Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
1582 connectés 

  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Réseaux

  Audit accès à un répertoire partagé

 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

Audit accès à un répertoire partagé

n°169511
damsworld
Posté le 29-04-2020 à 12:09:55  profilanswer
 

Bonjour,
 
Je sollicite votre aide pour un domaine que je ne maîtrise pas. Je sais que je trouverai plusieurs sympathiques experts ici.
Je travaille pour une société qui a une centaine d'utilisateurs en RDP qui accèdent notamment à 1 serveur de fichier. Il n'y a qu'un domaine, c'est plutôt simple.
Ils souhaiteraient savoir quels utilisateurs accèdent aux données.  
 
Exemple :
Est-ce que les comptables accèdent aux fichiers du dossier comptable, à quel fréquence? Vont-ils dans des dossiers où ils n'ont rien à faire comme le dossier comptable d'une société qui ne les concerne pas?
Vont-ils parfois essayer de lire le répertoire du service fabrication auquel ils n'ont pas accès ?
 
Je souhaiterais donc récupérer les réussites et échecs d'accès aux fichiers sur ce serveur avec les noms des comptes AD qui ont tenté d'accéder à la donnée.
 
Pour le moment, je n'ai créé aucune GPO sur les DC. J'ai activé en local sur le serveur de fichier:
Dans la stratégie avancée d'audit système :
- Auditer le partage de fichier détaillé
- Auditer la fermeture de session / Auditer l'ouverture de session
 
Dans Stratégie locales/Stratégie d'audit:
- Auditer l'accès aux objets
 
Puis, dans l'onglet sécurité, paramètres avancés, onglet Audit du dossier partagé, j'ai activé les entrée d'audit en réussite et échec.
 
Actuellement, je vois mes remontées dans l'observateur d’événement mais c'est peu pratique à analyser. Je ne connais pas PowerShell, je pense que c'est une piste à explorer pour créer des rapports csv par exemple. Le but final est de fournir un Excel hebdomadaire de tout ça.  
Je cherche. Si certains d'entres-vous souhaite m'apporter leur aide ou simplement me fournir des liens pour apprendre plus vite le powershell ou comprendre un peu mieux le fonctionnement de ces audits windows, je les remercie chaleureusement.
Merci!

mood
Publicité
Posté le 29-04-2020 à 12:09:55  profilanswer
 

n°169512
damsworld
Posté le 29-04-2020 à 12:10:49  profilanswer
 

Je précise que les serveurs sont en 2012R2, ça peut être utile.

n°169527
rufo
Pas me confondre avec Lycos!
Posté le 29-04-2020 à 22:56:11  profilanswer
 

Je ne suis pas expert dans ce domaine, mais y'a peut-être aussi un volet juridique en plus du volet technique de faire de genre de surveillance aussi fine :/


---------------
Astres, outil de help-desk GPL : http://sourceforge.net/projects/astres, ICARE, gestion de conf : http://sourceforge.net/projects/icare, Outil Planeta Calandreta : https://framalibre.org/content/planeta-calandreta
n°169529
unarcher
Posté le 30-04-2020 à 08:04:12  profilanswer
 

honnetement, avec le simple audit windows, t'arriveras a rien
Il faut des outils tiers pour pouvoir l'analyser, faire des rapports sur qui accede a quoi, qui se fait refuser, créer des alertes etc
Ceux ci analysent les logs Windows, et en font une vraie base de données interrogeable en temps réel.
 
Jettes un oeil du côté de Netwrix, Solarwinds, Varonis ou autres mais ce ne sera pas gratuit ;)
 
 

n°169530
damsworld
Posté le 30-04-2020 à 08:48:44  profilanswer
 

Bonjour,
 
Merci pour vos réponses. Côté juridique, je pense que la charte est là pour ça. Ces logiciels font beaucoup plus de choses et ce n'est pas le besoin pour le moment. Ou plutôt, le coût dépasse le curseur du besoin.
 
Pour être honnête Unarcher, j'ai commencé par la recherche de logiciels en effet mais je ne connaissais pas Netwrix. Je me renseigne, merci !

n°169531
rufo
Pas me confondre avec Lycos!
Posté le 30-04-2020 à 09:28:32  profilanswer
 

Sinon, codage d'un outil en internet pour répondre pile-poil au besoin. Eventuellement via un stage... Récupérer certains logs windows et les mettre en BD + faire une petite IHM de recherche, c'est pas la mort.


---------------
Astres, outil de help-desk GPL : http://sourceforge.net/projects/astres, ICARE, gestion de conf : http://sourceforge.net/projects/icare, Outil Planeta Calandreta : https://framalibre.org/content/planeta-calandreta
n°169532
nebulios
Posté le 30-04-2020 à 10:34:57  profilanswer
 

damsworld a écrit :


 
Dans Stratégie locales/Stratégie d'audit:
- Auditer l'accès aux objets


C'est l'audit legacy ça, utilize plutôt l'audit avancé (Vista et +) , il faut l'activer dans les options de sécurité.

n°169545
damsworld
Posté le 30-04-2020 à 17:43:45  profilanswer
 

Bon.
J'ai activé une autre option d'audit pour avoir les 4663 qui semblent être les logs qui m'intéressent. J'ai trouvé un script sur le net et en le simplifiant, ça m'a pris du temps comme je suis débutant en powershell, j'ai fait un csv qui contient tous mes logs.
 J'ai donc l'heure, la personne, le chemin du fichier. Il me manque encore le type (Lecture, écriture, effacement...) mais j'avance doucement.  
 
Je ferai une interface pour importer ça en base chaque soir, je sais pas encore. On verra.

n°169546
damsworld
Posté le 30-04-2020 à 17:52:10  profilanswer
 

Merci nebulios, c'est ce que j'ai compris en parcourant le web mais c'est pourtant ce que j'ai de mieux pour le moment.  
 
Les stratégies avancées me ramènent beaucoup d'infos et je ne sais pas encore lesquels traiter dans le lot. Mon objectif est d'arriver à mes fins par le moyen que je trouve. Ensuite, je chercherai à faire mieux..
Car effectivement, baser mon affaire sur des clés abandonnées, ce n'est pas acceptable. On est d'accord.

n°169547
nebulios
Posté le 30-04-2020 à 18:31:14  profilanswer
 

Justement, l'audit avancé a pour particularité d'être beaucoup plus granulaire que l'audit legacy, donc ça te facilitera les choses.
 
Ensuite il faut que niveau delegation de groups et ACL tout soit OK aussi, sinon tu n'iras pas très loin.

mood
Publicité
Posté le 30-04-2020 à 18:31:14  profilanswer
 

n°169554
unarcher
Posté le 01-05-2020 à 17:36:32  profilanswer
 

rufo a écrit :

Sinon, codage d'un outil en internet pour répondre pile-poil au besoin. Eventuellement via un stage... Récupérer certains logs windows et les mettre en BD + faire une petite IHM de recherche, c'est pas la mort.


En terme de temps passé, ca risque de couter plus cher que de prendre un outil du marché.  
Et avec un résultat qui sera beaucoup moins évolué et utilisable  
 
Réinventer la roue, j'ai jamais trouvé ça génial. Le developpement ca devrait être reservé à des besoins spécifiques, pas a des besoins génériques qui existent partout dans le monde.

n°169559
rufo
Pas me confondre avec Lycos!
Posté le 01-05-2020 à 19:24:20  profilanswer
 

Ca dépend du coût des outils du marcher et de leur adéquation avec le besoin. S'ils coûtent chers parce qu'ils font énormément de choses alors que l'entreprise a besoin juste d'une toute petite portion du logiciel, ça peut coûter moins cher de développer soi-même cette petite portion, en particulier si c'est pas dur à faire et que ça peut être fait par un stagiaire.
 
Par contre, si un truc coûte pas trop cher et colle au besoin, oui, pas besoin de réinventer la roue.


---------------
Astres, outil de help-desk GPL : http://sourceforge.net/projects/astres, ICARE, gestion de conf : http://sourceforge.net/projects/icare, Outil Planeta Calandreta : https://framalibre.org/content/planeta-calandreta

Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Réseaux

  Audit accès à un répertoire partagé

 

Sujets relatifs
vlan untagged, tag, acces, trunk même chose? Acces a distance vers réseau local
Stockage partagé sur le réseauWindows Server 2019 Partage de montage réseau - DFS ?
acces au local distantBackup operators et accès réseau
Transfert Raccourci "Favoris" To "Acces Rapide"Droit admin sur serveur pour accès session TSE
HyperV et accès internet uniquement sur la VM 
Plus de sujets relatifs à : Audit accès à un répertoire partagé


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR