Audit Sécurité V.1.0 - Msreport – Guillaume MATHIEU – Architecte
Contents
1. Cela permettra de prouver que le compte utilisateur est toujours utilis et ne doit donc pas tre d sactiv sans raison Ces informations seront renseign es en dur dans le script Guillaume MATHIEU cr le 10 07 2007 17 29 00 Page 5 sur 9 Msreport La connaissance s accro t quand on la partage 2 Etape 2 lister les utilisateurs membres des groupes auditer et r cup rer les informations sur les comptes utilisateurs nom date de dernier login statut Le script interrogera le premier contr leur de domaine 2003 Il permettra de cr er une matrice tableau 2 dimensions qui stockera les informations de chaque compte utilisateur Les informations contenues dans cette matrice seront alors compl te mis part pour la date de dernier logon 3 Etape 3 mise jour de la date de dernier login S1 la date de dernier login d un compte dans la matrice tableau de r sultat est inexistante ou ant rieure la date limite le script se connectera aux autres contr leurs de domaine selon un ordre d finis l tape 1 pour essayer de mettre jour cette information Le script s arr tera d s qu une date de dernier login plus r cente que la date limite aura t trouv sur un autre contr leur de domaine 4 Etape 4 le script affichera le tableau sous forme de fichier CSV Le script affichera la matrice sous forme d un fichier au format CSV Guillaume MATHIEU cr le 10 07 2007 17 29 00 Page 6 sur2. 9 Msreport La connaissance s accro t quand on la partage IV Mode d emploi du script A Etape 1 D claration de la dimension du tableau de r sultat Chaque compte utilisateur list comme appartenant au moins 1 des 4 groupes que l on audite va tre r f rencer dans une matrice appel e Resu C est cette matrice que l on affichera dans la phase 4 du script La premi re dimension permet de diff rencier les comptes utilisateurs La seconde dimension permet d acc der aux propri t s de chaque compte utilisateur Si vous pensez que vous disposez d environ 1000 comptes d clarer la matrice ainsi Resu 1500 15 On a ainsi une marge d environ 500 comptes utilisateurs avant de saturer le tableau B Etape 2 D clarer les contr leurs de domaine auditer Il faut d clarer ensuite tous les contr leurs de domaine sur lequel on va effectuer une analyse Il est judicieux de mettre comme premier contr leur de domaine de la liste un serveur utilis par le personnel informatique Attention le script est pr vu pour commencer l analyse sur les contr leuses de domaine 2003 Une fois que l analyse a t effectu e sur les DC 2003 il est possible de lancer l analyse sur les BDC NT4 Il est n cessaire de mettre jour les variables suivantes nbdc2003 indique le nombre de DC 2003 analyser Si vos avez d clarer 2 contr leurs de domaine nbdc2003 est gale 2 Nbbdc indique le nombre d
3. R aliser un audit des comptes utilisateurs avec des droits administratifs dans un domaine Active Directory en mode mixte Historique des modifications Origine mise jour R dig par 10 07 07 Version initiale Guillaume MATHIEU Guillaume MATHIEU cr le 10 07 2007 17 29 00 Page 1 sur 9 Msreport La connaissance s accro t quand on la partage LE INTRODUCTION smsnnsneneneonenennenesnenneneenennenesnennenesnenenesnennenesnennenesnennenesnenneneeneneeneneneeseonenenesee 3 A OBJECTIF DE CE DOSSIER 5eme Meter ndnetete ren E ne end dure ind tort 3 B ARCHITECTURE DE TEST a ton tendent trd t l eee teen en etre int done dev ni ide teen 3 C OU TELECHARGER CE DOCUMENT ET LE SCRIPT ASSOCIE essence eeecerrnnseeseeserenneess 3 IL OBJECTIFS DU SCRIPT 5 ne en desc sssnessasedss tennnn anna de se o soosse nai sense teens d ant es de 4 MI ANALYSE DU FONCTIONNEMENT DU SCRIPT ssssssssssenssssensesseeneesseencesesseeneeseece 5 A QUELQUES PRECISIONS SUR LES ATTRIBUTS LASTLOGON ET LASTLOGON TIMESTAMP DE L ANNUAIRE POUR UN OBJET COMPTE UTILISATEUR uses eeserseenseeeesssneeesseeeeenseeeeeensnneenseeeeenseeeeeeeneenees 5 B LES DIFFERENTES PHASES DU SCRIPT ie iii ceccscerrenseececeesenreneee seen 5 1 Etape l tablir la liste des contr leurs de domaine nsnooneeeeeeseeeseeeeseeeerrreresrsrrerrsrrerererereee 5 2 Etape 2 lister les utilisateurs membres des groupes auditer et r cup rer les informations sur
4. e BDC NT4 Si vous ne souhaitez faire l analyse que sur des DC 2003 e bdc 0 e Supprimer le code de l tape 3 2 code entre les commentaires Si vous souhaitez faire l analyse que sur des BDC NT4 e dc2003 0 e Supprimer le code de l tape 3 1 code entre les commentaires C Etape 3 D finir le s parateur pour le fichier de sortie Le script est configur par d faut pour utiliser le comme s parateur Si votre tableur utilise la virgule comme caract re de s paration modifier la valeur de la variable separateur_csv D Etape 4 d finir la date limite Pour cela changer la date de la variable A Conserver le format de cette variable E Etape 5 d finir le chemin LDAP des comptes auditer Il est n cessaire d indiquer le chemin LDAP des groupes auditer Le script est configur pour auditer 4 groupes Si vous souhaitez ajouter un cinqui me groupe auditer copier la partie 2 2 du script La deuxi me dimension de la matrice Resu servant stocker les propri t s du compte vous pouvez d finir une nouvelle propri t Attention les propri t s num rot es 1 10 sont d j prises Dans la partie 4 modifier la sortie pour qu il ajoute une colonne dans le fichier de sortie Guillaume MATHIEU cr le 10 07 2007 17 29 00 Page 7 sur 9 Msreport La connaissance s accro t quand on la partage F Etape 6 ex cution du script Ce script toi tre ex cut s
5. ent l arr t des requ tes Il est donc peu probable que ce script croule le r seau malgr le nombre important de requ te sur les contr leurs de domaine Il faudra v rifier que les BDC NT4 peuvent tre r solus depuis le serveur qui ex cutera le script En effet si le serveur n est pas en ligne ou ne peut pas tre r solu on a un timeout de 20 secondes pour chaque requ te Comme nous sommes en mode mixte le groupe Admins du domaine ne peut contenir que des utilisateurs et pas d autres groupes Ce n est pas le cas des groupes Builtin qui peuvent contenir d autres groupes comme Builtin Administrateurs Le groupe Admins du domaine appara tra entre autre donc dans le fichier r sultat et sera ignorer Cela n entra ne pas de probl me au niveau du script Guillaume MATHIEU cr le 10 07 2007 17 29 00 Page 8 sur 9 Msreport La connaissance s accro t quand on la partage Dans certains cas il sera n cessaire de collecter des informations aupr s du personnel informatique Il est conseill ensuite de mettre jour le champ Description du compte utilisateur en question Guillaume MATHIEU cr le 10 07 2007 17 29 00 Page 9 sur 9 Msreport La connaissance s accro t quand on la partage
6. les comptes utilisateurs nom date de dernier login statut sense 6 3 Etape 3 mise jour de la date de dernier login ss 6 4 Etape 4 le script affichera le tableau sous forme de fichier CSV 6 IV MODE D EMPLOI DU SCRIPT 2ssssisseniensmnsssnentensssennennnertnsnnieseiinsentese tes ententes toesas soss 7 A ETAPE 1 DECLARATION DE LA DIMENSION DU TABLEAU DE RESULTAT suisses 7 B ETAPE 2 DECLARER LES CONTROLEURS DE DOMAINE A AUDITER suisse eeereensseseeseeeerennnnee 7 C ETAPE 3 DEFINIR LE SEPARATEUR POUR LE FICHIER DE SORTIE seins 7 D ETAPE4 DEFINIRLA DATE LIMITE aea a a a MR ER ae a ST AR Sn e aa ea 7 E ETAPE 5 DEFINIR LE CHEMIN LDAP DES COMPTES A AUDITER suisses seen seen T F ETAPE 6 EXECUTION DU SCRIPT E E E E EEE E E ARR E A A E 8 G ETAPE 7 TRAITEMENT DU FICHIER DE SORTIE serres ceccsccereensceceesenennsee seen 8 H TESTS DU SCRIPTET RESULTAT mensie a e a S ne Rae le E NRS 8 1 Larchitecturedetesty innne a aaa aea aa aaa ns SE 8 2 VLAE EPEE E E PEE E ETE S E E S E E N E E E SETE E N E E E E 8 3 Interpr tation des r sultats sara te ere inner este die ea nr teens 8 Guillaume MATHIEU cr le 10 07 2007 17 29 00 Page 2 sur 9 Msreport La connaissance s accro t quand on la partage l Introduction A Objectif de ce dossier Le principal objectif de ce document est de vous pr senter une solution cl en main que j ai d ploy chez un de mes clients pour auditer les comptes utilisate
7. lus d informations voir http www microsoft com technet prodtechnol windowsserver2003 fr library ServerH elp 91a98c38 38c5 49dc 83bf e69d8e1dbbfa mspx mfr true Comme nous sommes en mode natif nous allons donc utiliser l attribut lastLogon ce qui nous obligera ventuellement interroger les autres contr leurs de domaine B Les diff rentes phases du script Le script va nous permettre de r cup rer automatiquement la liste des comptes utilisateurs membres des groupes Admins du domaine Built in Op rateurs de Compte Built in Op rateurs de sauvegardes et Built in Administrateurs Pour chaque compte utilisateur nous allons ensuite r cup rer les informations suivantes e Login du compte utilisateur e Description du compte utilisateur e Date de dernier login du compte e Etat du compte activ ou non e Chemin LDAP du compte Ce script se d coupe en 4 tapes 1 Etape 1 tablir la liste des contr leurs de domaine Avant ex cuter le script il est n cessaire d tablir la liste des contr leurs de domaine 2003 et des BDC NTA4 Il est important de placer en t te de liste les contr leurs de domaine sur lesquels les comptes utilisateurs avec privil ges sont cens s s tre logu s En effet l analyse de la date de dernier login s arr tera d s que le script aura identifi un contr leur de domaine avec lequel le compte utilisateur a ouvert une session depuis moins de 60 jours
8. ur un serveur 2003 de pr f rence le premier contr leur de domaine de la liste des DC 2003 Aller dans le menu d marrer et cliquer sur Ex cuter Taper cmd et cliquer sur Ok Taper cscript le chemin du script et rediriger la sortie vers un fichier au format csv G Etape 7 Traitement du fichier de sortie Ouvrir le fichier csv avec Excel Pour faciliter l analyse vous pouvez activer les filtres Pour cela dans Excel 2003 aller dans le menu Donn es Filtrer Activer les filtres Vous pouvez aussi mettre en place des codes de couleur l aide des formats conditionnels Pour cela dans Excel 2003 s lectionner la colonne et aller menu Format Mise en forme conditionnelle H Tests du script et r sultat 1 L architecture de tests Domaine irs com 2 contr leurs de domaine 2003 e Dca irs com e Dcb irs com 2 BDC NTA4 e bdcl irs com e bdc2 irs com 2 R sultats Il faut environ 10 minutes pour ex cuter le script sur cette architecture de tests Le processeur est environ 50 de charge pour le processus cscript La phase 2 prend environ 30 secondes Ce sont les requ tes sur les autres DC qui prennent du temps La bande passante utilis e est environ 2 sur un r seau 100 M gabit 3 Interpr tation des r sultats Pour des raisons de performance privil gier l ex cution de ce script en soir e L arr t de ce script via CTRL C va entra ner automatiquem
9. urs membres des groupes suivants e Builtin Administrateurs e Builtin Op rateurs de Compte e Builtin Op rateurs de Sauvegarde e Admins du domaine Le but dans un premier temps est de d terminer quel est le r le de chaque compte et s il est toujours utilis Ces informations doivent tre consolid dans un fichier Excel et le tout automatiquement criture d un script au format vbscript B Architecture de test Nous nous baserons dans ce dossier sur l architecture suivante e Un domaine Active Directory en mode mixte e 15 contr leurs de domaine dont 5 contr leurs de domaine Windows 2003 Server et 10 BDC NT4 sp6 C O t l charger ce document et le script associ Ce document peut tre t l charger au format PDF l adresse suivante http msreport free fr articles audit_securite pdf Le script peut tre t l charger l adresse suivante http msreport free fr articles audit_securite vbs Guillaume MATHIEU cr le 10 07 2007 17 29 00 Page 3 sur 9 Msreport La connaissance s accro t quand on la partage Il Objectifs du script Le script a pour but de e Lister les utilisateurs qui sont membres des groupes Admins du domaine Built in Administrateurs Built In Op rateurs de sauvegardes Built in Op rateurs de Compte e Comprendre quoi servent les comptes utilisateurs qui sont membres de ces groupes e D terminer quels sont les comptes utilisate
10. urs qui ne se sont pas logu s depuis 60 jours ou autre date limite e D terminer quels sont les comptes qui sont d j d sactiv s e Consolider ces informations dans un fichier Excel g n ration automatique Guillaume MATHIEU cr le 10 07 2007 17 29 00 Page 4 sur 9 Msreport La connaissance s accro t quand on la partage I Analyse du fonctionnement du script A Quelques pr cisions sur les attributs lastLogon et lastLogon Timestamp de l annuaire pour un objet compte utilisateur Il existe 2 attributs pour un objet compte utilisateur qui permettent de d terminer quand un utilisateur s est connect un domaine Active Directory pour la derni re fois e L attribut lastLogon il contient la date de dernier login sur un contr leur de domaine particulier Cet attribut n tant pas r pliqu sur tous les contr leurs de domaine 1l est n cessaire d interroger tous les contr leurs de domaine pour conna tre la date de dernier login d un compte utilisateur Cette date est en fait un compteur qui s incr mente de 1 toutes les 100 nanosecondes et qui prend comme date de d part le O1 janvier 1601 00h00 e L attribut lastLogonTimestamp il est sur le m me principe que l attribut lastLogon sauf qu il est r pliqu sur tous les contr leurs de domaine une fois tous les 14 jours Pour b n ficier de cet attribut il faut tre en mode de domaine Fonctionnalit 2003 natif 2003 Pour p
Download Pdf Manuals
Related Search