Audit & déplacement d'objet

Le
news.microsoft.com
Bonjour a tous,

J'ai un soucis depuis quelques joursUne personne de l'informatique
déplace des OU
Ce qui nous pose qques problèmes

Je souhaite mettre un audit sur cette partieAvez vous des retours a ce
sujet ?
Quelle parties activer dans les GPO des DC ?
Merci,

Polo
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Mathieu CHATEAU
Le #17404331
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Bonjour,

vous devriez mettre en place l'audit des succes sur les controleurs de
domaine.

Avoir les droits d'admins sur un domaine implique une confiance forte
dans les collaborateurs. Le cas contraire, vous devriez retirer les
droits administrateurs du domaine immédiatement aux collaborateurs le
temps d'y voir plus clair.

Cordialement,
Mathieu CHATEAU
french blog: http://www.lotp.fr
english blog: http://lordoftheping.blogspot.com


news.microsoft.com a écrit :
Bonjour a tous,

J'ai un soucis depuis quelques jours...Une personne de l'informatique
déplace des OU...
Ce qui nous pose qques problèmes...

Je souhaite mettre un audit sur cette partie...Avez vous des retours a ce
sujet ?
Quelle parties activer dans les GPO des DC ?
Merci,

Polo




-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.9 (MingW32)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org

iEYEARECAAYFAkjlCQoACgkQR16rF5v5prD9JwCfYi/30fK4M3LCZiAzyk6CDY/9
4wwAn1Nx0cjII1tWbKDc7bJm3rCVYUzI
=t1UO
-----END PGP SIGNATURE-----
Emmanuel Dreux
Le #17439631
Pour compléter la réponse.

Il peut être possible de récupérer quelques informations.

Lancez la commande repadmin du support tools:
repadmin /showmeta "ou=MONOU,DC= mondomain,DC=COM"

Les deux colonnes intéressantes sont originating DC et Org.Time/date qui
indiquent la date de dernière modification de l'objet ainsi que le DC sur
lequel l'opération a été effecté.
En recoupant avec les logs de sécurité, vous pourrez peut-être déterminer
qui était logué à ce moment.

Si la réponse est ... domainadministrator !!!, il vous faudra revoir vos
politiques de sécurité, c'est à dire interdire les comptes génériques, donner
un compte administrateur nominatif à chaque administrateur afin de permettre
la traçabilité.
Egalement revoir qui est administrateur du domaine, en limiter le nombre en
mettant en place une politique de délégation sur certaines OU et en séparant
les taches (admins du domaine vs admins des serveurs vs développeurs etc.).

--
Cordialement,
Emmanuel Dreux
http://www.ilinfo.fr


"Mathieu CHATEAU" a écrit :

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Bonjour,

vous devriez mettre en place l'audit des succes sur les controleurs de
domaine.

Avoir les droits d'admins sur un domaine implique une confiance forte
dans les collaborateurs. Le cas contraire, vous devriez retirer les
droits administrateurs du domaine immédiatement aux collaborateurs le
temps d'y voir plus clair.

Cordialement,
Mathieu CHATEAU
french blog: http://www.lotp.fr
english blog: http://lordoftheping.blogspot.com


news.microsoft.com a écrit :
> Bonjour a tous,
>
> J'ai un soucis depuis quelques jours...Une personne de l'informatique
> déplace des OU...
> Ce qui nous pose qques problèmes...
>
> Je souhaite mettre un audit sur cette partie...Avez vous des retours a ce
> sujet ?
> Quelle parties activer dans les GPO des DC ?
> Merci,
>
> Polo
>
>
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.9 (MingW32)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org

iEYEARECAAYFAkjlCQoACgkQR16rF5v5prD9JwCfYi/30fK4M3LCZiAzyk6CDY/9
4wwAn1Nx0cjII1tWbKDc7bJm3rCVYUzI
=t1UO
-----END PGP SIGNATURE-----



news.microsoft.com
Le #17409701
Ok..je vais tester cela de suite...
Je n'ai pas de crainte qd a l'usage du compte admin qui n'est pas
communiqué...mais plutot des craintes sur des profils d'exploitation ayant
des droits un peu plus restreints... mais quand meme !

"Emmanuel Dreux" message de news:
Pour compléter la réponse.

Il peut être possible de récupérer quelques informations.

Lancez la commande repadmin du support tools:
repadmin /showmeta "ou=MONOU,DC= mondomain,DC=COM"

Les deux colonnes intéressantes sont originating DC et Org.Time/date qui
indiquent la date de dernière modification de l'objet ainsi que le DC sur
lequel l'opération a été effecté.
En recoupant avec les logs de sécurité, vous pourrez peut-être déterminer
qui était logué à ce moment.

Si la réponse est ... domainadministrator !!!, il vous faudra revoir vos
politiques de sécurité, c'est à dire interdire les comptes génériques,
donner
un compte administrateur nominatif à chaque administrateur afin de
permettre
la traçabilité.
Egalement revoir qui est administrateur du domaine, en limiter le nombre
en
mettant en place une politique de délégation sur certaines OU et en
séparant
les taches (admins du domaine vs admins des serveurs vs développeurs
etc.).

--
Cordialement,
Emmanuel Dreux
http://www.ilinfo.fr


"Mathieu CHATEAU" a écrit :

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Bonjour,

vous devriez mettre en place l'audit des succes sur les controleurs de
domaine.

Avoir les droits d'admins sur un domaine implique une confiance forte
dans les collaborateurs. Le cas contraire, vous devriez retirer les
droits administrateurs du domaine immédiatement aux collaborateurs le
temps d'y voir plus clair.

Cordialement,
Mathieu CHATEAU
french blog: http://www.lotp.fr
english blog: http://lordoftheping.blogspot.com


news.microsoft.com a écrit :
> Bonjour a tous,
>
> J'ai un soucis depuis quelques jours...Une personne de l'informatique
> déplace des OU...
> Ce qui nous pose qques problèmes...
>
> Je souhaite mettre un audit sur cette partie...Avez vous des retours a
> ce
> sujet ?
> Quelle parties activer dans les GPO des DC ?
> Merci,
>
> Polo
>
>
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.9 (MingW32)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org

iEYEARECAAYFAkjlCQoACgkQR16rF5v5prD9JwCfYi/30fK4M3LCZiAzyk6CDY/9
4wwAn1Nx0cjII1tWbKDc7bJm3rCVYUzI
=t1UO
-----END PGP SIGNATURE-----





Publicité
Poster une réponse
Anonyme