Audit natif
1. Configuration de la liste de contrôle d’accès au système d’audit (SACL) du fichier :
- Sélectionnez le fichier que vous souhaitez auditer et accédez à Propriétés. Sélectionnez l’onglet Sécurité → Avancé → Audit → Ajouter.
- Sélectionnez Principal : Tout le monde ; Type : Tout ; S’applique à : Ce dossier, sous-dossiers et fichiers.
- Cliquez sur Afficher les autorisations avancées, sélectionnez Modifier les autorisations et Prendre possession.
2. Configuration de la stratégie d’audit de votre domaine
- Accédez à votre Console de gestion de stratégie de groupe et modifiez la Stratégie de domaine par défaut.
- Accédez à Configuration de l’ordinateur → Stratégies → Paramètres Windows → Paramètres de sécurité.
- Accédez à Stratégies locales → Stratégie d’audit : Auditer l’accès aux fichiers. Sélectionnez Succès et Échecs.
- Accédez à Configuration de la stratégie d’audit avancée → Stratégies d’audit → Accès aux objets :
- Auditer le système de fichiers : Sélectionnez Succès et Échecs.
- Manipulation des descripteurs d’audit : Sélectionnez Succès et Échecs.
- Accédez au Journal des événements et définissez :
- Taille maximale du journal de sécurité à 1 Go..
- Méthode de rétention du journal de sécurité à Écraser les événements si nécessaire..
3. Vérification de l’événement dans votre visionneuse d’événements
Accédez aux journaux de sécurité Windows et recherchez :
- ID d'événement 4663
- Catégorie de tâches : Système de fichiers ou Stockage amovible
Le nom du compte et l’ID de sécurité vous indiqueront qui a modifié le propriétaire ou les autorisations du fichier/dossier.
Surveillance simplifiée des modifications des autorisations de dossier avec ADAudit Plus
Avec les rapports simples et faciles à lire d’ADAudit Plus, un simple clic suffit pour afficher les détails complets sur qui a modifié les autorisations de fichier/dossier, quand et à partir de quelle machine. La valeur exacte de l’autorisation modifiée est également répertoriée. Ces rapports peuvent être exportés et planifiés pour être générés automatiquement aux heures spécifiées et remis dans votre boîte de réception. Vous pouvez également configurer des alertes pour vous avertir lorsque les autorisations des fichiers/dossiers critiques sont modifiées. De cette façon, vous pouvez agir immédiatement.
Connectez-vous à ADAudit Plus. Accédez à l’onglet Audit des fichiers et sous Rapports d’audit des fichiers, accédez au rapport Modifications des autorisations des dossiers.
Les détails que vous pouvez trouver dans ce rapport incluent :
- Nom du fichier/dossier et son emplacement sur le serveur
- Nom de l’utilisateur qui a modifié l’autorisation
- Valeurs de la nouvelle et de l’ancienne liste de contrôle d’accès (ACL)
- Autorisations modifiées
- Serveur sur lequel se trouve le fichier/dossier
- Heure de la modification de l’autorisation
Pour comprendre exactement ce qui a été modifié dans l’ACL du fichier/dossier, cliquez sur le lien Plus dans le champ Autorisation modifiée.
Les nouvelles et anciennes valeurs de votre ACL sont également décrites en détail.
Ancienne ACL :
Nouvelle ACL :
Notez que dans cet exemple, Mark Lloyd a reçu un contrôle total pendant cette modification d’autorisation. Avec ces détails, vous pouvez pousser votre enquête si vous pensez que la modification de l’autorisation semble malveillante. Si vous souhaitez filtrer les autorisations modifiées en fonction du serveur sur lequel résident les fichiers/dossiers, basculez simplement vers Rapports basés sur le serveur et accédez au rapport Autorisations de dossier modifiées. Un rapport similaire filtré en fonction du serveur que vous choisissez s’affiche. Pour afficher les modifications d’autorisation effectuées par un utilisateur spécifique, accédez aux Rapports basés sur les utilisateurs et sélectionnez le rapport Autorisations de dossier modifiées.
Le suivi des modifications d’autorisation de vos fichiers et dossiers est essentiel pour maintenir l’intégrité des fichiers et empêcher tout accès non autorisé.
Les étapes ci-dessus répondent aux questions suivantes sur la surveillance des autorisations de fichiers/dossiers :
- Découvrez qui a modifié les autorisations d’un dossier dans Windows
- Comment voir qui a modifié les autorisations des dossiers
- Comment savoir qui a modifié les autorisations des dossiers
- Comment dire qui a modifié les autorisations des dossiers
- Qui a modifié l’autorisation d’un fichier Windows
- Vérifier qui a modifié les autorisations des fichiers
- Comment auditer les modifications d’autorisation des fichiers
- Comment découvrir qui a modifié les autorisations des dossiers
- Logiciel : comment découvrir qui a modifié les autorisations des dossiers
- Comment savoir qui a modifié les autorisations des dossiers dans Windows 2003
- Comment découvrir qui a modifié les autorisations des dossiers dans Windows 2008 R2
- Comment découvrir qui modifié les autorisations des dossiers dans Windows 2008
- Comment trouver les modifications d’autorisation au niveau des dossiers dans Windows Server 2003
- Comment suivre les modifications des autorisations des dossiers dans Windows File Server
- Comment suivre si les autorisations de fichiers et de dossiers ont été modifiées sur un serveur
- Comment auditer les modifications d’autorisation des dossiers
- Comment découvrir qui a modifié les autorisations d’un dossier sur un serveur
- Comment découvrir qui a modifié les autorisations des dossiers partagés
- Comment surveiller les modifications apportées aux autorisations des fichiers et des dossiers
- Comment vérifier les modifications des autorisations des dossiers dans Windows Server
- Comment voir qui a modifié les autorisations d’accès aux dossiers