Comment détecter les modifications de fichiers dans un dossier partagé

Netwrix Auditor for File Servers

1. Exécutez Netwrix Auditor → Allez dans « Rapports » → Développez la section « Serveurs de fichiers » → Accédez à « Activité des serveurs de fichiers » → Sélectionnez « Modifications du serveur de fichiers » → Cliquez sur « Afficher ».
2. Pour enregistrer le rapport, cliquez sur le bouton « Exporter » → Sélectionnez un format dans le menu déroulant → Cliquez sur « Enregistrer ».

En savoir plus sur Netwrix Auditor for File Servers

Audit Natif

1. Naviguez jusqu'au partage de fichier → Cliquez-droit dessus et sélectionnez "Propriétés" → Allez à l'onglet "Sécurité" → Cliquez sur le bouton "Avancé" → Rendez-vous à l'onglet "Audit" → Cliquez sur le bouton "Ajouter" → Sélectionnez le Principal : "Tout le monde" ; Sélectionnez le Type : "Tous" ; Sélectionnez S'applique à : "Ce dossier, sous-dossiers et fichiers" → Sélectionnez les "Permissions avancées" suivantes : Créer des fichiers/écrire des données, créer des dossiers/ajouter des données, Écrire des attributs, Écrire des attributs étendus.
2. Exécutez gpedit.msc → Configurez la stratégie de domaine par défaut → Configuration de l'ordinateur → Stratégies → Paramètres Windows → Paramètres de sécurité → Stratégies locales → Stratégie d'audit → Audit de l'accès aux objets → Définissez « Succès et échecs ».
3. Dans la "Configuration de la politique d'audit avancée", ajustez Audit File System → Définissez "Succès et Échecs" et “Audit Handle Manipulation” → Définissez "Succès et Échecs".
4. Allez dans le journal des événements → Réglez la "Taille maximale du journal de sécurité" à 1 Go et la "Méthode de conservation du journal de sécurité" sur "Écraser les événements au besoin".
5. Ouvrez « Observateur d'événements » → Recherchez dans les journaux de sécurité Windows l'événement ID 4656 avec la catégorie de tâche « Système de fichiers » ou « Stockage amovible » et avec la chaîne « Accès : WriteData ». « ID de sécurité du sujet » vous montrera qui a modifié le fichier.

Automatisez l'audit des modifications de fichiers pour repérer rapidement les modifications malveillantes

Les modifications de fichiers dans un dossier partagé, telles que la suppression ou le déplacement de fichiers, peuvent entraîner une perte d'informations ou même des fuites de données sensibles, ce qui à son tour peut se traduire par une baisse de revenus, des sanctions légales et nuire à la réputation de l'organisation. Par conséquent, les professionnels de l'informatique doivent surveiller les modifications de fichiers dans les dossiers partagés sur les serveurs de fichiers basés sur Windows. Une surveillance continue et complète permet au personnel informatique de détecter chaque modification suspecte de fichier en temps opportun et d'obtenir les détails exploitables nécessaires aux enquêtes de sécurité.

Netwrix Auditor for Windows File Servers vous permet de surveiller les modifications de fichiers sur vos serveurs de fichiers basés sur Windows. L'application effectue le suivi des modifications de fichiers et fournit des rapports avec tous les détails critiques du qui, quoi, où et quand. Une recherche de données interactive à la manière de Google vous offre la flexibilité de trouver des informations détaillées sur des utilisateurs particuliers, comme tous les fichiers qu'ils ont manipulés. Cette fonctionnalité est particulièrement utile lorsqu'il s'agit d'enquêter sur des activités de fichiers suspectes, telles que toutes les modifications de fichiers dans le dossier Comptabilité effectuées par un employé particulier des Ressources Humaines.