Comment surveiller l'accès aux fichiers et aux dossiers sur un serveur de fichiers Windows ?

Les administrateurs doivent garder un œil sur les personnes qui accèdent aux fichiers/dossiers sur leurs serveurs de fichiers, pour la sécurité des données et la conformité. Garder une trace des personnes qui accèdent à vos fichiers vous aidera également lorsque vous enquêterez sur une violation de données.

Version d'essai gratuite de 30 jours entièrement fonctionnelle
  • Avec audit AD natif

  • Avec ADAudit Plus

Des rapports complets pour suivre l'accès aux fichiers/dossiers avec ADAudit Plus

ADAudit Plus est une solution de sécurité informatique et de conformité qui fournit des rapports en temps réel pour rassembler toutes les tentatives d'accès aux fichiers ou aux dossiers de vos serveurs de fichiers. Vous pouvez configurer ces rapports pour qu'ils soient générés automatiquement et vous soient envoyés par e-mail à intervalles définis. Vous pouvez également exporter ces rapports dans le format de votre choix. Voici comment vous pouvez accéder à ces rapports en utilisant ADAudit Plus :

Connectez-vous à ADAudit Plus → Allez dans l'onglet Audit de fichiers → Sous Rapports d'audit de fichiers → Naviguez jusqu'au rapport d'accès en lecture de fichiers.

  • file access report
    • Les détails que vous pouvez obtenir à partir de ce rapport sont les suivants :
      1. Quel fichier a été consulté
      2. Qui a accédé au fichier
      3. Quand le fichier a-t-il été consulté
      4. Quel est l'ordinateur client à partir duquel le fichier a été consulté
      5. Nom du serveur dans lequel se trouve le fichier
    Vous pouvez également afficher les tentatives infructueuses de lecture, d'écriture ou de suppression d'un fichier. Les rapports contiennent les détails suivants :
    1. Nom du fichier
    2. Nom de l'utilisateur dont la demande a échoué
    3. Heure à laquelle la demande de traitement a été faite
    4. Nom du serveur dans lequel se trouve le fichier
    Grâce à l'enregistrement de toutes les tentatives d'accès à un fichier (y compris celles qui ont échoué), les enquêtes en cas de violation de données se trouvent facilitées. Vous pouvez retrouver tous les utilisateurs qui ont accédé à un fichier afin d'écarter d'éventuels suspects. Il peut également aider à identifier la machine cliente à partir de laquelle des tentatives ont échoué, ce qui laisse entrevoir un système compromis. De plus, en cas de tentative d'accès à des fichiers ou dossiers critiques, des alertes en temps réel vous seront envoyées directement sur votre téléphone ou votre adresse e-mail.

Méthode native

Avec l'audit natif, voici comment vous pouvez surveiller l'accès aux fichiers et aux dossiers sur un serveur de fichiers Windows :

  • Étape 1 : Activez la stratégie « d'accès aux objets d'audit »
  • Lancez la console de gestion des stratégies de groupe (Run --> gpedit.msc)

  • Créer un nouveau GPO et le relier au domaine contenant le serveur de fichiers ou modifier le GPO existant qui est lié au domaine concerné.

  • Naviguez vers Configuration de l'ordinateur -> Paramètres Windows -> Paramètres de sécurité -> Stratégies locales -> Stratégie d'audit.

  • Sous Stratégie d'audit, sélectionnez « Accès aux objets d'audit » et activez l'audit, pour une réussite ou un échec.

  • Étape 2 : Modifier l'entrée d'audit dans le fichier/dossier respectif

    Localisez le fichier ou le dossier pour lequel vous souhaitez suivre tous les accès. Clic droit sur ce fichier/dossier et allez dans Propriétés. Sous l'onglet Sécurité, cliquez sur Avancé.

  • Dans les Paramètres de sécurité avancés, allez dans l'onglet Audit et cliquez sur Ajouter pour ajouter une nouvelle entrée d'audit.

  • Dans la boîte de dialogue Entrée d'audit pour Active Directory, entrez les informations suivantes:

    1. Responsable : Entrez les noms des utilisateurs dont vous souhaitez vérifier l'accès.
    2. Type : Sélectionnez le type d'accès que vous souhaitez contrôler. Il est préférable de vérifier « Tous » les changements.
    3. S’applique à : Choisissez ici si vous souhaitez contrôler l'accès uniquement à ce fichier, ou à tous les sous-dossiers et fichiers.
    4. Autorisations de base : Choisissez les types d'autorisations que vous souhaitez vérifier. Cochez « Autorisations avancées » et choisissez de vérifier les autorisations « Traversez le dossier/exécutez le fichier », « Liste des dossiers/lisez les données », « Lire les attributs » et « Lire les attributs étendus ».
  • Étape 3 : Voir les journaux d'audit dans l'Observateur d'événements

    Chaque fois qu'un utilisateur accède au fichier/dossier sélectionné et modifie les autorisations qui s'y trouvent, un journal d'événements est enregistré dans l'Observateur d'événements. Pour consulter ce journal d'audit, allez à l'Observateur d'événements. Sous Journaux Windows, sélectionnez Sécurité. Vous pouvez trouver tous les journaux d'audit dans le panneau central, comme indiqué ci-dessous.

  • Pour filtrer les journaux d'événements afin de n'afficher que les journaux relatifs aux modifications des droits sur les fichiers/dossiers, sélectionnez Filtrer le journal actuel dans le volet de droite. Il suffit de rechercher les ID d'événement 4656 et 4663 qui indiquent qu'un fichier/dossier a été ouvert. Vous pouvez voir qui a accédé au fichier dans le champ « Nom du compte » et l'heure d'accès dans le champ « Enregistré ».

L’audit natif devient-il un peu trop compliqué ?

Simplifiez l'audit des serveurs de fichiers et l'établissement de rapports grâce à ADAudit Plus.

Obtenir votre version d'essai gratuite Version d'essai de 30 jours entièrement fonctionnelle

Zoho Corp. Tous droits réservés.