Accueil

Comment surveiller les modifications apportées aux autorisations des fichiers et des dossiers ?

Les administrateurs doivent surveiller les autorisations d'accès aux fichiers/dossiers pour s'assurer que les utilisateurs malveillants n'altèrent pas les données critiques et qu'ils ne modifient pas les autorisations sans autorisation.

Télécharger GRATUITEMENT
Essai gratuit et entièrement fonctionnel pendant 30 jours

  • Avec audit AD natif

  • Avec ADAudit Plus

Surveillance simplifiée des changements d'autorisation avec ADAudit Plus

Grâce aux rapports simples et faciles à lire d'ADAudit Plus, un simple clic suffit pour obtenir des détails complets sur qui a modifié les autorisations des fichiers/dossiers, quand et à partir de quelle machine. La valeur exacte de l’autorisation modifiée est également répertoriée. Ces rapports peuvent être exportés et planifiés pour être générés automatiquement, aux heures spécifiées, et livrés dans votre boîte aux lettres électronique. Vous pouvez également configurer des alertes pour vous avertir lorsque les autorisations des fichiers/dossiers critiques sont modifiées. De cette façon, vous pouvez agir immédiatement.

Connexion à ADAudit Plus → Allez dans l'onglet Audit des fichiers → Sous Rapports d'audit de fichiers → accédez au rapport Changements de autorisations dans les dossiers.

  • folder permission reportLes détails que vous pouvez trouver dans ce rapport incluent :
    1. Nom du fichier/dossier et son emplacement sur le serveur.
    2. Nom de l’utilisateur qui a modifié l’autorisation
    3. Valeurs de la nouvelle et de l'ancienne ACL
    4. Autorisations modifiées
    5. Serveur sur lequel se trouve le fichier/dossier
    6. Heure de la modification de l’autorisation
    Pour savoir exactement ce qui a été modifié dans l'ACL du fichier/dossier, cliquez sur le lien Plus dans le champ Autorisation modifiée. permission changes reportLes nouvelles et anciennes valeurs de votre ACL sont également détaillées.

    Ancienne ACL :

    old acl

    Nouvelle ACL :

    new aclNotez que dans cet exemple, Mark Lloyd a reçu un contrôle total pendant cette modification d’autorisation. Grâce à ces informations, vous pouvez mener une enquête plus approfondie si vous pensez que la modification des autorisations est malveillante. Si vous souhaitez filtrer les autorisations modifiées en fonction du serveur sur lequel résident les fichiers/dossiers, il vous suffit de passer aux rapports basés sur le serveur et de naviguer jusqu'au rapport Autorisations modifiées pour les dossiers. Un rapport similaire s'affiche, filtré en fonction du serveur choisi. Pour afficher les modifications d’autorisations effectuées par un utilisateur spécifique, allez dans Rapports basés sur l'utilisateur et sélectionnez le rapport Autorisations de dossier modifiées.

Audit natif

Avec l'audit natif, voici comment vous pouvez surveiller les modifications apportées aux autorisations des fichiers et des dossiers :

  • Étape 1 : Activer la stratégie d'audit d'accès aux objets :

    Ouvrez la Stratégie de sécurité locale. Allez dans Paramètres de sécurité et sélectionnez Stratégies locales.

    monitor-changes-to-files-and-folder-permissions-enable-audit-object-access-policy-local-policies

  • Sous Stratégie d'audit, sélectionnez « Accès aux objets d'audit » et activez l'audit, pour un succès ou un échec.

    monitor-changes-to-files-and-folder-permissions-audit-object-access
  • Étape 2 : Modifier l'entrée d'audit dans le fichier/dossier respectif

    Localisez le fichier ou le dossier dont vous souhaitez suivre les modifications d'autorisation. Clic droit sur ce fichier/dossier et allez dans Propriétés. Dans l'onglet Sécurité, cliquez sur le bouton Avancé.

    monitor-changes-to-files-and-folder-permissions-edit-auditing-entry

  • Dans la fenêtre Paramètres de sécurité avancés pour Active Directory, allez dans l'onglet Audit et cliquez sur le bouton Ajouter pour ajouter une nouvelle entrée d'audit.

    advanced-security-settings-active-directory

  • Dans la boîte de dialogue Entrée d'audit pour Active Directory, entrez les informations suivantes:

    1. Responsable: Entrez les noms des utilisateurs dont vous souhaitez vérifier l'accès.
    2. Type: Sélectionnez le type d'accès que vous souhaitez contrôler. Il est préférable de vérifier « Tous » les changements.
    3. S’applique à: Indiquez si vous souhaitez vérifier les changements d’autorisation uniquement pour ce fichier ou pour tous les sous-dossiers et fichiers.
    4. Autorisations de base : Choisissez les types d'autorisations que vous souhaitez vérifier. Pour vos besoins spécifiques, cliquez sur « Autorisations avancées » et sélectionnez « Modifier les autorisations ».
    monitor-changes-to-files-and-folder-permissions-auditing-entry-for-active-directory
  • Étape 3 : Voir les journaux d'audit dans l'Observateur d'événements

    Chaque fois qu'un utilisateur accède au fichier/dossier sélectionné et modifie les autorisations qui s'y trouvent, un journal d'événements est enregistré dans l'Observateur d'événements. Pour consulter ce journal d'audit, allez à l'Observateur d'événements. Sous Journaux Windows, sélectionnez Sécurité. Vous pouvez trouver tous les journaux d'audit dans le panneau central, comme indiqué ci-dessous.

    audit-failed-access-attempts-to-shared-folder-security-windows-log

  • Pour filtrer les journaux d'événements afin de n'afficher que les journaux relatifs aux modifications des droits sur les fichiers/dossiers, sélectionnez Filtrer le journal actuel dans le volet de droite. Il suffit de rechercher l'ID d'événement 4670, qui indique des changements d'autorisation de fichiers/dossiers.

    monitor-changes-to-files-and-folder-permissions-indicates-file-folder-permission-changes

  • Le volet central affiche désormais tous les changements d’autorisation apportés aux fichiers/dossiers. Cliquez sur l'un d'entre eux et affichez ses propriétés.

    monitor-changes-to-files-and-folder-permissions-permission-changes-made-files-folders

  • Pour plus d'informations sur l'autorisation exacte qui a été modifiée, vous pouvez examiner l'ancien et le nouveau descripteur de sécurité.

    monitor-changes-to-files-and-folder-permissions-exact-permission

L’audit natif devient-il un peu trop compliqué ?

Simplifiez l'audit et le reporting LDAP avec ADAudit Plus.

Obtenez votre essai gratuitEssai de 30 jours entièrement fonctionnel