Accueil

Comment vérifier les changements d'accès aux dossiers partagés ?

Le suivi des accès à un fichier/dossier contenant des données sensibles est obligatoire, afin de répondre aux exigences de conformité et de garantir la sécurité des données. Le suivi de l'accès des utilisateurs aux dossiers partagés permet également aux administrateurs de disposer d'un meilleur levier lors des enquêtes sur les attaques et les tentatives d'attaque. Voici comment vous pouvez contrôler les accès des utilisateurs aux dossiers partagés stockés dans les serveurs de fichiers à l'aide des méthodes d'audit natives.

Télécharger GRATUITEMENT
Essai gratuit et entièrement fonctionnel pendant 30 jours

  • Avec audit AD natif

  • Avec ADAudit Plus

Des rapports complets pour suivre l'accès aux fichiers/dossiers avec ADAudit Plus

ADAudit Plus est une solution de sécurité informatique et de conformité qui fournit des rapports complets pour consolider toutes les informations dont vous avez besoin sur les tentatives d'accès aux fichiers ou aux dossiers de vos serveurs de fichiers. Ces rapports peuvent être exportés et planifiés pour être générés automatiquement, aux heures spécifiées, et livrés dans votre boîte aux lettres électronique. Vous pouvez également configurer des alertes pour vous avertir lorsque des demandes d'accès sont faites sur des fichiers/dossiers critiques. De cette façon, vous pouvez agir immédiatement. Voici comment vous pouvez accéder à ces rapports en utilisant ADAudit Plus :

Lancez ADAudit Plus et connectez-vous → Allez dans l'onglet Audit de fichiers → Accédez à Rapports d'audit de fichiers et sélectionnez Accès en lecture aux fichiers.

  • file access report
    • Vous trouverez dans ce rapport les détails suivants :
      1. Quel fichier a été consulté
      2. Qui a accédé au fichier
      3. Quand le fichier a-t-il été consulté
      4. À partir de quelle machine cliente le fichier a-t-il été consulté ?
      5. Nom du serveur sur lequel le fichier est stocké
    Vous pouvez également afficher les tentatives infructueuses de lecture, d'écriture ou de suppression d'un fichier. Les rapports contiennent les détails suivants :
    1. Nom du fichier
    2. Nom de l'utilisateur dont la demande a échoué
    3. Heure à laquelle la demande de poignée a été faite. Nom du serveur dans lequel se trouve le fichier
    Avec un enregistrement de toutes les tentatives d'accès à un fichier (y compris celles qui ont échoué), les enquêtes en cas de violation de données deviennent beaucoup plus faciles. Vous pouvez retrouver tous les utilisateurs qui ont accédé à un fichier afin de détecter d'éventuels accès non autorisés. Il peut également aider à identifier la machine cliente à partir de laquelle les tentatives ont échoué, ce qui permet de détecter un système compromis.

Méthode native

  • Étape 1 : Activez la stratégie « d'accès aux objets d'audit »

  • Lancez la console de gestion des stratégies de groupe (Run --> gpedit.msc)

  • Créez un nouveau GPO et reliez-le au domaine contenant le serveur de fichiers ou modifier le GPO existant qui est lié au domaine concerné.

  • Naviguez vers Configuration de l'ordinateur -> Paramètres Windows -> Paramètres de sécurité -> Stratégies locales -> Stratégie d'audit.

  • Sous Stratégie d'audit, sélectionnez « Accès aux objets d'audit » et activez l'audit, pour un succès ou un échec.

    audit-shared-folder-access-changes-security-setting-audit-object-access

  • Allez dans Configuration avancée de la stratégie d'audit -> Stratégies d'audit -> Accès aux objets. Activez l'audit pour « Auditer le système de fichiers » et « Auditer la manipulation du handle ».

    audit-shared-folder-access-changes-system-object-access
  • Étape 2 : Modifier l'entrée d'audit dans le fichier/dossier respectif

    Localisez le fichier ou le dossier pour lequel vous souhaitez suivre tous les accès. Clic droit sur ce fichier/dossier et allez dans Propriétés. Sous l'onglet Sécurité, cliquez sur Avancé.

    monitor-file-and-folder-access-on-windows-file-server-security-properties

  • Dans les Paramètres de sécurité avancés, allez dans l'onglet Audit et cliquez sur Ajouter pour ajouter une nouvelle entrée d'audit.

    advanced-security-settings-active-directory

  • Dans la boîte de dialogue Entrée d'audit pour Active Directory, entrez les informations suivantes :

    1. Responsable: Entrez les noms des utilisateurs dont vous souhaitez vérifier l'accès.
    2. Type: Sélectionnez le type d'accès que vous souhaitez contrôler. Il est préférable de vérifier « Tous » les changements.
    3. S’applique à:Indiquez si vous souhaitez contrôler l'accès à ce fichier uniquement ou à tous les sous-dossiers et fichiers.
    4. Autorisations de base: Choisissez les types d'autorisations que vous souhaitez vérifier. Cliquez sur le bouton « Autorisations avancées » et choisissez « Traverser le dossier/Exécuter le fichier », « Lister le dossier/Lire les données », « Lire les attributs » et « Lire les attributs étendus ».
    auditing-entry-file-access-auditing
  • Étape 3 : Voir les journaux d'audit dans l'Observateur d'événements

    Chaque fois qu'un utilisateur accède au fichier/dossier sélectionné et modifie les autorisations qui s'y trouvent, un journal d'événements est enregistré dans l'Observateur d'événements. Pour consulter ce journal d'audit, allez à l'Observateur d'événements. Sous Journaux Windows, sélectionnez Sécurité. Vous pouvez trouver tous les journaux d'audit dans le panneau central, comme indiqué ci-dessous.

    audit-failed-access-attempts-to-shared-folder-security-windows-log

  • Pour filtrer les journaux d'événements afin de n'afficher que les journaux relatifs aux modifications des droits sur les fichiers/dossiers, sélectionnez Filtrer le journal actuel dans le volet de droite. Il suffit de rechercher les ID d'événement 4656 et 4663 qui indiquent des changements d'autorisation de fichiers/dossiers. Vous pouvez voir qui a accédé au fichier dans le champ « Nom du compte » et l'heure d'accès dans le champ « Enregistré ».

    audit-shared-folder-access-changes-event-properties-event4663

L’audit natif devient-il un peu trop compliqué ?

Simplifiez l'audit et le reporting LDAP avec ADAudit Plus.

Obtenez votre essai gratuitEssai de 30 jours entièrement fonctionnel