du domaine – il s’agit d’une violation flagrante de la sécurité.
4
Le temps de réponse pour les modifications critiques devrait être aussi court que possible, et elles doivent
être constamment surveillées. Beaucoup de ces types de modifications sont bien connus et faciles à
suivre ; cela permet de réduire le nombre de modifications essentielles qui requièrent une attention
particulière.

Prévues opposées imprévues

Les modifications non planifiées sont un problème. Tout d’abord, elles sont la cause principale des
pannes. Deuximement, si ces événements sont fréquents et ne sont pas évités, ils peuvent être la raison
pour laquelle un audit de sécurité a échoué. Ces changements doivent être surveillés.

Cependant, même les changements planifiés doivent être surveillés pour s’assurer qu’ils se produisent
ponctuellement et sans violation de la stratégie.

Un exemple de changement planifié est l’autorisation de délégation, telle que la délégation du droit de
réinitialiser les mots de passe utilisateurs pour aider le personnel du centre d’assistance. Il s’agit d’une
action sensible qui ne devrait jamais rester inaperçue ; il faut s’assurer qu’un niveau approprié
d’autorisations est délégué aux bonnes personnes. De même, il faut toujours enregistrer le déplacement
des comptes d’utilisateurs d’une unité d’organisation à une autre, en fonction des modifications dans la
hiérarchie de l’entreprise. Si cela se fait sans gestion de privilèges appropriés, le compte d’utilisateur peut
récupérer des privilèges excessifs travers la Stratégie de Groupe.

Un changement significatif qui n’est pas typique est très probablement non planifié. Il est fréquent de
désactiver plutt que de supprimer les comptes des anciens employés, au cas o ces comptes devraient être
réactivés plus tard. Si un compte est supprimé, cela peut signaler une violation des politiques.

Bruit opposé au signal

Les traces d’audit contiennent un pourcentage d’événements qui indiquent sans ambiguté les changements
importants. Ces événements sont faciles à repérer. Par exemple, l’ajout d’un contrôleur de domaine est
un événement extrêmement important qui doit être examiné immédiatement. L’ajout d’un
contrôleur de domaine "dévoyé" par une personne non autorisée peut avoir des conséquences graves.

5
Toutefois, la part des informations utiles dans les pistes de vérification n’est jamais importante. De
nombreux événements sont normalement enregistrés pour des modifications même mineures, et ces
événements devront être mis en corrélation pour savoir ce qui s’est réellement passé. Cela signifie que le
même type d’événement peut figurer parmi le bruit de fond, ou il peut accompagner un changement
crucial, en fonction des autres événements enregistrés au même moment.

Accident contre malveillance

Des changements néfastes ne sont pas toujours mal intentionnés. Ils peuvent être le résultat d’erreurs ou
d’une administration irresponsable, surtout quand il n’y a aucune tentative évidente de brouiller les pistes
après de tels modifications. Les changements involontaires de ce type sont souvent réversibles.

Il peut être difficile de dire si oui ou non un changement était intentionnel. Par exemple, une unité
d’organisation peut être supprimée ainsi que tout son contenu. Sans une analyse, il est possible de ne pas
pouvoir déterminer si oui ou non cela a été fait volontairement. Pour analyser le problème et restaurer les
objets supprimés, vous avez besoin d’un enregistrement détaillé de ce qui s’est passé. Prioriser les
modifications vous aide à construire votre stratégie de gestion du changement.

Exemple concret : modifications d’Active

Directory
Active Directory est le volet essentiel de l’environnement informatique de l’entreprise d’aujourd'hui. Avec
Windows comme la plateforme d’entreprise dominante, Active Directory est crucial pour l’identité, la sécurité
et la gestion des opérations et de la configuration.

Les modifications à certaines parties de ce système peuvent amener le processus d’ensemble de ses
activités à un statu quo. Les outils que vous utilisez pour la gestion des modifications doivent être en
mesure de faire face à l’énorme quantité de données d’audit qu’il faut trier. Cette section présente les
principales approches utilisées dans la production des environnements informatiques.

6
Outils d’origine
Les outils d’origine basés sur la console MMC de Windows, tels que Event Viewer, Active Directory Users
and Computers, Group Policy Object Editor, Group Policy Management Console et autres, sont une
solution d’entrée de gamme. Ils ont l’avantage de ne nécessiter aucune personnalisation ni un logiciel tiers
mais, même dans une infrastructure de taille moyenne, ils ne sont pas assez puissants pour effectuer une
gestion significative des modifications.

Même avec une stratégie de gestion des modifications bien conçue,les outils d’origine ne peuvent réduire
de manière significative les dommages des modifications malveillantes, en raison de la latence élevée
entre les modifications et leur mise en évidence, et le manque de fonctionnalités des avertissements. Une
modification n’est analysée que lorsqu’elle a déjà causé des conséquences indésirables comme une
interruption du service ou un ralentissement des opérations.

En outre, le processus d’examen manuel est inefficace et fastidieux. Il faut parfois analyser plusieurs
sources apparemment sans rapport entre elles, afin de replacer un événement dans son contexte.

Le temps entre un changement injustifié et ses effets indésirables peut être très court, et l’automatisation
de détection de modification est très importante pour assurer une réponse rapide ; mais si l’administrateur
ne dispose que des outils d’origine, la solution à un problème induit par la modification peut prendre une
semaine ou plus.

Développement ou achat ?
La recherche de méthodes d’automatisation et d’analyse peut conduire une entreprise investir dans un
logiciel interne. La gamme de technologies qui peuvent être employées est large.
PowerShell, .NET Framework et beaucoup d’autres langages de programmation et de script présentent
des contraintes pour Active Directory et les API Windows, qui sont abondamment documentés.

Les tâches suivantes sont bien adaptées pour être automatisées :

S’abonner aux événements – surveiller les événements que vous anticipez est très efficace pour
autant que vous sachiez quel type d’événement vous devez rechercher.

La tenue de journaux d’évènements – la sauvegarde, l’archivage et le nettoyage des journaux pour la

continuité de la conformité et de l’audit.

7
 La recherche d’événements – la centralisation de la recherche d’événements pour la rendre plus efficace.

Cette liste peut s’allonger, en fonction des besoins spécifiques d’une organisation. En fait, elle peut se
développer longuement, en raison de l’étendue complète des fonctionnalités disponibles.

L’efficacité du développement interne est déterminée non pas tant par ce qu’il est possible de faire mais par
ce qui peut être fait dans le temps imparti avec les ressources disponibles. Si la société n’est pas spécialiste
du logiciel Active Directory – et la plupart ne le sont pas – alors le temps et les ressources sont
obligatoirement insuffisants pour assurer la tranquillité d’esprit. Même si la solution "maison" est bonne, il
est certain que son développement rencontrera des problèmes :

Soutien – le logiciel produit en interne peut avoir beaucoup d’auteurs, ce qui augmente la difficulté de
prise en charge ; de plus, une telle solution peut évoluer de façon organique et n’est pas susceptible
d’être centralisée.

Test – avec un environnement sensible tel que Active Directory, un nouveau logiciel n’entre pas
normalement en service productif sans subir des tests intensifs, nécessitant beaucoup de temps et
d’expertise.

Les programmes et les scripts internes peuvent être la solution optimale pour certaines entreprises, mais il
s’agit d’un cas rare dans les grands environnements distribués qui doivent accueillir des clients internes et
distants, des systèmes hétérogènes etc. Plus souvent, une alternative plus rentable et de meilleure qualité
est d’acheter des logiciels tiers, spécialement conçus pour la gestion des modifications à Active Directory.

Logiciel tiers
Quand il s’agit de choisir une solution tierce pour l’audit des modifications à des serveurs de fichiers, un large
éventail de logiciels disponibles semble faire l’affaire. La décision finale peut être influencée par plusieurs
facteurs, tels que les suivants :

Transparence de l’information sur les capacités du programme

Rapport qualité/prix

Coût de l’acquisition

8
Lorsque le choix est fait, il est important de se rappeler que les outils seuls ne peuvent résoudre les
problèmes complexes de gestion de l’audit, du suivi et des modifications apportées à Active Directory.

La recette du succès
Pour être efficace dans le suivi des modifications d’Active Directory, il est important d’avoir une stratégie
judicieuse et des outils logiciels qui soient suffisamment souples pour répondre à tous vos besoins, mais
sans perturber votre stratégie. Priorisez les modifications par importance, pertinence et objectif. N’oubliez
pas de différencier les modifications prévues et non prévues. Pour les modifications prévues, assurez-vous
qu’elles sont effectivement réalisées conformément à la planification ; pour les modifications non prévues,
réduisez au maximum le temps de découverte et assurez une réaction rapide si nécessaire.

Le choix intelligent : Netwrix Auditor for

Active Directory
Netwrix Auditor for Active Directory intègre la connaissance et la compréhension des besoins du
personnel qui audite les modifications dans Active Directory. C’est une solution économique offrant une
fonctionnalité compétitive pour un prix modique. Netwrix Auditor met en place l’information des
modifications dans Active Directory et Group Policy directement à portée de l’administrateur, sans besoin
de l’extraire par des méthodes redondantes.

Pour chaque modification découverte, tous les détails possibles, y compris les valeurs "avant" et "après",
sont présentés. Basé sur les données de ces paramètres,vous pouvez effectuer la restauration des
modifications indésirables. L’application envoie des alertes pratiquement en temps réel par e-mail vous
informant des actions qui pourraient se transformer en incidents de sécurité. La fonction de Recherche
Interactive permet de parcourir les données d’audit et d’analyser les détails dont vous avez besoin pour
toute modification.

9
Plus de 200 rapports prédéfinis avec les possibilités faciles de regroupement, filtrage, et classification
peuvent être exportés dans différents formats ou livrés par courriel avec un abonnement. En outre,
l’application inclut des rapports en ligne avec les normes de conformité telles que RGPD, SOX, HIPAA, PCI
DSS et la conformité FISMA/NIST. Une autre caractéristique essentielle pour le maintien de la
conformité est un archivage à long terme des données d’audit. Pour valider l’efficacité des contrôles
d’accès, détecter tout accès non autorisé et analyser les incidents de sécurité ; Netwrix Auditor pour
Active Directory trace également les ouvertures de session (aussi bien réussies qu’échouées) et les
événements de fermeture de session, et les signale avec les détails qui-quoi-quand-où. Pour en savoir plus
sur Netwrix Auditor pour Active Directory, veuillez découvrire la présentation ou télécharger un essai
gratuit de 20 jours.

À propos de Netwrix
Netwrix est un éditeur de logiciels qui permet aux professionnels de la sécurité et de la gouvernance de
l’information de reprendre le contrôle des données sensibles, réglementées et stratégiques, quel que soit
leur emplacement. Plus de 10 000 organisations du monde entier s’appuient sur les solutions Netwrix pour
sécuriser leurs données sensibles, tirer pleinement parti des contenus d’entreprise, réussir les audits de
conformité en déployant moins d’efforts et en dépensant moins et améliorer la productivité de leurs
équipes informatiques et de leurs travailleurs du savoir. Fondée en 2006, Netwrix a obtenu plus de 150
distinctions sectorielles et a été sélectionnée dans les listes Inc. 5000 et Deloitte Technology Fast 500, qui
recensent les entreprises à la croissance la plus rapide aux États-Unis.

Pour plus d’informations, visitez www.netwrix.fr

Siège Social:
300 Spectrum Center Drive, Suite 200, Irvine, CA 92618
Téléphone : +33 9 75 18 11 19 Appel Gratuit : 888-638-9749 netwrix.com/social

10