Magic Quadrant™ pour la gestion des accès privilégiés 2025 : Netwrix reconnue pour la quatrième année consécutive. Téléchargez le rapport.

Contactez-nousSupportCommunauté
English Español Italiano Français Deutsch Português
Plateforme
Solutions

Data Security Posture Management

Découvrez et classez les données dans des environnements hybrides. Évaluez, priorisez et atténuez les risques pour les données sensibles.

Directory Management

Simplifiez et sécurisez l'administration des annuaires en réduisant la complexité, les risques et les efforts manuels.

Endpoint Management

Sécurisez les points de terminaison et prévenez la perte de données tout en maintenant la productivité des équipes, peu importe où elles travaillent.

Identity Management

Sécurisez chaque identité, simplifiez chaque processus et restez en avance sur la conformité — sans ajouter de complexité.

Identity Threat Detection & Response

Restez en avance sur les menaces basées sur l'identité — remédiez proactivement aux risques, bloquez les attaques et assurez une récupération rapide.

Privileged Access Management

Réduisez votre surface d'attaque en supprimant les privilèges permanents, en sécurisant les identifiants et en surveillant les sessions privilégiées.
Produits vedettes Voir tous les produits
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

La plateforme Netwrix 1Secure™

Explorez
Netwrix AI Environnements que nous protégeons Intégrations MSPs Risques de sécurité Active Directory Conformité Tarification
Centre de ressources Voir tout
BlogAttack CatalogConformitéTémoignages de clientsCadres de cybersécuritéGlossaire de la cybersécuritéÉvénementsFreewareGuidesIdeas PortalActualitésPodcastsPublicationsAnnonces de produitsRechercheWebinars
Asset not found

Témoignage client à la une

DXC Technology permet aux clients d'atteindre la conformité PCI DSS et de se concentrer sur des initiatives stratégiques
Partenaires
Programme PartenaireDevenez partenaireMSPsLocalisateur de partenairesWebinars
Asset not found

Histoire à la une d'un client

AppRiver améliore le contrôle sur Active Directory tout en réduisant considérablement le temps d'audit
Asset not found

Témoignage client à la une

Un MSP aide un client à se remettre d'un rançongiciel en 6 heures
Pourquoi Netwrix
À propos de nousLeadershipNetwrix AITémoignages clientsReconnaissanceActualitésCarrières
Asset not found

Histoire à la une d'un client

Horizon Leisure Centres accélère la classification des données pour se conformer au RGPD et économise 80 000 £ par an
Asset not found

Témoignage client à la une

L'Institut de R&D Samsung sécurise les données avec une utilisation multiplateforme et un déploiement rapide sur macOS grâce à Netwrix Endpoint Protector
Centre de ressourcesBlog
Qu'est-ce que la surveillance de l'intégrité des fichiers Windows ?

Qu'est-ce que la surveillance de l'intégrité des fichiers Windows ?

Nov 3, 2021

Les acteurs malveillants peuvent causer beaucoup de dommages à votre entreprise, à vos employés et à vos clients s'ils parviennent à accéder à vos systèmes. Outre le vol et la fuite de données, ils peuvent également modifier vos configurations, applications et fichiers système — et supprimer les journaux pour couvrir leurs traces.

La surveillance de l'intégrité des fichiers (FIM) peut vous aider à protéger votre entreprise. En tant que technologie de sécurité informatique et processus de sécurité qui suit les modifications de fichiers pour déterminer si des fichiers ont été supprimés ou altérés, le FIM peut vous aider à prévenir et atténuer les modifications non autorisées des fichiers système.

Contenu connexe sélectionné :

Continuez à lire pour en savoir plus sur FIM, pourquoi c'est important, comment cela fonctionne et sur quoi vous devriez vous concentrer lors de l'évaluation des solutions FIM.

Qu'est-ce que la surveillance de l'intégrité des fichiers (FIM) ?

Une solution FIM est un logiciel de suivi des modifications et de détection des intrusions qui vérifie les fichiers de base de données, du système d'exploitation et de Windows pour déterminer s'ils ont été modifiés et si oui, par qui et quand.

Pourquoi devez-vous utiliser une solution FIM ?

FIM aide les organisations :

Contenu connexe sélectionné :

À quelle fréquence faut-il effectuer les vérifications d'intégrité des fichiers Windows ?

Les normes de conformité de sécurité telles que la norme PCI DSS exigent des contrôles d'intégrité des fichiers hebdomadaires. Cependant, des contrôles hebdomadaires peuvent ne pas suffire à prévenir de graves violations de la data security. Ces dernières années, les acteurs de la menace sont devenus beaucoup plus dangereux — ils n'ont maintenant besoin que de quelques heures ou jours pour causer des dommages sérieux.

C'est pourquoi vous avez besoin de solutions de surveillance de fichiers en temps réel avec détection continue. Si vous effectuez des contrôles d'intégrité des fichiers seulement une fois par semaine, des menaces peuvent passer inaperçues sous votre radar jusqu'à ce qu'il soit trop tard.

Quelles données la surveillance de l'intégrité des fichiers Windows devrait-elle couvrir ?

Votre solution FIM devrait surveiller ce qui suit :

Dossiers et fichiers Windows

Au minimum, vous devriez utiliser la surveillance de l'intégrité des fichiers pour :

  • Program files (x86)
  • Fichiers de programme
  • System 32
  • SysWow64

Vous devriez également envisager d'appliquer FIM au lecteur système Windows (C:Windows). Cependant, comme pour la surveillance du registre, cela peut entraîner un grand nombre de faux positifs. Par conséquent, vous devez exclure les fichiers qui changent régulièrement, y compris les fichiers de base de données et les fichiers journaux actifs comme C:WindowsLogs.

Inclure et exclure des fichiers pour la surveillance peut être difficile si vous devez le faire manuellement. Il est judicieux d'investir dans un outil FIM qui vous permet de localiser rapidement les fichiers en utilisant à la fois le filtrage par type de fichier et extension, et les expressions régulières (regex), qui sont des motifs de recherche permettant de localiser des fichiers et dossiers contenant des caractères spécifiques. De plus, recherchez une détection de changement intelligente qui peut identifier les changements inattendus et autres menaces réelles.

Tous les attributs de dossiers et de fichiers ainsi que leur contenu

Votre outil FIM doit suivre tous les attributs des dossiers et fichiers, y compris les suivants :

  • État actuel
  • Privilèges, permissions et autres paramètres de sécurité
  • Taille et attributs principaux
  • Identifiants
  • Valeurs de configuration

Certaines solutions FIM suivent également le contenu des fichiers. Cela est souvent peu pratique, en particulier pour les gros fichiers. Une meilleure approche consiste à suivre des métadonnées telles que :

  • Nom et chemin
  • Valeurs de hachage cryptographiques
  • Taille et longueur
  • Dates de création et d'accès

Clés, ruches et valeurs du registre Windows

De plus, vous devriez appliquer FIM aux clés, ruches et valeurs du registre Windows, car ils contrôlent les paramètres de configuration de Windows. Assurez-vous de surveiller :

  • Programmes installés et mises à jour
  • Les politiques locales d'audit et de sécurité, qui incluent tout, des paramètres du pare-feu Windows à votre écran de veille
  • Comptes d'utilisateurs locaux

Notez que le registre contient des millions de valeurs, dont beaucoup changent fréquemment pendant le fonctionnement de Windows. Pour réduire le volume d'alertes de faux positifs, vous aurez besoin de capacités d'inclusion et d'exclusion fines, comme expliqué ci-dessus.

Comment Windows FIM détecte-t-il les menaces ?

Pour détecter les changements, les solutions de Windows file integrity monitoring doivent utiliser des valeurs de hachage cryptographique générées à l'aide d'un algorithme de hachage sécurisé tel que MD5, SHA1, SHA256 ou SHA512. Cette approche fournit une empreinte génétique ‘ADN’ unique pour chaque fichier qui permet de détecter même les changements minimes, car la moindre modification du contenu ou de la composition d'un fichier a un grand impact sur la valeur de hachage.

Des valeurs de hachage cryptographiques peuvent être attribuées à tout type de fichier, y compris les fichiers binaires (tels que .dll, .exe, .drv et .sys) et les fichiers de configuration basés sur du texte (tels que .js, XML et les archives compressées).

Sur quoi devez-vous vous concentrer lors de l'évaluation des solutions FIM pour Windows ?

Lors de l'évaluation des solutions de surveillance de l'intégrité des fichiers Microsoft, posez les questions clés suivantes :

La solution utilise-t-elle des méthodes modernes de FIM ?

Les solutions traditionnelles de FIM suivent et vérifient tous les attributs de fichiers et de dossiers en créant une base de référence qui contient toutes les valeurs de hachage et les métadonnées de vos fichiers, et en comparant ces valeurs de référence avec les versions les plus récentes des fichiers. Cependant, elles ne vérifient les changements que quotidiennement ou hebdomadairement. Elles sont également extrêmement gourmandes en ressources et manquent de fonctionnalités essentielles telles que la surveillance en temps réel, le stockage centralisé des événements de sécurité et le contexte expliquant pourquoi les fichiers systèmes ont changé. Ces lacunes rendent extrêmement difficile pour les spécialistes en cybersécurité de repérer les changements potentiellement dangereux dans l'immense mer de modifications acceptables.

En revanche, les solutions modernes d'intégrité de fichiers telles que Netwrix Change Tracker utilisent un agent FIM pour détecter en continu les changements et émettre des alertes en temps réel. Elles comportent également :

  • La mise en liste blanche de fichiers basée sur le contexte et la surveillance de l'intégrité des fichiers pour garantir que toute activité de changement est automatiquement analysée afin de différencier les bons des mauvais changements, ce qui réduit considérablement le bruit des changements et la fatigue des alertes
  • Certifié et complet DISA STIG et CIS durcissement de configuration pour garantir que tous les systèmes sont sécurisés à tout moment

La solution prend-elle en charge Microsoft Azure ?

Si vous utilisez Microsoft Azure, il est essentiel que votre solution FIM le prenne en charge. Azure est fourni avec Microsoft Defender for Cloud, une solution de surveillance de l'intégrité des fichiers qui vous aide à protéger vos données. Cependant, bien que Defender for Cloud puisse détecter de nombreuses anomalies, un nombre significatif de menaces peut encore passer inaperçu car il manque des fonctionnalités critiques telles que le stockage centralisé des événements de sécurité, la détection des changements planifiés par rapport aux imprévus, et la surveillance en temps réel. Ces lacunes peuvent rendre difficile la compréhension de savoir si les changements détectés sont malveillants ou acceptables.

En conséquence, vous devriez investir dans un outil FIM tiers tel que Netwrix Change Tracker qui peut détecter chaque modification de votre environnement cloud Microsoft Azure et vous alerter en temps réel sur les modifications non autorisées afin que vous puissiez répondre rapidement aux incidents de sécurité du cloud.

FAQ

1. Comment Windows FIM détecte-t-il les malwares zero-day ?

Les solutions FIM de Windows utilisent une valeur de hachage cryptographique pour suivre chaque fichier dans votre système. Lorsqu'un logiciel malveillant de type zero-day pénètre dans votre système, les valeurs de hachage des fichiers critiques changeront et la solution FIM alertera votre équipe de sécurité. Cette approche fonctionne pour tout type de fichier, y compris les fichiers .drv, .exe, .dll, .sys et les fichiers d'archives compressés.

2. À quelle fréquence doit-on effectuer une vérification de l'intégrité des fichiers Windows ?

Bien que la PCI n'exige que des contrôles hebdomadaires, cela peut ne pas suffire à prévenir de graves violations de la Data Security. Les acteurs de menaces modernes n'ont besoin que de quelques heures ou jours pour semer le chaos dans vos systèmes et données, rendant la détection rapide plus critique que jamais. Tout retard pourrait s'avérer coûteux.

3. Est-ce que Microsoft Defender for Cloud fournit une FIM ?

Oui, Microsoft Defender for Cloud examine les registres Windows, les fichiers du système d'exploitation, les fichiers systèmes Linux, les logiciels d'application et d'autres fichiers à la recherche de modifications qui pourraient indiquer une cyberattaque.

Cependant, il ne peut pas faire la distinction entre les changements planifiés et non planifiés, donc les équipes de sécurité peuvent être submergées par les alertes. De plus, Defender for Cloud ne fournit pas de surveillance en temps réel, donc les acteurs de la menace peuvent avoir le temps de mener à bien leurs attaques avant qu'une alerte soit émise. Par conséquent, investir dans une solution FIM tierce peut être une stratégie judicieuse.

Partager sur

En savoir plus

À propos de l'auteur

Asset Not Found

Dirk Schrader

Vice-président de la Recherche en Sécurité

Dirk Schrader est un Resident CISO (EMEA) et VP of Security Research chez Netwrix. Fort d'une expérience de 25 ans dans la sécurité informatique avec des certifications telles que CISSP (ISC²) et CISM (ISACA), il œuvre pour promouvoir la cyber résilience comme approche moderne pour faire face aux menaces cybernétiques. Dirk a travaillé sur des projets de cybersécurité dans le monde entier, commençant par des rôles techniques et de support au début de sa carrière, puis évoluant vers des postes de vente, marketing et gestion de produit chez de grandes multinationales ainsi que dans de petites startups. Il a publié de nombreux articles sur la nécessité de s'attaquer à la gestion des changements et des vulnérabilités pour atteindre la cyber résilience.

En savoir plus sur ce sujet

Exemple d'analyse des risques : Comment évaluer les risques

Le Triangle CIA et son application dans le monde réel

Créez des utilisateurs AD en masse et envoyez leurs identifiants par e-mail à l'aide de PowerShell

Comment ajouter et supprimer des groupes AD et des objets dans des groupes avec PowerShell

Attributs Active Directory : Dernière connexion

Derniers blogs

Les cinq prochaines minutes de conformité : construire une sécurité des données axée sur l'identité à travers l'APAC

Gestion de la configuration pour un contrôle sécurisé des points de terminaison

Classification des données et DLP : Prévenir la perte de données, prouver la conformité

Conformité CMMC et le rôle crucial du contrôle de type MDM des clés USB dans la protection des CUI

DSPM, ASM et ITDR : Élaboration d'une stratégie de sécurité axée sur les données et consciente des expositions

Du bruit à l'action : transformer le risque des données en résultats mesurables

L'IA au travail : Vitesse, Risque et Pourquoi la Simplicité l'emporte

Lois sur la confidentialité des données par État : Différentes approches de la protection de la vie privée

Exemple d'analyse des risques : Comment évaluer les risques

Le Triangle CIA et son application dans le monde réel

Nos articles les plus populaires

Types courants d'appareils réseau et leurs fonctions

Comment exécuter un script PowerShell à partir du Planificateur de tâches

Comment installer et utiliser Active Directory Users and Computers (ADUC) ?

Téléchargez et installez PowerShell 7

Les cyberattaques les plus grandes et les plus notoires de l'histoire

Commandes PowerShell essentielles : Une feuille de triche pour les débutants

Un aperçu de l'attaque cybernétique MGM

Extraction des hachages de mot de passe du fichier Ntds.dit

Guide pour monter des partages Unix avec un client NFS Windows

Comment les ports ouverts insécurisés et vulnérables posent de sérieux risques de sécurité