Il y a peu j’ai rencontré un phénomène plutôt étrange chez un client, l’attribution de l’affinité périphérique utilisateur (UDA) dans System Center 2012 Configuration Manager ne fonctionnait pas. Dans les faits, tout était configuré comme attendu :
- Les découvertes étaient activées et découvraient les systèmes et les utilisateurs
- Une stratégie cliente était déployée sur les machines avec les paramétrages :
- User device affinity threshold (minutes) : Valeur par défaut
- User device affinity threshold (days) : Valeur par défaut
- Automatically configure user device affinity from usage data : True
- Les utilisateurs étaient connectés dans l’intervalle de temps défini par la stratégie.
- Une stratégie de groupe activé l’audit de événements utilisateurs :
-
- Audit account logon events
- Audit logon events
En regardant de plus près les logs montre que les événements sont correctement capturés. Après avoir regardé le journal de sécurité, j’observe que les premiers événements datent de moins d’une journée. Le journal est rempli de plus de 20000 événements en quelques heures écrasant ainsi les anciens événements. Deux solutions :
- Augmenter la taille du journal pour couvrir le seul défini par la stratégie du client (30 jours par défaut). Cette solution est peu envisageable dans ce cas, car cela nécessiterait des gigas de données
- Réduire les événements de sécurité collectés par le poste de travail. C’est l’option que nous avons opté. Ce client avait notamment activé les événements 5158 - The Windows Filtering Platform has permitted a bind to a local port pour un outil d’audit de Varonis. Ces événements sont générés à chaque fois qu’une application s’est vue bindée un port local.
Plus d’informations sur l’affinité périphérique utilisateur (UDA) sur Technet.