Réaliser un audit de son infrastructure Active Directory.

Dans ce tutoriel, je vais vous présenter les grandes lignes d’un outil pour réaliser un audit active directory, qui est particulièrement efficace. Il s’agit de Netwrix Auditor for Active Directory.
Avant de voir son installation et son utilisation (les bases), je vais vous présenter la .Société Netwrix.

Netwrix Corporation est le fournisseur leader dans le secteur de l’audit des modifications de fichiers et des configurations. Son offre logicielle offre une visibilité complète sur les changements opérés au sein du système d’information d’une entreprise.

L’audit porte à la fois sur les configurations, les systèmes et les données, simplifiant ainsi la mise en conformité, tout en renforçant la sécurité et en facilitant l’analyse des actions réalisées. Fondée en 2006, Netwrix  arrive dans le  Top 100 des Sociétés américaines éditrices de logiciels des classements Inc.5000 et Deloitte Technology Fast 500. La solution Netwrix est utilisée par 160 000 utilisateurs dans le monde.

La suite Netwrix Auditor se décline en plusieurs modules :

Dans ce tutoriel nous étudierons le module pour Active Directory.

La dernière version de Netwrik Auditor 6.5 permet de répondre très simplement à deux questions majeures pour réaliser un audit des modifications :

Installation Netwrix Auditor System.
Avec cette version de logiciel vous pouvez auditer les versions 2003, 2008 et 2012 de votre infrastructure Active Directory.  Pour la partie Cliente il vous faudra Windows 7 avec au minimum 2G de RAM 2Go d’espace disque.

Cliquer sur Install.

Cliquer sur Install. Au bout de quelques minutes le logiciel est installé (Le logiciel n’est fonctionnel que dans un environnement Windows):

Vous arrivez sur l’interface unique du logiciel. Comme vous pouvez le constater l’installation est très simple.

• Création d’un objet d’audit pour votre Active Directory.

Il est nécessaire de créer un objet d’audit, qui contiendra toutes les informations de votre Active Directory par exemple. Pour cela  nous allons utiliser un wizard, disponible en cliquant sur Active Directory (carré vert).

Sélectionner Domain et cliquer sur Next.

Cliquer sur Specify Account et saisissez un utilisateur ayant les droits admin et cliquer sur OK.

Ensuite cliquer sur Next.

Afin d’être averti des changements sur l’AD, vous pouvez indiquer un serveur SMTP ainsi que votre adresse mail. Pour vérifier que l’envoie de mail fonctionne, cliquer sur le bouton Verify. Si vous recevez  un message comme ci-dessous alors l’envoi de mail fonctionne.

 

Ensuite indiquer le nom de domaine à auditer et cliquer sur Next.

Afin de conserver les modifications sur votre AD cocher Automatically install and configure a new instance of SQL Server Express Edition. Une base de données SQL express sera créée afin de stocker les rapports et les modifications. Cliquer sur Next.

Sélectionner Install and configure a SQL Server instance. Cliquer sur Next.

Cliquer sur Download Microsoft SQL Server 2012 Express Edition puis cliquer sur Next.

Une fois le téléchargement effectué, l’installation et le paramétrage de la base SQL Server peut débuter.

Laisser les renseignements par défaut, puis cliquer sur Next. Une nouvelle base a été créée pour stocker les informations d’audit.

Si vous avez une architecture déportée (c’est-à-dire des sites extérieurs), vous devez cocher Use Lightweight Agents ce qui améliorera la rapidité de collecte des informations dans l’active directory. Par contre un agent sera installé sur vos serveurs pour récolter et compresser les données avant l’envoi. Cliquer sur Next.

Laisser les paramètres par défaut et cliquer sur Next.

Ajouter maintenant une adresse mail de destination pour recevoir les rapports en cliquant sur Add.

Vous pouvez configurer des alertes en temps réels qui vous serons envoyés sur votre mail. Si vous avez une grosse architecture, je vous déconseille de cocher Changes to Any Active Directory sous la peine de saturer votre boite aux lettres.

Génération de rapports d’audit.

Quand vous créer un nouvel objet, il faut débuter par une analyse (= collecte de données). La première analyse rassemble des informations sur la configuration actuelle. Cette analyse sert de données de référence pour vérifier les futurs changements.

Vous pouvez bien sûr lancer manuellement une analyse en allant dans Managed Objects -> Your_Object_Name et cliquer sur Run.

Une fois que vous avez reçu le mail comme quoi la collecte est finie vous pouvez effectuer un changement dans votre AD, par exemple rajouter votre login dans le groupe administrateur et relancer une analyse.

Par défaut une analyse automatique des modifications de votre AD est prévue à 3h00 du matin. Vous recevrez alors un mail avec tous les changements effectués depuis.

Voyons à quoi servent toutes les colonnes.

Le dashboard de Netwrix.

Le tableau de bord (=dashboard) donne une idée des modifications et des accès au contenu de votre Active Directory. Cela représente une mine d’information et de traçabilité pour vous.

 

Vous avez différents types de vues dans la vue Entreprise Overview, une vue générale des modifications et accès sur votre architecture.

Mais aussi  une vue plus détaillée, par exemple si vous voulez connaitre la liste des utilisateurs supprimés au mois de décembre ?

Pour cela il suffit d’aller sur votre Managed Object -> Nom_Objet -> Active Directory -> Reports -> AD Change Tracking -> User Accounts ->  Delete Users Accounts.

Sélectionner votre intervalle de date et cliquer sur View report, pour voir le rapport ci-dessous :

 

Comme vous pourrez le constater, il existe de nombreux rapports qui vous aideront  dans l’audit de votre  système Active Directory de votre entreprise. Ce logiciel vous aidera à garder un œil sur les modifications sur les  éléments essentiels de votre SI.

Source: http://netwrix.fr

That’s All.