Serveur d'impression

Audit de l'accès aux fichiers sur les serveurs de fichiers – Premier Field Engineering – Bien choisir son serveur d impression

Le 7 août 2019 - 2 minutes de lecture


Cet article a été rédigé par Liju Varghese, premier ingénieur de terrain canadien, basé sur un engagement récent.


Récemment, j'ai aidé un client à atteindre deux objectifs:

  1. Auditer l'accès au contenu sensible sur les serveurs de fichiers et s'assurer que les informations sont capturées
  2. Générer des rapports sur une base régulière indiquant à l’OMS ce qu’elle a fait et quand cela a été fait.

Je pensais partager cela au cas où vous voudriez faire quelque chose de similaire.

Un mot d’avertissement cependant: en raison de l’ampleur de ce qui peut être audité et de la mesure dans laquelle les informations peuvent être enregistrées, il est très important que vous fixiez d’abord les objectifs de l’audit pour votre entreprise dans son ensemble et pour votre service en particulier. Ces objectifs seront également influencés par le pays dans lequel vous vous trouvez et par toute affiliation industrielle. Des décisions devront également être prises concernant les stratégies de conservation de vos journaux d'audit.

Aperçu de l'environnement

La configuration de mon laboratoire comprend deux contrôleurs de domaine et un serveur de fichiers, tous exécutant Windows Server 2008 R2 et un poste de travail Windows 7.

La stratégie d'audit est configurée dans un objet de stratégie de groupe et liée à l'unité d'organisation qui contient l'objet ordinateur de RootMS01.

Le serveur de fichiers héberge les partages de fichiers, les dossiers et les fichiers sur lesquels je vais configurer la liste de contrôle d'accès du système d'audit.

clip_image001 "src =" https://msdnshared.blob.core.windows.net/media/TNBlogsFS/prod.evol.blogs.technet.com/CommunityServer.Blogs.Components.WeblogFiles/00/00/00/92/37 /metablogapi/0250.clip_image001_thumb_4BC2C7D6.jpg "original-url =" http://blogs.technet.com/cfs-file.ashx/__key/communityserver-blogs-components-weblogfiles/00-00-00-92-37- metablogapi / 0250.clip_5F00_image001_5F00_thumb_5F00_4BC2C7D6.jpg "width =" 644 "height =" 409 "/></p>
<h4><span class=Quelques mises en garde:

  1. L’audit doit être activé dans la politique de sécurité du système et dans la liste de contrôle d'accès d'une ressource pour enregistrer avec succès les événements
  2. La stratégie d'audit peut être activée via la stratégie de groupe ou la stratégie de sécurité locale
  3. S'il s'agit d'un système d'exploitation Windows Server 2008 R2 ou version ultérieure, je vous recommande d'utiliser la configuration de stratégie d'audit avancée (Configuration de l'ordinateur Paramètres Windows Paramètres de sécurité Configuration de stratégie d'audit avancée Stratégies d'audit ) par opposition à l'ancienne stratégie d'audit (Configuration de l'ordinateur Paramètres Windows Paramètres de sécurité Stratégies locales Stratégie d'audit )
  4. Ne mélangez pas l’utilisation de la configuration de stratégie d’audit avancée et de la stratégie d’audit plus ancienne: Si vous activez la stratégie d’audit via la configuration de stratégie d’audit avancée via la stratégie de groupe ou la stratégie de sécurité locale, il est recommandé d’utiliser la configuration de la stratégie d’audit avancé à chaque niveau (stratégie locale). , stratégie de groupe liée au site, au domaine et à l'unité d'organisation)

Activer la stratégie d'audit

1. Créez un objet de stratégie de groupe et nommez-le comme suit: Stratégie d'audit du serveur de fichiers

2. Modifiez l'objet de stratégie de groupe, accédez à Configuration de l'ordinateur Paramètres Windows Paramètres de sécurité Configuration de stratégie d'audit avancée Stratégies d'audit et définissez les paramètres de stratégie d'audit suivants

Les paramètres ci-dessous proviennent de la ligne de base de conformité de la sécurité du serveur membre WS2008R2SP1 du gestionnaire de conformité de sécurité (SCM) – http://technet.microsoft.com/en-us/solutionaccelerators/cc835245.aspx, à l'exception de Accès aux objets: Système de fichiers que j'ai activé pour le succès

POLITIQUE D'AUDIT

VALEUR

Connexion au compte: validation des informations d'identification

Succès et échec

Connexion au compte: service d'authentification Kerberos

Aucune vérification

Connexion au compte: Opérations sur les tickets de service Kerberos

Aucune vérification

Connexion au compte: Autres événements de connexion au compte

Aucune vérification

Gestion de compte: Gestion de groupe d'applications

Aucune vérification

Gestion de compte: Gestion de compte d'ordinateur

Succès

Gestion de compte: Gestion du groupe de distribution

Aucune vérification

Gestion de compte: Autres événements de gestion de compte

Succès et échec

Gestion de compte: Gestion du groupe de sécurité

Succès et échec

Gestion de compte: Gestion de compte d'utilisateur

Succès et échec

Suivi détaillé: activité DPAPI

Aucune vérification

Suivi détaillé: création de processus

Succès

Suivi détaillé: fin du processus

Aucune vérification

Suivi détaillé: événements RPC

Aucune vérification

Accès DS: Réplication du service d'annuaire détaillé

Aucune vérification

Accès DS: Accès au service d'annuaire

Aucune vérification

Accès DS: modifications du service d'annuaire

Aucune vérification

Accès DS: Réplication du service d'annuaire

Aucune vérification

Logon-Logoff: verrouillage de compte

Aucune vérification

Logon-Logoff: mode étendu IPsec

Aucune vérification

Logon-Logoff: mode principal IPsec

Aucune vérification

Logon-Logoff: Mode rapide IPsec

Aucune vérification

Ouverture de session: déconnexion

Succès

Ouverture de session: Ouverture de session

Succès et échec

Logon-Logoff: serveur de stratégie réseau

Aucune vérification

Logon-Logoff: Autres événements de connexion / déconnexion

Aucune vérification

Ouverture de session: ouverture de session spéciale

Succès

Accès aux objets: application générée

Aucune vérification

Accès aux objets: services de certification

Aucune vérification

Accès aux objets: Partage de fichier détaillé

Aucune vérification

Accès aux objets: partage de fichiers

Aucune vérification

Accès aux objets: Système de fichiers

Succès

Accès aux objets: connexion à la plateforme de filtrage

Aucune vérification

Accès aux objets: Filtrage des paquets de la plateforme

Aucune vérification

Accès aux objets: Manipulation des poignées

Aucune vérification

Accès aux objets: objet du noyau

Aucune vérification

Accès aux objets: autres événements d'accès aux objets

Aucune vérification

Accès aux objets: registre

Aucune vérification

Accès aux objets: SAM

Aucune vérification

Modification de la stratégie: modification de la stratégie d'audit

Succès et échec

Changement de politique: Changement de politique d'authentification

Succès

Changement de politique: Changement de politique d'autorisation

Aucune vérification

Modification de stratégie: modification de stratégie de plate-forme de filtrage

Aucune vérification

Changement de politique: Changement de politique au niveau de la règle MPSSVC

Aucune vérification

Changement de politique: autres événements de changement de politique

Aucune vérification

Utilisation des privilèges: utilisation des privilèges non sensible

Aucune vérification

Utilisation des privilèges: autres événements d'utilisation des privilèges

Aucune vérification

Utilisation des privilèges: utilisation sensible des privilèges

Succès et échec

Système: pilote IPsec

Succès et échec

Système: Autres événements système

Aucune vérification

Système: changement d'état de sécurité

Succès et échec

Système: extension du système de sécurité

Succès et échec

Système: intégrité du système

Succès et échec

3. N'oubliez pas de définir également les paramètres suivants sous Configuration ordinateur Paramètres Windows Paramètres de sécurité Stratégies locales Options de sécurité –

une. Audit: Forcer les paramètres de sous-catégorie de stratégie d'audit (Windows Vista ou version ultérieure) pour remplacer les paramètres de catégorie de stratégie d'audit à activé

b. Audit: Arrêtez le système immédiatement si vous ne parvenez pas à vous connecter aux audits de sécurité. aux handicapés

Taille du journal des événements

Vous devrez peut-être augmenter la taille du journal des événements de sécurité pour prendre en charge les nouveaux événements générés, configurez les paramètres de stratégie de groupe suivants. Cela peut être fait avec le paramètre de stratégie Configuration ordinateur Modèles d'administration Composants Windows Service de journal des événements Sécurité – Taille maximale du journal (Ko). Pour connaître les tailles maximales prises en charge, voir http://support.microsoft.com/kb/957662.

Remarque: si vous souhaitez archiver d'anciens événements, définissez Conserver les anciens événements à activé et Journal de sauvegarde automatiquement lorsqu'il est plein à activé. Ce faisant, le fichier journal des événements est automatiquement fermé et renommé lorsqu'il est plein, puis un nouveau fichier est démarré. Si vous ne souhaitez pas conserver d'anciens événements, définissez Conserver les anciens événements à désactivé.

Configurer la liste de contrôle d'accès au système d'audit (SACL)

La partie critique consiste à configurer la bonne quantité d’audit pour la bonne base de sécurité et les bonnes ressources. L'image ci-dessous montre la structure de dossiers pour laquelle je vais configurer les entrées d'audit:

clip_image002 "src =" https://msdnshared.blob.core.windows.net/media/TNBlogsFS/prod.evol.blogs.technet.com/CommunityServer.Blogs.Components.WeblogFiles/00/00/00/92/37/37 /metablogapi/4035.clip_image002_thumb_015DA4A0.jpg "original-url =" http://blogs.technet.com/cfs-file.ashx/__key/communityserver-blogs-components-weblogfiles/00-00-00-92-37- metablogapi / 4035.clip_5F00_image002_5F00_thumb_5F00_015DA4A0.jpg "width =" 644 "height =" 409 "/></p>
<p>J'ai créé une entrée pour UserHomeFolder qui s'applique au dossier, aux sous-dossiers et aux fichiers du groupe Administrateurs intégrés pour tous les accès.</p>
<p><img title=Exemples d'événements

Voici une sélection de types d’événements que vous pouvez vous attendre à voir avec l’audit activé:

Evénement de sécurité effacé

Nom du journal: Sécurité
Source: Microsoft-Windows-Eventlog
Date: 14/08/2013 07:59:09
ID d'événement: 1102
Catégorie de tâche: Log clear
Niveau: Information
Mots-clés: Réussite de l'audit
Utilisateur: N / A
Ordinateur: RootMS01.Reskit.com
La description:
Le journal d'audit a été effacé.
Assujettir:
ID de sécurité: RESKIT BWayne
Nom du compte: BWayne
Nom de domaine: RESKIT
ID de connexion: 0x871de

Propriété du fichier pris

Nom du journal: Sécurité
Source: Microsoft-Windows-Security-Auditing
Date: 8/14/2013 01:39:46
Numéro d'événement: 4663
Catégorie de tâche: Système de fichiers
Niveau: Information
Mots-clés: Réussite de l'audit
Utilisateur: N / A
Ordinateur: RootMS01.Reskit.com
La description:
Une tentative d'accès à un objet a été effectuée.
Assujettir:
ID de sécurité: RESKIT pparker
Nom du compte: pparker
Domaine du compte: RESKIT
ID de connexion: 0x1119f6
Objet:
Object Server: Sécurité
Type d'objet: Fichier
Nom de l'objet: C: Shares UserHomeFolder BWayne BusinessProposal.txt
ID de poignée: 0x290
Traitement de l'information:
Identifiant du processus: 0x7cc
Nom du processus: C: Windows System32 dllhost.exe
Informations de demande d'accès:
Accès: WRITE_OWNER
Masque d'accès: 0x80000

ACL de sécurité sur le fichier modifié

Nom du journal: Sécurité
Source: Microsoft-Windows-Security-Auditing
Date: 8/14/2013 01:41:39 AM
Numéro d'événement: 4663
Catégorie de tâche: Système de fichiers
Niveau: Information
Mots-clés: Réussite de l'audit
Utilisateur: N / A
Ordinateur: RootMS01.Reskit.com
La description:
Une tentative d'accès à un objet a été effectuée.
Assujettir:
ID de sécurité: RESKIT pparker
Nom du compte: pparker
Domaine du compte: RESKIT
ID de connexion: 0x1119f6
Objet:
Object Server: Sécurité
Type d'objet: Fichier
Nom de l'objet: C: Shares UserHomeFolder BWayne BusinessProposal.txt
ID de poignée: 0x360
Traitement de l'information:
Identifiant du processus: 0x730
Nom du processus: C: Windows System32 dllhost.exe
Informations de demande d'accès:
Accès: WRITE_DAC
Masque d'accès: 0x40000

Lecture de fichier générique

Nom du journal: Sécurité
Source: Microsoft-Windows-Security-Auditing
Date: 14/08/2013 01:51:48
Numéro d'événement: 4663
Catégorie de tâche: Système de fichiers
Niveau: Information
Mots-clés: Réussite de l'audit
Utilisateur: N / A
Ordinateur: RootMS01.Reskit.com
La description:
Une tentative d'accès à un objet a été effectuée.
Assujettir:
ID de sécurité: RESKIT pparker
Nom du compte: pparker
Domaine du compte: RESKIT
ID de connexion: 0x17235b
Objet:
Object Server: Sécurité
Type d'objet: Fichier
Nom de l'objet: C: Shares UserHomeFolder BWayne BusinessProposal.txt
ID de poignée: 0x1b4
Traitement de l'information:
ID de processus: 0x2f8
Nom du processus: C: Windows System32 dllhost.exe
Informations de demande d'accès:
Accès: READ_CONTROL
Masque d'accès: 0x20000

Exécuter des scripts pour générer des rapports sur 4663 événements

Le script PowerShell ci-dessous interroge le journal des événements de sécurité sur un ou plusieurs serveurs à la recherche d'événements portant l'ID 4663. Cet événement documente les opérations effectives effectuées sur les fichiers et autres objets pour lesquels l'audit est activé dans l'onglet Sécurité. Le script répertorie également le nom de l'objet et l'équivalent au niveau du bit des autorisations a été réellement exercé.

Enregistrez le code ci-dessous dans un fichier avec l’extension .ps1. Sur la première ligne, remplacez les noms de machine par les noms de vos serveurs de fichiers. Et sur la dernière ligne, remplacez le fichier de sortie et le nom du dossier.

$ server = "RootMS01", "RootDC01"
$ out = New-Object System.Text.StringBuilder
$ out.AppendLine ("ServerName, EventID, TimeCreated, UserName, File_or_Folder, AccessMask")
$ ns = @ e = "http://schemas.microsoft.com/win/2004/08/events/event"
foreach ($ svr dans $ server)
$ evts = Get-WinEvent -ordinateur $ svr -FilterHashtable @ logname = "security"; id = "4663" -oldest

foreach ($ evt in $ evts)
Nœud Select-Object -ExpandProperty

$ out.ToString () | fichier-chemin-fichier C: Temp 4663Events.csv

Voici quelques exemples de sorties typiques:

Nom du serveur

EventID

TimeCreated

Nom d'utilisateur

File_or_Folder

Masque d'accès

RootMS01

4663

14/08/2013 08:01:09

BWayne

C: Shares UserHomeFolder LSkywalker Projects.txt

0x20000

RootMS01

4663

14/08/2013 08:01:16

BWayne

C: Shares UserHomeFolder LSkywalker Projects.txt

0x80

RootMS01

4663

14/08/2013 08:01:16

BWayne

C: Shares UserHomeFolder LSkywalker Projects.txt

0x20000

RootMS01

4663

14/08/2013 08:01:19

BWayne

C: Shares UserHomeFolder LSkywalker Projects.txt

0x80

RootMS01

4663

14/08/2013 08:01:19

BWayne

C: Shares UserHomeFolder LSkywalker Projects.txt

0x20000

RootMS01

4663

16/08/2013 11:39:37

Administrateur

C: Shares UserHomeFolder BWayne

0x20000

RootMS01

4663

16/08/2013 11:39:55

Administrateur

C: Shares UserHomeFolder BWayne Nouveau document texte.txt

0x20000

RootMS01

4663

16/08/2013 11:40:05

Administrateur

C: Shares UserHomeFolder BWayne Nouveau document texte.txt

0x10000

RootMS01

4663

20/08/2013 10:58:34

Administrateur

C: Shares UserHomeFolder BWayne

0x20000

RootMS01

4663

20/08/2013 10:59:08

Administrateur

C: Shares UserHomeFolder LSkywalker

0x20000

RootMS01

4663

20/08/2013 10:59:23

Administrateur

C: Shares UserHomeFolder BWayne

0x20000

RootMS01

4663

20/08/2013 10:59:23

Administrateur

C: Shares UserHomeFolder BWayne

0x80

RootMS01

4663

20/08/2013 10:59:23

Administrateur

C: Shares UserHomeFolder BWayne

0x20000

RootMS01

4663

20/08/2013 10:59:23

Administrateur

C: Shares UserHomeFolder BWayne

0x1

RootMS01

4663

20/08/2013 10:59:23

Administrateur

C: Shares UserHomeFolder BWayne

0x40000

RootMS01

4663

20/08/2013 11:00:12

Administrateur

C: Shares UserHomeFolder LSkywalker Projects.txt

0x20000

RootMS01

4663

20/08/2013 11:01:15

PParker

C: Shares UserHomeFolder LSkywalker Projects.txt

0x20000

RootMS01

4663

20/08/2013 11:01:15

PParker

C: Shares UserHomeFolder LSkywalker Projects.txt

0x1

RootMS01

4663

20/08/2013 11:02:19

PParker

C: Shares UserHomeFolder BWayne HRStuff.txt

0x80000

RootMS01

4663

20/08/2013 11:02:22

PParker

C: Shares UserHomeFolder BWayne HRStuff.txt

0x20000

RootMS01

4663

20/08/2013 11:02:24

PParker

C: Shares UserHomeFolder BWayne HRStuff.txt

0x20000

RootMS01

4663

20/08/2013 11:02:36

PParker

C: Shares UserHomeFolder BWayne HRStuff.txt

0x20000

RootMS01

4663

20/08/2013 11:02:37

PParker

C: Shares UserHomeFolder BWayne HRStuff.txt

0x20000

RootMS01

4663

20/08/2013 11:02:39

PParker

C: Shares UserHomeFolder BWayne HRStuff.txt

0x20000

RootMS01

4663

20/08/2013 11:02:53

PParker

C: Shares UserHomeFolder BWayne HRStuff.txt

0x20000

RootMS01

4663

20/08/2013 11:02:53

PParker

C: Shares UserHomeFolder BWayne

0x20000

RootMS01

4663

20/08/2013 11:02:53

PParker

C: Shares UserHomeFolder BWayne HRStuff.txt

0x40000

RootMS01

4663

20/08/2013 11:02:53

PParker

C: Shares UserHomeFolder BWayne HRStuff.txt

0x20000

RootMS01

4663

20/08/2013 11:02:56

PParker

C: Shares UserHomeFolder BWayne HRStuff.txt

0x20000

RootMS01

4663

20/08/2013 11:02:56

PParker

C: Shares UserHomeFolder BWayne HRStuff.txt

0x1

RootMS01

4663

20/08/2013 11:36:07

Administrateur

C: Shares UserHomeFolder LSkywalker Projects.txt

0x20000

RootMS01

4663

20/08/2013 11:38:43

Administrateur

C: Shares UserHomeFolder LSkywalker

0x20000

RootDC01

Administrateur

C: Shares UserHomeFolder LSkywalker

0x20000

Vous pouvez utiliser le tableau ci-dessous (tiré de http://msdn.microsoft.com/en-us/library/windows/desktop/aa822867(v=vs.85).aspx) pour interpréter les valeurs AccessMask dans le fichier et le répertoire. des droits d'accès.

Valeur du masque d'accès

Constant

La description

0 (0x0)

FILE_READ_DATA

Donne le droit de lire les données du fichier.

0 (0x0)

FILE_LIST_DIRECTORY

Donne le droit de lire les données du fichier. Pour un répertoire, cette valeur donne le droit de répertorier le contenu du répertoire.

1 (0x1)

FILE_WRITE_DATA

Donne le droit d'écrire des données dans le fichier.

1 (0x1)

FILE_ADD_FILE

Donne le droit d'écrire des données dans le fichier. Pour un répertoire, cette valeur donne le droit de créer un fichier dans le répertoire.

4 (0x4)

FILE_APPEND_DATA

Donne le droit d'ajouter des données au fichier. Pour un répertoire, cette valeur accorde le droit de créer un sous-répertoire.

4 (0x4)

FILE_ADD_SUBDIRECTORY

Donne le droit d'ajouter des données au fichier. Pour un répertoire, cette valeur accorde le droit de créer un sous-répertoire.

8 (0x8)

FILE_READ_EA

Donne le droit de lire les attributs étendus.

16 (0x10)

FILE_WRITE_EA

Donne le droit d'écrire des attributs étendus.

32 (0x20)

FILE_EXECUTE

Donne le droit d'exécuter un fichier.

32 (0x20)

FILE_TRAVERSE

Donne le droit d'exécuter un fichier. Pour un répertoire, le répertoire peut être parcouru.

64 (0x40)

FILE_DELETE_CHILD

Donne le droit de supprimer un répertoire et tous les fichiers qu'il contient (ses enfants), même si les fichiers sont en lecture seule.

128 (0x80)

FILE_READ_ATTRIBUTES

Donne le droit de lire les attributs de fichier.

256 (0x100)

FILE_WRITE_ATTRIBUTES

Donne le droit de modifier les attributs de fichier.

65536 (0x10000)

EFFACER

Donne le droit de supprimer l'objet.

131072 (0x20000)

READ_CONTROL

Donne le droit de lire les informations dans le descripteur de sécurité pour l'objet.

262144 (0x40000)

WRITE_DAC

Donne le droit de modifier la liste DACL dans le descripteur de sécurité de l'objet.

524288 (0x80000)

WRITE_OWNER

Donne le droit de changer le propriétaire dans le descripteur de sécurité de l'objet.

1048576 (0x100000)

SYNCHRONISER

Donne le droit d'utiliser l'objet pour la synchronisation.

N'oubliez pas de signaler également les événements suivants:

  1. 4670 (modification de la politique d'autorisation)
  2. 4907 (Modification de la politique d'audit), et
  3. 1102 (Journal effacé)

Configuration de vues personnalisées dans l'Observateur d'événements

Vous pouvez créer un filtre qui inclut les événements de plusieurs journaux d'événements qui répondent à des critères spécifiés. Vous pouvez ensuite nommer et enregistrer ce filtre en tant que vue personnalisée. Pour appliquer le filtre associé à une vue personnalisée enregistrée, accédez à la vue personnalisée dans l'arborescence de la console et cliquez sur son nom. Voir http://technet.microsoft.com/en-us/library/cc709635.aspx pour connaître la procédure permettant de créer une vue personnalisée.

À titre d'exemple, le filtre suivant recherche les événements d'accès aux fichiers d'un utilisateur avec sAMAccountName pparker:





clip_image004 "src =" https://msdnshared.blob.core.windows.net/media/TNBlogsFS/prod.evol.blogs.technet.com/CommunityServer.Blogs.Components.WeblogFiles/00/00/00/92/37/37 /metablogapi/0334.clip_image004_thumb_1CBD39A7.jpg "original-url =" http://blogs.technet.com/cfs-file.ashx/__key/communityserver-blogs-components-weblogfiles/00-00-00-92-37- metablogapi / 0334.clip_5F00_image004_5F00_thumb_5F00_1CBD39A7.jpg "width =" 692 "height =" 679 "/></p>
<p><img title=Dernières pensées

1. Si vous devez configurer des listes SACL d'audit sur un grand nombre de fichiers, l'audit global d'accès aux objets vous permet de créer des listes de contrôle d'accès système (SACL) pour tout l'ordinateur, en fonction du fichier et du registre. Voir http://blogs.technet.com/b/askds/archive/2011/03/10/global-object-access-auditing-is-magic.aspx pour plus d'informations.

2. Activer Accès aux objets: partage de fichiers La politique d'audit générera des 5145 événements très utiles, comme celui ci-dessous:

Nom du journal: Sécurité
Source: Microsoft-Windows-Security-Auditing
Date: 14/08/2013 02:08:25 AM
Numéro d'événement: 5145
Catégorie de tâche: Partage de fichier détaillé
Niveau: Information
Mots-clés: Réussite de l'audit
Utilisateur: N / A
Ordinateur: RootMS01.Reskit.com
La description:
Un objet de partage réseau a été vérifié pour voir si l'accès souhaité peut être accordé au client.
Assujettir:
ID de sécurité: RESKIT Administrateur
Nom du compte: administrateur
Domaine du compte: RESKIT
ID de connexion: 0x49199
Informations sur le réseau:
Type d'objet: Fichier
Adresse source: 10.10.10.11
Port source: 61361
Partager l'information:
Nom de partage: \ * Shares
Chemin de partage: ?? C: Shares
Nom de la cible relative: UserHomeFolder LSkywalker Projects.txt
Informations de demande d'accès:
Masque d'accès: 0x120089
Accès: READ_CONTROL
SYNCHRONISER
ReadData (ou ListDirectory)
ReadEA
LireAttributs
Résultats de la vérification d'accès:
READ_CONTROL: Accordé par le propriétaire
SYNCHRONIZE: Accordé par D: (A ;; FA ;; WD)
ReadData (ou ListDirectory): accordé par D: (A ;; FA ;;; WD)
ReadEA: Accordé par D: (A ;; FA ;; WD)

Toutefois, comme il n'y a pas de liste SACL pour les partages, une fois ce paramètre activé, l'accès à tous les partages du système sera audité et un grand volume de ces événements sera généré.

3. Un travail de sauvegarde exécuté dans le contexte d'un administrateur local sur le serveur de fichiers générera également un grand volume d'événements 4663. La commande AuditPol / Set / User:Reskit BackupAcct / Sous-catégorie: "Système de fichiers" / Succès: Activer / Exclure peut être utilisé pour une exclusion au niveau utilisateur. Toutefois, ce paramètre n'est pas respecté pour les utilisateurs membres du groupe local Administrateurs.


posté par Tristan Kington, Editeur MSPFE, seulement je ne l'ai jamais fait, j'ai seulement dit que je l'avais fait.

Commentaires

Laisser un commentaire

Votre commentaire sera révisé par les administrateurs si besoin.