Audit natif
Activer l’audit au niveau serveur
- Démarrer → Outils administratifs → Composant logiciel enfichable de la stratégie de sécurité locale.
- Développez la Stratégie locale → Stratégie d'audit.
- Accédez à Auditer l’accès aux objets.
- Sélectionnez Réussite/Échec (selon les besoins).
- Confirmez vos sélections et cliquez sur OK.
Activer l’audit au niveau objet
- Naviguez dans l’Explorateur Windows vers le fichier que vous souhaitez surveiller.
- Cliquez avec le bouton droit sur le dossier/fichier cible et sélectionnez Propriétés.
- Sécurité → Avancée.
- Sélectionnez l'onglet Audit.
- Cliquez sur Ajouter.
- Sélectionnez l’Entité de sécurité à laquelle vous souhaitez accorder les autorisations d’audit.
- Dans la boîte de dialogue Audit de l'entrée, sélectionnez les types d'accès que vous souhaitez auditer.
- Vous devez sélectionner les options permettant d’auditer séparément les événements réussis et ceux ayant échoué.
- Cliquez sur OK lorsque vous avez terminé.
Audit de l’accès aux fichiers et aux dossiers avec ADAudit Plus
Les outils natifs vous obligent à filtrer les événements d'accès aux fichiers/dossiers à partir des journaux qui encombrent l'observateur d'événements ou alors vous devez exécuter des scripts Powershell. En raison du stockage limité, les journaux dont vous avez besoin peuvent également être réécrits.
Lors d'une enquête ou d'un audit de conformité, il peut s’avérer fastidieux d'obtenir une vision claire des personnes qui ont consulté un fichier/dossier à l’aide d’outils natifs. ADAudit Plus vous permet d'afficher les pistes d'accès complètes de n'importe quel fichier/dossier en un seul clic. Des rapports en temps réel sont fournis pour surveiller toutes les tentatives d'accès aux fichiers ou aux dossiers dans vos serveurs de fichiers. Ces rapports peuvent être archivés et enregistrés n'importe où localement, vous n'avez ainsi pas à vous soucier des limitations de stockage comme avec les outils natifs. De cette façon, les journaux des événements passés peuvent être stockés aussi longtemps que nécessaire pour être utilisés à des fins d'analyse approfondie et de conformité.
Connectez-vous à ADAudit Plus et accédez à l’onglet Audit de fichiers. Sous Rapports d'audit de fichiers, naviguez jusqu'au rapport Accès en lecture aux fichiers.
Les détails que vous pouvez obtenir à partir de ce rapport sont les suivants :
- Quel fichier a été consulté
- Qui a accédé au fichier
- Quand le fichier a-t-il été consulté
- Quelle machine cliente a été utilisée pour accéder au fichier
- Le nom du serveur dans lequel se trouve le fichier
Vous pouvez également afficher les tentatives infructueuses de lecture, d'écriture ou de suppression d'un fichier. Les rapports contiennent les détails suivants :
- Le nom du fichier
- Le nom de l'utilisateur dont la demande a échoué
- L’heure à laquelle la demande a été effectuée
- Le nom du serveur dans lequel se trouve le fichier
Vous pouvez configurer ces rapports de manière à ce qu’ils soient générés automatiquement et vous soient envoyés par e-mail à intervalles spécifiés. Des alertes instantanées peuvent également être envoyées à votre adresse e-mail/téléphone lorsque des fichiers/dossiers critiques sont consultés. Ces rapports peuvent être exportés en tant que fichiers CSV, PDF, XLS ou HTML.
L'enregistrement de toutes les tentatives d'accès à un fichier (y compris celles qui ont échoué) facilite grandement les enquêtes en cas de violation de données. Vous pouvez retrouver tous les utilisateurs qui ont accédé à un fichier afin d'écarter d'éventuels suspects. Il peut également aider à identifier la machine cliente à partir de laquelle les tentatives infructueuses ont été effectuées, ce qui peut indiquer qu’un système est compromis.
L’audit natif devient-il un peu trop compliqué?
Simplifiez l'audit et la création de rapports Active Directory avec ADAudit Plus.
Télécharger gratuitement