Audit
UserLock est capable d'auditer et de notifier les événemets de session dans ses différentes alertes adressées aux utilisateurs ou aux opérateurs UserLock.
UserLock détecte et audite toutes les connexions une fois que les agents ont été déployés et configurés sur les machines.
Il n'est pas nécessaire de créer une stratégie d'accès pour auditer les connexions utilisateur. : l'audit démarre dès l'installation de l'agent. L'ensemble de l'activité des sessions utilisateur sur les machines protégées est alors sauvegardé au sein de la base de données UserLock.
La console UserLock affiche un instantané en temps réel de l'activité des sessions utilisateur sur le réseau surveillé par UserLock.
Lors d’un événement de connexion d’un utilisateur du domaine sur le réseau, l’agent UserLock transmet au serveur un ensemble de données. Cet ensemble regroupe les informations relatives à :
L’événement de connexion : connexion, reconnexion, déconnexion, fermeture de la connexion, verrouillage, déverrouillage,
Le type de connexion demandé : Station, Terminal Wi-Fi, VPN, IIS,
L’utilisateur : domaine, nom d’utilisateur,
La source : nom de machine ou de périphérique, adresse IP.
Ces informations sont récupérées par l’agent lui-même au moment de l’événement de connexion soumis par l’utilisateur et transmises de manière chiffrée au serveur UserLock qui détermine alors l’heure de l’événement de connexion et sauvegarde le tout dans sa base de données. Ainsi, l’ensemble des informations de connexions utilisateur communiquées par les systèmes hôtes de l’agent se retrouvent centralisées.
Les informations communiquées par les agents sont centralisées dans une base de données. Elles peuvent être utilisées pour générer des rapports prédéfinis directement à partir de la console ou via des rapports planifiés.
La base de données est en libre accès afin de permettre aux administrateurs l’utilisation d’outils tiers d’analyse exploitant directement les enregistrements de la base de données.
UserLock est capable d'auditer et de notifier les connexions refusées par Active Directory dans ses différentes alertes adressées aux utilisateurs ou aux opérateurs UserLock.
Cette fonctionnalité nécessite :
La présence de l'agent Station UserLock sur les machines du réseau,
La présence de l'agent IIS UserLock sur le serveur IIS pour les connexions refusées dans la cadre d'une Authentification Windows configurée sur le serveur IIS,
L'activation de la stratégie d'audit Microsoft Auditer les évènements de connexion pour les Échecs sur les machines où l'agent UserLock est installé. Cette opération peut être effectuée à l'aide des Stratégies de groupes Microsoft avec le paramètre Paramètres de sécurité/Stratégies locales/Stratégie d'audit/Auditer les événements de connexion.
Ces évènements de refus d'ouverture de session seront insérés dans la base de données UserLock et pourront être exploités à l'aide des rapports prédéfinis.
UserLock obtient des connexions refusées par Windows uniquement pour les noms d'utilisateur existants. Si une connexion est tentée avec un nom d'utilisateur invalide, UserLock n'enregistrera pas cette tentative dans sa base de données.
Les connexions refusées par Active Directory ne peuvent pas être détectées pour les sessions RDP (bureau à distance) utilisant l'authentification NLA.
Ces événements ne seront pas capturés. Par conséquent ils n'apparaîtront pas dans les rapports et ne seront pas notifiés. Si vous avez vraiment besoin de ces notifications, vous pouvez configurer vos serveurs RDP pour qu'ils n'utilisent pas l'authentification NLA (non recommandé).
Pour SharePoint fonctionnant avec l'authentification ADFS, les connexions refusées par Active Directory ne sont pas gérées par l'agent UserLock IIS.
Quand l'authentification ADFS refuse une connexion, l'UPN de l'utilisateur n'est pas envoyé au serveur SharePoint. Dans le journal de sécurité du serveur ADFS, la connexion est autorisée et automatiquement fermée. Toutefois, dans le journal IIS du serveur Sharepoint, la connexion refusée est enregistrée sans spécifier l'utilisateur, seule l'adresse IP est enregistrée.
UserLock vous permet d'auditer les actions effectuées par ses administrateurs, telles que les modifications des stratégies d'accès, la déconnexion des utilisateurs et l'installation d'agents. Dans la console, vous pouvez voir toutes les actions d'administrateur que vous avez effectuées avec votre propre compte en cliquant sur l'icône en haut à droite. Cela comprend toutes les actions et configurations effectuées par votre propre compte au cours des 30 derniers jours.
Les actions administrateur comprennent toute action sur un utilisateur, une machine ou une session via la console UserLock. Elles permettent aux administrateurs de UserLock de répondre aux demandes du service d'assistance ou de réagir à un comportement suspect. Les actions qui sont auditées comprennent :
Sur les utilisateurs : résoudre les demandes d'aide MFA, ou réinitialiser une clé MFA.
Sur les machines : Redémarrer, arrêter, réveiller.
Sur les sessions : Fermer, Verrouiller, Réinitialiser, Envoyer un message.
Ces événements comprennent toutes les modifications apportées aux stratégies d'accès et aux propriétés du serveur, ainsi que les notifications relatives à ces événements.
Sur les utilisateurs : Blocage/déblocage de l'utilisateur et désactivation temporaire de la MFA
Sur les stratégies : Création, modification et suppression de stratégies d'accès, y compris les détails de ce qui a été modifié.
Sur les propriétés du serveur : Toutes les modifications apportées aux propriétés du serveur, y compris les détails de ce qui a été modifié.
Vous pouvez consulter et planifier des rapports sur les actions et les configurations de l'administrateur dans la section Rapports de la console.