Comment vérifier les échecs des tentatives d'accès à un dossier partagé ?

Il est prudent de garder une trace des tentatives d'accès à un dossier partagé ayant échoué. En enregistrant de toutes les tentatives infructueuses d'accès à un fichier, les enquêtes en cas de violation de données se trouvent largement facilitées. Cela peut également aider à identifier la machine cliente à partir de laquelle des tentatives ont échoué, ce qui laisse entrevoir un système compromis. Voici comment vous pouvez les identifier à l'aide de méthodes d'audit natives :

Version d'essai gratuite de 30 jours entièrement fonctionnelle

  • Avec audit AD natif

  • Avec ADAudit Plus

Rapports en un clic pour suivre les tentatives infructueuses d'accès à un dossier partagé avec ADAudit Plus

ADAudit Plus propose des rapports qui reprennent les tentatives infructueuses effectuées sur vos fichiers/dossiers avec tous les détails en un seul clic. Ces rapports peuvent être exportés dans n'importe quel format (CSV, PDF, XML, etc.). Des alertes en temps réel peuvent être envoyées à votre adresse e-mail ou sur votre téléphone afin de vous avertir lorsque des modifications sont apportées à un fichier ou à un dossier critique. Voici comment vous pouvez accéder à ces rapports :

Lancez ADAudit Plus et connectez-vous → Allez dans l'onglet Audit de fichiers → Sous Rapports d'audit de fichiers → les rapports suivants présentent les échecs des tentatives d'accès aux dossiers partagés :

    1. Échec de la tentative de lecture du fichier
    2. Échec de la tentative d'écriture du fichier
    3. Échec de la tentative de suppression du fichier
    Ces rapports contiennent les informations suivantes :
    1. Nom du fichier
    2. Nom de l'utilisateur dont la demande a échoué
    3. Heure à laquelle la demande de traitement a été faite
    4. Nom du serveur dans lequel se trouve le fichier
     failed attempts report Pour classer les échecs de tentatives d'accès en fonction des partages, allez dans l'onglet Rapports basés sur les partages et sélectionnez le rapport Tentatives de lecture de fichier échouées. Sélectionnez le partage dont vous souhaitez suivre les modifications. Les détails de toutes les modifications apportées à cette action sont affichés, comme dans le rapport ci-dessus.
  • Étape 1: Activez la stratégie « d'accès aux objets d'audit »

  • Lancez la console de gestion des stratégies de groupe (Run --> gpedit.msc)

  • Créez un nouveau GPO et reliez-le au domaine contenant le serveur de fichiers ou modifier le GPO existant qui est lié au domaine concerné.

  • Naviguez vers Configuration de l'ordinateur -> Paramètres Windows -> Paramètres de sécurité -> Stratégies locales -> Stratégie d'audit.

  • Sous Stratégie d'audit, sélectionnez « Accès aux objets d'audit » et activez l'audit, pour un succès ou un échec.

    audit-shared-folder-access-changes-security-setting-audit-object-access
  • Étape 2: Modifier l'entrée d'audit dans le fichier/dossier respectif

    Localisez le fichier ou le dossier pour lequel vous souhaitez suivre les tentatives d'accès échouées. Clic droit sur ce fichier/dossier et allez dans Propriétés. Sous l'onglet Sécurité, cliquez sur Avancé.

    monitor-file-and-folder-access-on-windows-file-server-security-properties

  • Dans les Paramètres de sécurité avancés, allez dans l'onglet Audit et cliquez sur Ajouter pour ajouter une nouvelle entrée d'audit.

    advanced-security-settings-active-directory

  • Dans la boîte de dialogue Entrée d'audit pour Active Directory, entrez les informations suivantes :

    1. Responsable: Entrez les noms des utilisateurs que vous souhaitez contrôler lorsqu'ils accèdent à ce fichier/dossier.
    2. Type: Sélectionnez le type d'accès que vous souhaitez contrôler. Il est préférable de vérifier « Tous » les changements.
    3. S'applique à:Indiquez si vous souhaitez vérifier l'accès à ce fichier uniquement ou à tous les sous-dossiers et fichiers.
    4. Autorisations de base: Choisissez les types d'autorisations que vous souhaitez vérifier. Pour répondre à vos besoins spécifiques, cliquez sur « Autorisations avancées » et sélectionnez les autorisations « Traverser le dossier/Exécuter le fichier », « Lister le dossier/Lire les données », « Lire les attributs » et « Lire les attributs étendus ».
    auditing-entry-file-access-auditing
  • Étape 3: Voir les journaux d'audit dans l'Observateur d'événements

    Chaque fois qu'un utilisateur accède au fichier/dossier sélectionné et que la tentative échoue, un journal des événements est enregistré dans l’Observateur d'événements. Pour consulter ce journal d'audit, allez à l'Observateur d'événements. Sous Journaux Windows, sélectionnez Sécurité. Vous pouvez trouver tous les journaux d'audit dans le panneau central, comme indiqué ci-dessous.

    audit-failed-access-attempts-to-shared-folder-security-windows-log

  • Pour filtrer les journaux d'événements afin de n'afficher que les journaux relatifs aux modifications des droits sur les fichiers/dossiers, sélectionnez Filtrer le journal actuel dans le volet de droite. Il suffit de rechercher les ID d'événement 4656 et 4663 qui indiquent des changements d'autorisation de fichiers/dossiers. Vous pouvez voir qui a accédé au fichier dans le champ « Nom du compte » et l'heure d'accès dans le champ « Enregistré ».

    audit-failed-access-attempts-to-shared-folder-event-properties-event4663

L’audit natif devient-il un peu trop compliqué ?

Simplifiez l'audit des serveurs de fichiers et l'établissement de rapports grâce à ADAudit Plus.

Obtenir votre version d'essai gratuite Version d'essai de 30 jours entièrement fonctionnelle

Demander de l'aide

  •  
  •  
  •  
  •  
  • En cliquant sur 'Envoyer la demande' vous acceptez le traitement des données personnelles conformément à la politique. de confidentialité.

Thanks

One of our solution experts will get in touch with you shortly.

Zoho Corporation Pvt. Ltd. Tous droits réservés.