Comment détecter qui a essayé de modifier un fichier ou un dossier sur votre serveur de fichiers Windows

Audit Natif

1. Accédez au partage de fichiers requis → Cliquez dessus avec le bouton droit et sélectionnez "Propriétés".
2. Allez dans l'onglet "Sécurité" → Cliquez sur le bouton "Avancé" → Passez à l'onglet "Audit" → Cliquez sur le bouton "Ajouter" et définissez l'audit :
   • Principal équivaut à "Tout le monde"
   • Le type est égal à "All"
   • S'applique à : "Ce dossier, sous-dossiers et fichiers".
3. Sélectionnez les "Advanced Permissions" suivantes :
   • Parcourir le dossier / exécuter le fichier
   • Lister les dossiers / lire les données
   • Créer des fichiers / écrire des données
   • Créer des dossiers / ajouter des données
   • Rédigez des attributs.
4. Exécutez gpedit.msc → Allez dans le menu « Modifier ».
5. Créez une nouvelle stratégie → Modifier → Configuration de l'ordinateur → Stratégies → Paramètres Windows → Paramètres de sécurité → Stratégies locales → Stratégie d'audit :
   • Auditez l'accès aux objets → Définir → Succès et Échecs
6. Allez dans "Configuration de la stratégie d'audit avancée" → Stratégies d'audit → Accès aux objets :
   • Auditez le système de fichiers → Définir → Succès et échecs
   • Audit de la manipulation des handles → Définir → Succès et échecs
7. Allez dans le journal des événements → Définir :
   • Taille maximale du journal de sécurité à 4 Go
   • Méthode de rétention pour le journal de sécurité à « Écraser les événements selon les besoins »
8. Pour lier le nouveau GPO à l'UO avec des serveurs de fichiers, allez dans "Gestion de stratégie de groupe" → Cliquez droit sur l'UO définie → Choisissez "Lier un GPO existant" → Sélectionnez le GPO que vous avez créé.
9. Pour forcer la mise à jour de la stratégie de groupe, allez dans "Gestion de la stratégie de groupe" → Cliquez avec le bouton droit sur l'unité d'organisation définie → Cliquez sur "Mise à jour de la stratégie de groupe".
10. Ouvrez l'Observateur d'événements → Recherchez dans les journaux de sécurité Windows l'ID d'événement 4656 avec le mot-clé "Audit échoué", la catégorie de tâche "Serveur de fichiers" ou "Stockage amovible" et avec les chaînes "Accès : READ_CONTROL" et Raisons d'accès : "WriteData (ou AddFile) Non accordé". "Sujet : ID de sécurité" vous montrera qui a tenté de modifier un fichier.

Netwrix Auditor for Windows File Servers

• Exécutez Netwrix Auditor → Allez dans « Recherche » → Cliquez sur « Mode avancé » si ce n'est pas sélectionné → Configurez les filtres suivants :
  • Filtre = “Source de données”
    Opérateur = “Égale”
    Valeur = “Serveurs de fichiers”
  • Filtre = “Action”
    Opérateur = “Égal à”
    Valeur = “Modifier (Tentative échouée)”
• Cliquez sur le bouton « Rechercher » et examinez qui a tenté de modifier des fichiers et dossiers sur votre serveur de fichiers.

Pour créer une alerte sur les tentatives échouées de modification d'un fichier ou d'un dossier, procédez comme suit :

• À partir des résultats de recherche, naviguez vers « Outils » → Cliquez sur « Créer une alerte » → Spécifiez le nom de la nouvelle alerte.
• Accédez à l'onglet « Destinataires » → Cliquez sur « Ajouter un destinataire » → Indiquez l'adresse e-mail où vous souhaitez que l'alerte soit livrée.
• Cliquez sur « Ajouter » pour enregistrer l'alerte.