Magic Quadrant™ pour la gestion des accès privilégiés 2025 : Netwrix reconnue pour la quatrième année consécutive. Téléchargez le rapport.

Contactez-nousSupportCommunauté
English Español Italiano Français Deutsch Português
Plateforme
Solutions

Data Security Posture Management

Découvrez et classez les données dans des environnements hybrides. Évaluez, priorisez et atténuez les risques pour les données sensibles.

Directory Management

Simplifiez et sécurisez l'administration des annuaires en réduisant la complexité, les risques et les efforts manuels.

Endpoint Management

Sécurisez les points de terminaison et prévenez la perte de données tout en maintenant la productivité des équipes, peu importe où elles travaillent.

Identity Management

Sécurisez chaque identité, simplifiez chaque processus et restez en avance sur la conformité — sans ajouter de complexité.

Identity Threat Detection & Response

Restez en avance sur les menaces basées sur l'identité — remédiez proactivement aux risques, bloquez les attaques et assurez une récupération rapide.

Privileged Access Management

Réduisez votre surface d'attaque en supprimant les privilèges permanents, en sécurisant les identifiants et en surveillant les sessions privilégiées.
Produits vedettes Voir tous les produits
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

La plateforme Netwrix 1Secure™

Explorez
Netwrix AI Environnements que nous protégeons Intégrations MSPs Risques de sécurité Active Directory Conformité Tarification
Centre de ressources Voir tout
BlogAttack CatalogConformitéTémoignages de clientsCadres de cybersécuritéGlossaire de la cybersécuritéÉvénementsFreewareGuidesIdeas PortalActualitésPodcastsPublicationsAnnonces de produitsRechercheWebinars
Asset not found

Témoignage client à la une

DXC Technology permet aux clients d'atteindre la conformité PCI DSS et de se concentrer sur des initiatives stratégiques
Partenaires
Programme PartenaireDevenez partenaireMSPsLocalisateur de partenairesWebinars
Asset not found

Histoire à la une d'un client

AppRiver améliore le contrôle sur Active Directory tout en réduisant considérablement le temps d'audit
Asset not found

Témoignage client à la une

Un MSP aide un client à se remettre d'un rançongiciel en 6 heures
Pourquoi Netwrix
À propos de nousLeadershipNetwrix AITémoignages clientsReconnaissanceActualitésCarrières
Asset not found

Histoire à la une d'un client

Horizon Leisure Centres accélère la classification des données pour se conformer au RGPD et économise 80 000 £ par an
Asset not found

Témoignage client à la une

L'Institut de R&D Samsung sécurise les données avec une utilisation multiplateforme et un déploiement rapide sur macOS grâce à Netwrix Endpoint Protector
Centre de ressourcesBlog
Surveillance des accès aux fichiers Windows

Surveillance des accès aux fichiers Windows

Dec 9, 2022

Dans cet article, nous allons plonger dans la configuration de l'file access auditing sur un serveur de fichiers Windows et explorer les défis liés à l'interprétation des événements d'accès critiques.

Contexte

La première étape dans le développement d'une stratégie d'audit efficace consiste à bien comprendre vos systèmes, cas d'utilisation et besoins commerciaux, afin d'éviter l'impact de la configuration d'un périmètre d'audit plus large que nécessaire. Plus vous choisissez de paramètres de audit policy et plus vous auditez de fichiers et de dossiers, plus le serveur de fichiers doit travailler pour consigner les événements, plus d'espace de stockage est nécessaire pour accueillir le volume d'événements, et plus les administrateurs de données doivent analyser pour comprendre qui accède à quoi.

Par conséquent, avant d'activer une politique d'audit, assurez-vous de :

  • Déterminez où les données les plus critiques de votre organisation sont stockées et priorisez quels fichiers et dossiers doivent être audités.
  • Déterminez la quantité de stockage qui sera nécessaire pour prendre en charge les paramètres d'audit choisis.

Contenu connexe sélectionné :

Configuration de l'audit d'accès aux fichiers sur un serveur de fichiers Windows

Dans ce billet de blog, je vais montrer comment activer une politique d'audit avancée via Group Policy sur un contrôleur de domaine exécutant Windows Server 2016 R2. (Si vous avez juste un seul serveur de fichiers, vous pourriez utiliser la Security Policy à la place.)

La politique d'audit avancée permet aux administrateurs d'être plus sélectifs dans les types et le nombre d'événements à retourner que ce qu'ils peuvent faire avec les paramètres de politique d'audit de base. En particulier, en ce qui concerne l'audit de l'accès aux fichiers, la politique d'audit de base fournit un paramètre unique tandis que la politique avancée offre 14 sous-catégories. Dans cet exemple, nous activerons les options suivantes :

  • Audit File System — Audite les tentatives d'accès des utilisateurs aux objets du système de fichiers.
  • Audit de la manipulation des handles — Ajoute de la visibilité sur les tentatives d'accès échouées.
  • Créez un nouvel objet de stratégie de groupe (GPO) via Group Policy Management et saisissez un nom approprié.
Image
  • Cliquez avec le bouton droit sur le nouveau GPO pour lancer la fenêtre de l'éditeur de gestion des stratégies de groupe.
Image
  • Accédez à Configuration de l'ordinateur –> Paramètres Windows –> Configuration de la stratégie d'audit avancée –> Stratégies d'audit –> Accès aux objets.
Image
  • Double-cliquez sur Audit File System. Ensuite, sélectionnez Configurez les événements d'audit suivants et choisissez à la fois Succès et Échec. Enregistrez vos modifications en cliquant sur Appliquer puis cliquez sur OK.
Image
  • Double-cliquez sur Audit Handle Manipulation. Sélectionnez Configurez les événements d'audit suivants et choisissez à la fois Succès et Échec. Cliquez ensuite sur Appliquer et puis sur OK.
Image
  • Maintenant, nous devons lier le nouveau GPO avec l'UO qui contient les serveurs de fichiers. Dans la gestion des stratégies de groupe, cliquez droit sur l'UO, sélectionnez Lier un GPO existant…, sélectionnez le GPO que nous avons créé (Politique d'accès au système de fichiers) et cliquez sur OK pour l'appliquer à l'UO sélectionnée. Puis forcez les serveurs de fichiers à vérifier la nouvelle stratégie de groupe : Cliquez droit sur l'UO dans la gestion des stratégies de groupe à nouveau, cliquez sur Mise à jour de la stratégie de groupe et suivez les étapes de l'assistant.
Image
  • Accédez aux propriétés du journal de sécurité sur le serveur de fichiers Windows cible. Ensuite, configurez la Maximum log size (KB) et l'action à entreprendre si la taille maximale du journal des événements est atteinte.
Image
  • Accédez à l'onglet sécurité des propriétés de chaque dossier cible –> cliquez sur Avancé –> naviguez jusqu'à l'onglet Audit –> cliquez sur Ajouter –> configurez les paramètres d'audit. En supposant que ces dossiers contiennent les actifs les plus critiques de votre organisation, vous voudrez probablement surveiller les événements d'accès de tous les utilisateurs en sélectionnant le principal “Tout le monde”.
Image

Défis de l'audit des accès aux fichiers

Examinons maintenant certains des principaux défis de l'audit des accès aux fichiers.

Volume élevé d'événements

Les administrateurs ont souvent du mal à gérer efficacement l'énorme volume de données d'audit qui est produit. Par exemple, examinons les événements créés par le scénario commun suivant :

  1. Un utilisateur ouvre un document Microsoft Word sur un partage de fichiers.
  2. L'utilisateur modifie le document.
  3. L'utilisateur enregistre et ferme le document.

Ce comportement ordinaire entraînerait l'écriture de plus de 200 événements dans le journal des événements, comme indiqué ci-dessous. Multipliez cela par le nombre de fois que cette activité sera effectuée par les utilisateurs chaque jour, et il est facile de voir comment la tâche de surveillance de l'accès aux fichiers devient rapidement ingérable !

Image

Voici plus de détails sur les événements qui pourraient être renvoyés dans notre scénario simple :

ID d'événement

Description


Détails

4656

Une poignée vers un objet a été demandée

Ceci est le premier événement enregistré lorsqu'un utilisateur tente d'accéder à un fichier ; il inclut le type d'accès qui est demandé.

4658

La référence à un objet a été fermée

Cet événement enregistre quand une poignée sur un objet a été fermée. Il est utile pour déterminer combien de temps un fichier est resté ouvert.

4660

Un objet a été supprimé

Cet événement est enregistré lorsqu'un objet a été supprimé. Pour savoir de quel objet il s'agit, vous devez le mettre en relation avec un événement 4656 correspondant.

4663

Une tentative a été faite pour accéder à un objet

Cet événement identifie l'opération tentée contre un fichier ou un dossier, telle que ReadData, WriteData ou Delete.

4670

Les autorisations sur un objet ont été modifiées

Cet événement est enregistré lorsque les permissions d'un fichier ou dossier sont modifiées. Il indique qui a effectué le changement ainsi que les valeurs avant et après.

Bruit provenant des fichiers temporaires

L'exemple ci-dessus a retourné 230 événements — mais près de la moitié d'entre eux ont été enregistrés contre des fichiers temporaires qui n'ont existé que pendant une courte période.

Microsoft Office utilise des fichiers temporaires à plusieurs fins, notamment pour l'enregistrement automatique des données pendant l'édition, libérer de la mémoire et éviter la perte de données. Bien que cela offre aux utilisateurs une meilleure expérience, c’est un énorme casse-tête pour l'administrateur chargé de gérer le journal d'audit : Pour donner un sens aux objets auxquels il est accédé, il doit non seulement corréler plusieurs ID d'événement différents, mais aussi identifier et écarter les événements liés aux fichiers temporaires.

Difficulté à comprendre les modifications des permissions

L'événement 4670 est enregistré lorsqu'une permission sur un fichier ou un dossier est modifiée. Il est essentiel de surveiller ces événements car ils peuvent mettre en danger des informations sensibles, comme lorsqu'une permission de dossier est ajoutée au groupe Domain Users. Voici un exemple d'événement :

Image

L'événement 4670 peut être difficile à gérer pour plusieurs raisons :

  • Le descripteur de sécurité est représenté en utilisant le langage Security Descriptor Definition Language (SDDL), donc l'administrateur doit le traduire dans un format lisible.
  • Une fois traduit, l'administrateur doit comparer minutieusement les descripteurs de sécurité originaux et nouveaux afin d'identifier la permission modifiée.

Corrélation des événements pour comprendre les mouvements de fichiers

Comprendre le déplacement de fichiers d'un emplacement à un autre peut être crucial, par exemple, lorsqu'un document d'utilisateur est manquant et doit être retrouvé. Mais déplacer un fichier, que ce soit par glisser-déposer ou couper-coller, génère de multiples événements, dont beaucoup sont des événements 4663. Afin de déterminer où un fichier a été déplacé, les administrateurs doivent manuellement filtrer les événements parasites et corréler les événements 4663 qui ont un Handle ID correspondant.

Image

Comment Netwrix peut-il aider ?

Comme nous l'avons constaté, l'audit natif de l'accès aux fichiers submerge les administrateurs avec tant de données d'événements et d'efforts de filtrage et de corrélation manuels qu'il n'est pas une manière viable de répondre aux questions cruciales concernant l'accès aux fichiers, les changements de permissions et les mouvements de fichiers.

Le logiciel de gouvernance d'accès aux données de Netwrix offre une approche efficace et évolutive pour la surveillance des activités de fichiers. De plus, cela vous aidera à réduire le risque d'incidents de cybersécurité en vous permettant de comprendre qui a accès à quoi et de limiter strictement l'accès aux données sensibles. Vous pouvez :

  • Auditez l'activité à travers votre écosystème informatique.
  • Réduisez l'accès aux données sensibles au strict nécessaire pour diminuer le risque de menaces internes et minimiser les dommages causés par les rançongiciels et autres attaques.
  • Rationalisez les attestations de privilèges régulières par les propriétaires de données.
  • Protégez les données sensibles où qu'elles aillent avec un marquage précis et cohérent du contenu.

FAQ

Comment surveiller l'accès aux fichiers sous Windows ?

La surveillance de l'accès aux fichiers Windows nécessite l'activation de la politique d'audit pour l'accès aux objets et la configuration de dossiers spécifiques pour l'audit. Commencez par ouvrir la Gestion des stratégies de groupe (gpedit.msc) et naviguez jusqu'à Configuration de l'ordinateur > Paramètres Windows > Paramètres de sécurité > Stratégies locales > Politique d'audit. Activez « Audit de l'accès aux objets » pour les événements de réussite et d'échec. Ensuite, faites un clic droit sur les dossiers que vous souhaitez surveiller, sélectionnez Propriétés > Sécurité > Avancé > Audit, et ajoutez des utilisateurs ou des groupes avec les types d'accès spécifiques que vous souhaitez suivre.

Le défi avec la surveillance native de Windows est qu'elle génère d'énormes quantités de données de journal sans contexte. Vous verrez qui a accédé à quel fichier, mais relier cette activité à un risque commercial réel nécessite une analyse manuelle. Data Security That Starts with Identity signifie comprendre non seulement l'accès aux fichiers, mais aussi si cet accès est conforme aux responsabilités professionnelles et aux besoins de l'entreprise. Les organisations ont besoin de solutions qui corréler automatiquement les modèles d'accès aux fichiers avec les rôles des utilisateurs, la sensibilité des données et les exigences de conformité pour détecter les comportements à risque avant qu'ils ne se transforment en violation.

Comment activer l'audit de fichiers dans Windows Server 2016 ?

Windows Server 2016 file auditing configuration follows a two-step process: enabling the audit policy and configuring folder-level auditing. Open the Group Policy Management Console and navigate to Computer Configuration > Policies > Windows Settings > Security Settings > Advanced Audit Policy Configuration > Object Access. Enable “Audit File System” for success and failure events. Apply the policy using gpupdate /force.

Pour l'audit spécifique à un dossier, accédez aux Propriétés du dossier cible > onglet Sécurité > Avancé > onglet Audit. Cliquez sur Ajouter pour créer de nouvelles entrées d'audit, en spécifiant quels utilisateurs ou groupes surveiller et quelles actions déclenchent des événements d'audit (Lecture, Écriture, Suppression, Modification des Permissions). Windows Server 2016 a introduit des capacités de filtrage améliorées, mais vous devrez toujours gérer manuellement le flot de données d'audit. La clé est de se concentrer sur les dépôts de données à haute valeur et de comprendre qu'une surveillance efficace relie l'accès aux fichiers au contexte d'identité – et non pas juste enregistrer tout ce qui bouge.

Comment activer l'audit de fichiers dans Windows Server 2019 ?

Windows Server 2019 simplifie l'audit de fichiers avec des options de stratégie de groupe améliorées et un filtrage d'événements perfectionné. Accédez à la Configuration de la politique d'audit avancée via Gestion de la stratégie de groupe > Configuration de l'ordinateur > Stratégies > Paramètres Windows > Paramètres de sécurité > Configuration de la politique d'audit avancée > Accès aux objets. Activez « Audit du système de fichiers » et envisagez d'activer « Audit du partage de fichiers » pour la surveillance de l'accès réseau.

Configurez l'audit de dossiers via l'onglet Sécurité > Avancé > Audit, où Server 2019 offre un contrôle plus granulaire sur les opérations de fichiers qui génèrent des événements. La plateforme comprend un meilleur filtrage pour les fichiers temporaires et les processus systèmes, réduisant ainsi les bruits dans les journaux d'audit. Cependant, le défi fondamental demeure : les données d'audit brutes ne se traduisent pas automatiquement en informations de sécurité. Vous pouvez enregistrer chaque interaction avec un fichier, mais sans le contexte basé sur l'identité, vous collectez des données au lieu de renseignements exploitables. Les organisations se concentrent sur la connexion des modèles d'accès aux fichiers à l'analyse comportementale des utilisateurs et à la data classification pour identifier les menaces réelles plutôt que de se noyer dans les entrées de journal.

Où les événements d'audit du système de fichiers Windows sont-ils enregistrés ?

Les événements d'audit du système de fichiers Windows sont enregistrés dans le journal des événements de sécurité Windows, accessibles via l'Observateur d'événements sous Journaux Windows > Sécurité. Ces événements apparaissent généralement avec les identifiants d'événements 4656 (demande de handle), 4658 (handle fermé), 4663 (tentative d'accès) et 4660 (objet supprimé). Vous pouvez filtrer le journal de sécurité par ces identifiants d'événements spécifiques pour vous concentrer sur l'activité d'accès aux fichiers.

Le journal des événements de sécurité présente des limites pour la surveillance des fichiers en entreprise. Il se remplit rapidement, les événements manquent de contexte commercial et la corrélation des modèles d'accès sur plusieurs serveurs devient un processus manuel. Chaque événement affiche des détails techniques tels que les SID des utilisateurs et les chemins de fichiers, mais n'indique pas si l'accès représente une activité commerciale normale ou une menace potentielle de l'intérieur. Une surveillance des fichiers de niveau entreprise nécessite une collecte centralisée des journaux, une corrélation automatisée avec les informations d'identité et un filtrage intelligent basé sur la sensibilité des données et les rôles des utilisateurs. L'objectif n'est pas seulement de capturer chaque interaction avec les fichiers – il s'agit de comprendre quels modèles d'accès représentent un risque réel pour votre Data Security Posture Management.

Partager sur

En savoir plus

À propos de l'auteur

Asset Not Found

Joe Dibley

Chercheur en sécurité

Chercheur en sécurité chez Netwrix et membre de l'équipe de recherche en sécurité de Netwrix. Joe est un expert en Active Directory, Windows et une grande variété de plateformes logicielles d'entreprise et de technologies, Joe étudie les nouveaux risques de sécurité, les techniques d'attaque complexes, ainsi que les atténuations et détections associées.

En savoir plus sur ce sujet

Lois sur la confidentialité des données par État : Différentes approches de la protection de la vie privée

Exemple d'analyse des risques : Comment évaluer les risques

Le Triangle CIA et son application dans le monde réel

Qu'est-ce que la gestion des documents électroniques ?

Analyse quantitative des risques : Espérance de perte annuelle

Derniers blogs

Les cinq prochaines minutes de conformité : construire une sécurité des données axée sur l'identité à travers l'APAC

Gestion de la configuration pour un contrôle sécurisé des points de terminaison

Classification des données et DLP : Prévenir la perte de données, prouver la conformité

Conformité CMMC et le rôle crucial du contrôle de type MDM des clés USB dans la protection des CUI

DSPM, ASM et ITDR : Élaboration d'une stratégie de sécurité axée sur les données et consciente des expositions

Du bruit à l'action : transformer le risque des données en résultats mesurables

L'IA au travail : Vitesse, Risque et Pourquoi la Simplicité l'emporte

Lois sur la confidentialité des données par État : Différentes approches de la protection de la vie privée

Exemple d'analyse des risques : Comment évaluer les risques

Le Triangle CIA et son application dans le monde réel

Nos articles les plus populaires

Types courants d'appareils réseau et leurs fonctions

Comment exécuter un script PowerShell à partir du Planificateur de tâches

Comment installer et utiliser Active Directory Users and Computers (ADUC) ?

Téléchargez et installez PowerShell 7

Les cyberattaques les plus grandes et les plus notoires de l'histoire

Commandes PowerShell essentielles : Une feuille de triche pour les débutants

Un aperçu de l'attaque cybernétique MGM

Extraction des hachages de mot de passe du fichier Ntds.dit

Guide pour monter des partages Unix avec un client NFS Windows

Comment les ports ouverts insécurisés et vulnérables posent de sérieux risques de sécurité