Thomas LimpensPresales Engineer France

Questions les plus fréquentes à propos de

Windows File Servers

Comment poser les questions ?

Posez votre question ici

Cliquez “Envoi”

Agenda

Comment détecter qui a accès & à quelles données sur les serveurs de fichers Windows ?

Comment définir qui a modifié un fichier dans les dossiers partagés ?

Comment détecter qui a supprimé un fichier de votre serveur de fichiers Windows ?

Comment détecter qui a accès & à quelles données

sur les serveurs de fichers Windows ?

Comment détecter qui a accès &à quelles données sur les serveurs de fichers Windows

Audit d'origine

1. Ouvrez Powershell ISE et créez le nouveau scripte avec le code suivant (détérminez le chemin du serveur de

fichier et le nom de l'utilisateur) : dir -Recurse \\fs1\Shared | where { $_.PsIsContainer } | % { $path1 = $_.fullname; Get-Acl $_.Fullname | % { $_.access | where { $_.IdentityReference -like "ENTERPRISE\J.Carter" } | Add-Member -MemberType NoteProperty'.\Application Data' -Value $path1 -passthru }} | Export-Csv "C:\temp\AccountPermissions.csv“1

2. Exécutez le script.

3. Ouvrez le fichier produit par le script en MS Excel.

Exemple de rapport :

Comment détecter qui a accès & à quelles données sur les serveurs de fichers Windows

Pour essayer Netwrix Auditor pour Windows File Servers, cliquez https://www.netwrix.fr/file_server_auditing.html

Netwrix Auditor pour Windows File Servers

Exécutez Netwrix Auditor → Cliquez sur "Reports" → Accédez aux Serveurs de Fichiers → Choisissez

"File Servers State-in-Time" → Sélectionnez "Account Permissions"→ Cliquez sur "View".

Comment définir qui a modifié un fichier

dans les dossiers partagés ?

Comment définir qui a modifié un fichier dans les dossiers partagés

Audit d'origine

1. Naviguez jusqu'au partage de fichiers, faites un clic droit et sélectionnez "Properties" → Sélectionnez l'onglet"Security" → Bouton "Advanced" → Onglet "Auditing" → Cliquez sur le bouton "Add" : Sélectionnez principal : "Everyone"; Sélectionnez Type : "All"

Sélectionner s'applique à : "This folder, subfolders and files"

Sélectionnez les "Advanced Permissions": "Change permissions and "Take ownership"

2. Exécutez gpmc.msc → Editez "Default Domain Policy" → Computer Configuration → Policies → Windows Settings → Security Settings.

3. Allez à Local Policies → Audit Policy:

Audit object access → Définir → Success and Failures

4. Allez à "Advanced Audit Policy Configuration" → Audit Policies → Object Access:

Audit File System → Définir → Success and Failures

Audit Handle Manipulation → Définir → Success and Failures

5. Allez à Event Log → Définir :

Maximum security log size to 1gb

Retention method for security log to Overwrite events as needed

6. Ouvrez le journal de sécurité pour l'ID d'événement 4663 avec la catégorie de tâches "File Server" ou"Removable Storage" avec le string "Accesses: WRITE_OWNER". "Subject Security ID“vous indiquera qui a modifié un fichier/propriétaire du fichier.

Comment définir qui a modifié un fichier dans les dossiers partagés

Pour essayer Netwrix Auditor pour Windows File Servers, cliquez https://www.netwrix.fr/file_server_auditing.html

Netwrix Auditor pour Windows File Servers

Exécutez Netwrix Auditor → Cliquez sur "Reports" → Accédez à "File Servers" → " File Servers Activity " →

" File Server Changes" → Cliquez sur "View".

Comment détecter qui a supprimé un fichier

de votre Serveur de Fichiers Windows ?

Comment détecter qui a supprimé un fichier de votre Serveur de Fichiers Windows

Audit d'origine1. Naviguez jusqu'au partage de fichiers, faites un clic droit et sélectionnez " Properties " Sélectionnez l'onglet " Security " → Bouton "

Advanced " → Onglet " Auditing " → Cliquez sur le bouton " Add " :

• Sélectionnez Principal : "Everyone" ; Sélectionnez Type : "all" ; Sélectionner s'applique à : "This folder, subfolders and files" ;

Sélectionnez les "Advanced Permissions" : "Delete subfolders and files" et "Delete".

2. Exécutez gpedit.msc, créez et éditez le nouveau GPO → Configuration de

l'ordinateur → Politiques → Paramètres de Windows → Paramètres de sécurité →

Allez à Politiques locales → Politique d'audit :

• Accès aux objets d'audit → Définir → Succès et échecs.

3. Allez à "Advanced Audit Policy Configuration" → Audit Policies → Object Access :

• Audit File System → Définir → Success and Failures →

• Audit Handle Manipulation → Définir → Success and Failures.

4. Reliez le nouveau GPO au serveur de fichiers et forcez la mise à jour de la politique

de groupe.

5. Ouvrez le journal de sécurité pour l'ID d'événement 4656 avec la catégorie de tâches "File System" ou "Removable Storage"

avec le string "Accesses : DELETE". "Subject: Security ID" vous indiquera qui a supprimé un fichier.

Netwrix Auditor pour Windows File Server

Exécutez Netwrix Auditor → Cliquez sur "Reports" → Naviguez jusqu'à "File Servers" → Ouvrez le dossier

"File Servers Activity" → Sélectionnez "Files and Folders Deleted" → Cliquez sur "View".

Comment détecter qui a supprimé un fichier de votre Serveur de Fichiers Windows

Pour essayer Netwrix Auditor pour Windows File Servers, cliquez https://www.netwrix.fr/file_server_auditing.html

Identifier, Classifier et

Sécuriser les données

sensibles dans vos partages

de fichiers

Release Date: 11/02/2017

NETWRIX AUDITOR – Data Discovery and Classification Edition

À propos de Netwrix Auditor

Netwrix Auditor

Une plateforme de visibilité et de gouvernance qui permet

un contrôle des modifications, configurations, et accès aux

environnements informatiques dans le cloud hybride en produisant

des analyses de sécurité pour détecter les anomalies dans

les comportements des utilisateurs et analyser les modèles de

menaces avant que ne se produise une fuite de données.

Pourquoi effectuer la découverte et la сlassification des données ?

Sécurité des données critiquesConformité avec les

mandats règlementaires

• Quelles données sensibles avez-vous ?

• Où ces données sensibles sont-elles hébergées ?

• Qui peut y accéder, les modifier ou les effacer ?

• Quel sera l'impact sur vos affaires si ces données

sont divulguées, détruites ou altérées ?

• RGDP

• PCI

• HIPAA

• SOX

Netwrix : Les clients dans le monde

GA

Finances

Santé & Pharmacopée

Fédéral, État, Local, Gouvernement

Industrie/Technologie/Autres

Prix majeurs et récompenses

Toutes les récompenses: www.netwrix.com/awards

Les prochaines étapesEssai gratuit – garder votre œil sur notre compte à rebours du release du produit : https://www.netwrix.fr/

Webinars: rejoignez nos prochains webinars et regardez les sessions enregistrées

• netwrix.com/webinars

• netwrix.com/webinars#featured

Contactez notre représentant commercial :

Monsieur Eric SELAM

Account Executive

mob. : 06.60.80.38.20

tél. : 09 75 18 11 19 x 2502

mail : eric.selam@netwrix.com

• Dans notre blog : « Gérer les OUs et déplacer leurs objets avec PowerShell » :

https://blog.netwrix.fr/2018/07/25/gerer-les-uos-et-deplacer-leurs-objets-avec-powershell/

Merci!

Questions?

www. .com

Thomas Limpens

Presales Engineer France