Connexions refusées par Active Directory
UserLock est capable d'auditer et de notifier les connexions refusées par Active Directory dans ses différentes alertes adressées aux utilisateurs ou aux opérateurs UserLock.
Cette fonctionnalité nécessite :
- La présence de l'agent 'Station' UserLock sur les machines du réseau,
- La présence de l'agent 'IIS' UserLock sur le serveur IIS pour les connexions refusées dans la cadre d'une 'Authentification Windows' configurée sur le serveur IIS,
- L'activation de la stratégie d'audit Microsoft 'Auditer les évènements de connexion' pour les 'Échecs' sur les machines où l'agent UserLock est installé. Cette opération peut être effectuée à l'aide des 'Stratégies de groupes Microsoft' avec le paramètre 'Paramètres de sécurité/Stratégies locales/Stratégie d'audit/Auditer les événements de connexion'.
Ces évènements de refus d'ouverture de session seront insérés dans la base de données UserLock et pourront être exploités à l'aide des rapports prédéfinis.
UserLock obtient des connexions refusées par Windows uniquement pour les noms d'utilisateur existants. Si une connexion est tentée avec un nom d'utilisateur invalide, UserLock n'enregistrera pas cette tentative dans sa base de données.
Limitation :
Les connexions refusées par Active Directory ne peuvent pas être détectées pour les sessions RDP (bureau à distance) utilisant l'authentification NLA.
Ces événements ne seront pas capturés et n'apparaîtront donc pas dans les rapports ('Historique des sessions', 'Rapports des connexions refusées', ni dans les notifications de la fonctionnalité 'Avertir en temps réel les utilisateurs lors d'événements impliquant leur identifiant' de la section 'Général' des 'Comptes protégés', ni celles de la section 'Notifications' des 'Comptes protégés'. Si vous avez vraiment besoin de ces notifications, vous pouvez configurer vos serveurs RDP pour qu'ils n'utilisent pas l'authentification NLA (non recommandé).
Pour SharePoint fonctionnant avec l'authentification ADFS, les connexions refusées par Active Directory ne sont pas gérées par l'agent UserLock IIS.
Quand l'authentification ADFS refuse une connexion, l'UPN de l'utilisateur n'est pas envoyé au serveur SharePoint. Dans le journal de sécurité du serveur ADFS, la connexion est autorisée et automatiquement fermée. Toutefois, dans le journal IIS du serveur Sharepoint, la connexion refusée est enregistrée sans spécifier l'utilisateur, seule l'adresse IP est enregistrée.