Comment détecter qui a modifié le propriétaire d'un fichier ou d'un dossier

Netwrix Auditor for Windows File Servers

1. Exécutez Netwrix Auditor → Allez dans « Recherche » → Cliquez sur « Mode avancé » si ce n'est pas sélectionné → Configurez les filtres suivants :
   • Filtre = “Source de données”
     Opérateur = “Égale”
     Valeur = “Serveurs de fichiers”
   • Filtre = “Détails”
     Opérateur = “Contient”
     Valeur = “Propriétaire modifié"
2. Cliquez sur le bouton « Rechercher » et examinez qui a modifié les propriétaires de fichiers ou de dossiers.

Pour créer une alerte sur les changements de propriétaire de fichier ou de dossier :

1. À partir des résultats de recherche, naviguez vers « Outils » → Cliquez sur « Créer une alerte » → Spécifiez le nom de la nouvelle alerte.
2. Accédez à l'onglet « Destinataires » → Cliquez sur « Ajouter un destinataire » → Indiquez l'adresse e-mail où vous souhaitez que l'alerte soit livrée.
3. Cliquez sur « Ajouter » pour enregistrer l'alerte.

Audit Natif

1. Naviguez jusqu'au partage de fichier requis → Cliquez-droit dessus et sélectionnez "Propriétés" → Allez à l'onglet "Sécurité" → Cliquez sur le bouton "Avancé" → Rendez-vous à l'onglet "Audit" → Cliquez sur le bouton "Ajouter" → Sélectionnez Principal : "Tout le monde" ; Sélectionnez Type : "Tous" ; Sélectionnez S'applique à : "Ce dossier, sous-dossiers et fichiers" ; Sélectionnez les "Permissions avancées" suivantes : "Modifier les permissions et "Prendre possession".
2. Exécutez gpmc.msc → Modifiez la "Politique de domaine par défaut" → Configuration de l'ordinateur → Stratégies → Paramètres Windows → Paramètres de sécurité.
3. Allez dans Stratégies locales → Stratégie d'audit :
   • Auditez l'accès aux objets → Définir → Succès et Échecs
4. Allez dans "Configuration de la stratégie d'audit avancée" → Stratégies d'audit → Accès aux objets :
   • Auditez le système de fichiers → Définir → Succès et échecs
   • Auditez la manipulation des handles → Définir → Succès et échecs
5. Allez dans le journal des événements → Définir :
   • Définissez la taille maximale du journal de sécurité à 1 Go
   • Méthode de rétention pour le journal de sécurité à « Écraser les événements selon les besoins »
6. Ouvrez l'Observateur d'événements → Recherchez dans les journaux de sécurité Windows l'ID d'événement 4663 avec la catégorie de tâche "Serveur de fichiers" ou "Stockage amovible" et avec la chaîne "Accès : WRITE_OWNER". "L'ID de sécurité du sujet" vous indiquera qui a changé le propriétaire d'un fichier ou d'un dossier.
   

En savoir plus sur Netwrix Auditor for Windows File Servers

Détectez rapidement les changements de propriété de fichiers/dossiers pour atténuer le risque de violations de données

Chaque objet sur un partage de fichiers a un propriétaire. Le propriétaire d'un fichier contrôle qui a les permissions à l'objet ; les permissions d'accès complet sont particulièrement importantes car elles permettent à l'utilisateur de lire, copier, supprimer et déplacer le fichier. Par conséquent, tout changement de propriétaire d'un fichier augmente le risque d'accès non autorisé qui pourrait entraîner la perte ou la fuite de données sensibles. Les administrateurs informatiques doivent surveiller en continu chaque changement de propriétaire de fichier et détecter les modifications inappropriées afin de réduire le risque de violations de données et d'échecs de conformité.

Netwrix Auditor for Windows File Servers offre une visibilité complète sur ce qui se passe sur vos serveurs de fichiers Windows et fournit des données d'audit exploitables sur tous les changements apportés aux fichiers et dossiers, y compris le changement de propriétaire d'un fichier. L'application fournit également les valeurs actuelles et passées pour chaque modification. Ces valeurs vous aident à détecter rapidement quel propriétaire de fichier a été modifié, l'ancien et le nouveau nom du propriétaire du fichier, quand et où la modification a été effectuée, et — le plus important — qui a changé le propriétaire d'un fichier.