questions les plus fréquentes à propos de€¦ · comment détecter qui a accès &à quelles...
TRANSCRIPT
Thomas LimpensPresales Engineer France
Questions les plus fréquentes à propos de
Windows File Servers
Comment poser les questions ?
Posez votre question ici
Cliquez “Envoi”
Agenda
Comment détecter qui a accès & à quelles données sur les serveurs de fichers Windows ?
Comment définir qui a modifié un fichier dans les dossiers partagés ?
Comment détecter qui a supprimé un fichier de votre serveur de fichiers Windows ?
Comment détecter qui a accès & à quelles données
sur les serveurs de fichers Windows ?
Comment détecter qui a accès &à quelles données sur les serveurs de fichers Windows
Audit d'origine
1. Ouvrez Powershell ISE et créez le nouveau scripte avec le code suivant (détérminez le chemin du serveur de
fichier et le nom de l'utilisateur) : dir -Recurse \\fs1\Shared | where { $_.PsIsContainer } | % { $path1 = $_.fullname; Get-Acl $_.Fullname | % { $_.access | where { $_.IdentityReference -like "ENTERPRISE\J.Carter" } | Add-Member -MemberType NoteProperty'.\Application Data' -Value $path1 -passthru }} | Export-Csv "C:\temp\AccountPermissions.csv“1
2. Exécutez le script.
3. Ouvrez le fichier produit par le script en MS Excel.
Exemple de rapport :
Comment détecter qui a accès & à quelles données sur les serveurs de fichers Windows
Pour essayer Netwrix Auditor pour Windows File Servers, cliquez https://www.netwrix.fr/file_server_auditing.html
Netwrix Auditor pour Windows File Servers
Exécutez Netwrix Auditor → Cliquez sur "Reports" → Accédez aux Serveurs de Fichiers → Choisissez
"File Servers State-in-Time" → Sélectionnez "Account Permissions"→ Cliquez sur "View".
Comment définir qui a modifié un fichier
dans les dossiers partagés ?
Comment définir qui a modifié un fichier dans les dossiers partagés
Audit d'origine
1. Naviguez jusqu'au partage de fichiers, faites un clic droit et sélectionnez "Properties" → Sélectionnez l'onglet"Security" → Bouton "Advanced" → Onglet "Auditing" → Cliquez sur le bouton "Add" : Sélectionnez principal : "Everyone"; Sélectionnez Type : "All"
Sélectionner s'applique à : "This folder, subfolders and files"
Sélectionnez les "Advanced Permissions": "Change permissions and "Take ownership"
2. Exécutez gpmc.msc → Editez "Default Domain Policy" → Computer Configuration → Policies → Windows Settings → Security Settings.
3. Allez à Local Policies → Audit Policy:
Audit object access → Définir → Success and Failures
4. Allez à "Advanced Audit Policy Configuration" → Audit Policies → Object Access:
Audit File System → Définir → Success and Failures
Audit Handle Manipulation → Définir → Success and Failures
5. Allez à Event Log → Définir :
Maximum security log size to 1gb
Retention method for security log to Overwrite events as needed
6. Ouvrez le journal de sécurité pour l'ID d'événement 4663 avec la catégorie de tâches "File Server" ou"Removable Storage" avec le string "Accesses: WRITE_OWNER". "Subject Security ID“vous indiquera qui a modifié un fichier/propriétaire du fichier.
Comment définir qui a modifié un fichier dans les dossiers partagés
Pour essayer Netwrix Auditor pour Windows File Servers, cliquez https://www.netwrix.fr/file_server_auditing.html
Netwrix Auditor pour Windows File Servers
Exécutez Netwrix Auditor → Cliquez sur "Reports" → Accédez à "File Servers" → " File Servers Activity " →
" File Server Changes" → Cliquez sur "View".
Comment détecter qui a supprimé un fichier
de votre Serveur de Fichiers Windows ?
Comment détecter qui a supprimé un fichier de votre Serveur de Fichiers Windows
Audit d'origine1. Naviguez jusqu'au partage de fichiers, faites un clic droit et sélectionnez " Properties " Sélectionnez l'onglet " Security " → Bouton "
Advanced " → Onglet " Auditing " → Cliquez sur le bouton " Add " :
• Sélectionnez Principal : "Everyone" ; Sélectionnez Type : "all" ; Sélectionner s'applique à : "This folder, subfolders and files" ;
Sélectionnez les "Advanced Permissions" : "Delete subfolders and files" et "Delete".
2. Exécutez gpedit.msc, créez et éditez le nouveau GPO → Configuration de
l'ordinateur → Politiques → Paramètres de Windows → Paramètres de sécurité →
Allez à Politiques locales → Politique d'audit :
• Accès aux objets d'audit → Définir → Succès et échecs.
3. Allez à "Advanced Audit Policy Configuration" → Audit Policies → Object Access :
• Audit File System → Définir → Success and Failures →
• Audit Handle Manipulation → Définir → Success and Failures.
4. Reliez le nouveau GPO au serveur de fichiers et forcez la mise à jour de la politique
de groupe.
5. Ouvrez le journal de sécurité pour l'ID d'événement 4656 avec la catégorie de tâches "File System" ou "Removable Storage"
avec le string "Accesses : DELETE". "Subject: Security ID" vous indiquera qui a supprimé un fichier.
Netwrix Auditor pour Windows File Server
Exécutez Netwrix Auditor → Cliquez sur "Reports" → Naviguez jusqu'à "File Servers" → Ouvrez le dossier
"File Servers Activity" → Sélectionnez "Files and Folders Deleted" → Cliquez sur "View".
Comment détecter qui a supprimé un fichier de votre Serveur de Fichiers Windows
Pour essayer Netwrix Auditor pour Windows File Servers, cliquez https://www.netwrix.fr/file_server_auditing.html
Identifier, Classifier et
Sécuriser les données
sensibles dans vos partages
de fichiers
Release Date: 11/02/2017
NETWRIX AUDITOR – Data Discovery and Classification Edition
À propos de Netwrix Auditor
Netwrix Auditor
Une plateforme de visibilité et de gouvernance qui permet
un contrôle des modifications, configurations, et accès aux
environnements informatiques dans le cloud hybride en produisant
des analyses de sécurité pour détecter les anomalies dans
les comportements des utilisateurs et analyser les modèles de
menaces avant que ne se produise une fuite de données.
Pourquoi effectuer la découverte et la сlassification des données ?
Sécurité des données critiquesConformité avec les
mandats règlementaires
• Quelles données sensibles avez-vous ?
• Où ces données sensibles sont-elles hébergées ?
• Qui peut y accéder, les modifier ou les effacer ?
• Quel sera l'impact sur vos affaires si ces données
sont divulguées, détruites ou altérées ?
• RGDP
• PCI
• HIPAA
• SOX
Netwrix : Les clients dans le monde
GA
Finances
Santé & Pharmacopée
Fédéral, État, Local, Gouvernement
Industrie/Technologie/Autres
Prix majeurs et récompenses
Toutes les récompenses: www.netwrix.com/awards
Les prochaines étapesEssai gratuit – garder votre œil sur notre compte à rebours du release du produit : https://www.netwrix.fr/
Webinars: rejoignez nos prochains webinars et regardez les sessions enregistrées
• netwrix.com/webinars
• netwrix.com/webinars#featured
Contactez notre représentant commercial :
Monsieur Eric SELAM
Account Executive
mob. : 06.60.80.38.20
tél. : 09 75 18 11 19 x 2502
mail : [email protected]
• Dans notre blog : « Gérer les OUs et déplacer leurs objets avec PowerShell » :
https://blog.netwrix.fr/2018/07/25/gerer-les-uos-et-deplacer-leurs-objets-avec-powershell/
Merci!
Questions?
www. .com
Thomas Limpens
Presales Engineer France