Audit de l'accès aux fichiers sur les serveurs de fichiers – Premier Field Engineering – Bien choisir son serveur d impression


Cet article a été rédigé par Liju Varghese, premier ingénieur de terrain canadien, basé sur un engagement récent.

Récemment, j'ai aidé un client à atteindre deux objectifs:

  1. Auditer l'accès au contenu sensible sur les serveurs de fichiers et s'assurer que les informations sont capturées
  2. Générer des rapports sur une base régulière indiquant à l’OMS ce qu’elle a fait et quand cela a été fait.

Je pensais partager cela au cas où vous voudriez faire quelque chose de similaire.

Un mot d’avertissement cependant: en raison de l’ampleur de ce qui peut être audité et de la mesure dans laquelle les informations peuvent être enregistrées, il est très important que vous fixiez d’abord les objectifs de l’audit pour votre entreprise dans son ensemble et pour votre service en particulier. Ces objectifs seront également influencés par le pays dans lequel vous vous trouvez et par toute affiliation industrielle. Des décisions devront également être prises concernant les stratégies de conservation de vos journaux d'audit.

Aperçu de l'environnement

La configuration de mon laboratoire comprend deux contrôleurs de domaine et un serveur de fichiers, tous exécutant Windows Server 2008 R2 et un poste de travail Windows 7.

La stratégie d'audit est configurée dans un objet de stratégie de groupe et liée à l'unité d'organisation qui contient l'objet ordinateur de RootMS01.

Le serveur de fichiers héberge les partages de fichiers, les dossiers et les fichiers sur lesquels je vais configurer la liste de contrôle d'accès du système d'audit.

clip_image001 "src =" https://msdnshared.blob.core.windows.net/media/TNBlogsFS/prod.evol.blogs.technet.com/CommunityServer.Blogs.Components.WeblogFiles/00/00/00/92/37 /metablogapi/0250.clip_image001_thumb_4BC2C7D6.jpg "original-url =" http://blogs.technet.com/cfs-file.ashx/__key/communityserver-blogs-components-weblogfiles/00-00-00-92-37- metablogapi / 0250.clip_5F00_image001_5F00_thumb_5F00_4BC2C7D6.jpg "width =" 644 "height =" 409 "/></p>
<h4>Quelques mises en garde:</h4>
<ol>
<li>L’audit doit être activé dans la politique de sécurité du système <em>et</em> dans la liste de contrôle d'accès d'une ressource pour enregistrer avec succès les événements </li>
<li>La stratégie d'audit peut être activée via la stratégie de groupe ou la stratégie de sécurité locale </li>
<li>S'il s'agit d'un système d'exploitation Windows Server 2008 R2 ou version ultérieure, je vous recommande d'utiliser la configuration de stratégie d'audit avancée (Configuration de l'ordinateur  Paramètres Windows  Paramètres de sécurité  Configuration de stratégie d'audit avancée  Stratégies d'audit ) par opposition à l'ancienne stratégie d'audit (Configuration de l'ordinateur  Paramètres Windows  Paramètres de sécurité  Stratégies locales  Stratégie d'audit ) </li>
<li>Ne mélangez pas l’utilisation de la configuration de stratégie d’audit avancée et de la stratégie d’audit plus ancienne: Si vous activez la stratégie d’audit via la configuration de stratégie d’audit avancée via la stratégie de groupe ou la stratégie de sécurité locale, il est recommandé d’utiliser la configuration de la stratégie d’audit avancé à chaque niveau (stratégie locale). , stratégie de groupe liée au site, au domaine et à l'unité d'organisation) </li>
</ol>
<h3>Activer la stratégie d'audit</h3>
<blockquote>
<p>1. Créez un objet de stratégie de groupe et nommez-le comme suit: <b>Stratégie d'audit du serveur de fichiers</b></p>
<p>2. Modifiez l'objet de stratégie de groupe, accédez à Configuration de l'ordinateur  Paramètres Windows  Paramètres de sécurité  Configuration de stratégie d'audit avancée  Stratégies d'audit  et définissez les paramètres de stratégie d'audit suivants</p>
<p>Les paramètres ci-dessous proviennent de la ligne de base de conformité de la sécurité du serveur membre WS2008R2SP1 du gestionnaire de conformité de sécurité (SCM) – http://technet.microsoft.com/en-us/solutionaccelerators/cc835245.aspx, à l'exception de <b>Accès aux objets: Système de fichiers</b> que j'ai activé pour le succès </p>
<table cellspacing=

POLITIQUE D'AUDIT

VALEUR

Connexion au compte: validation des informations d'identification

Succès et échec

Connexion au compte: service d'authentification Kerberos

Aucune vérification

Connexion au compte: Opérations sur les tickets de service Kerberos

Aucune vérification

Connexion au compte: Autres événements de connexion au compte

Aucune vérification

Gestion de compte: Gestion de groupe d'applications

Aucune vérification

Gestion de compte: Gestion de compte d'ordinateur

Succès

Gestion de compte: Gestion du groupe de distribution

Aucune vérification

Gestion de compte: Autres événements de gestion de compte

Succès et échec

Gestion de compte: Gestion du groupe de sécurité

Succès et échec

Gestion de compte: Gestion de compte d'utilisateur

Succès et échec

Suivi détaillé: activité DPAPI

Aucune vérification

Suivi détaillé: création de processus

Succès

Suivi détaillé: fin du processus

Aucune vérification

Suivi détaillé: événements RPC

Aucune vérification

Accès DS: Réplication du service d'annuaire détaillé

Aucune vérification

Accès DS: Accès au service d'annuaire

Aucune vérification

Accès DS: modifications du service d'annuaire

Aucune vérification

Accès DS: Réplication du service d'annuaire

Aucune vérification

Logon-Logoff: verrouillage de compte

Aucune vérification

Logon-Logoff: mode étendu IPsec

Aucune vérification

Logon-Logoff: mode principal IPsec

Aucune vérification

Logon-Logoff: Mode rapide IPsec

Aucune vérification

Ouverture de session: déconnexion

Succès

Ouverture de session: Ouverture de session

Succès et échec

Logon-Logoff: serveur de stratégie réseau

Aucune vérification

Logon-Logoff: Autres événements de connexion / déconnexion

Aucune vérification

Ouverture de session: ouverture de session spéciale

Succès

Accès aux objets: application générée

Aucune vérification

Accès aux objets: services de certification

Aucune vérification

Accès aux objets: Partage de fichier détaillé

Aucune vérification

Accès aux objets: partage de fichiers

Aucune vérification

Accès aux objets: Système de fichiers

Succès

Accès aux objets: connexion à la plateforme de filtrage

Aucune vérification

Accès aux objets: Filtrage des paquets de la plateforme

Aucune vérification

Accès aux objets: Manipulation des poignées

Aucune vérification

Accès aux objets: objet du noyau

Aucune vérification

Accès aux objets: autres événements d'accès aux objets

Aucune vérification

Accès aux objets: registre

Aucune vérification

Accès aux objets: SAM

Aucune vérification

Modification de la stratégie: modification de la stratégie d'audit

Succès et échec

Changement de politique: Changement de politique d'authentification

Succès

Changement de politique: Changement de politique d'autorisation

Aucune vérification

Modification de stratégie: modification de stratégie de plate-forme de filtrage

Aucune vérification

Changement de politique: Changement de politique au niveau de la règle MPSSVC

Aucune vérification

Changement de politique: autres événements de changement de politique

Aucune vérification

Utilisation des privilèges: utilisation des privilèges non sensible

Aucune vérification

Utilisation des privilèges: autres événements d'utilisation des privilèges

Aucune vérification

Utilisation des privilèges: utilisation sensible des privilèges

Succès et échec

Système: pilote IPsec

Succès et échec

Système: Autres événements système

Aucune vérification

Système: changement d'état de sécurité

Succès et échec

Système: extension du système de sécurité

Succès et échec

Système: intégrité du système

Succès et échec

3. N'oubliez pas de définir également les paramètres suivants sous Configuration ordinateur Paramètres Windows Paramètres de sécurité Stratégies locales Options de sécurité –

une. Audit: Forcer les paramètres de sous-catégorie de stratégie d'audit (Windows Vista ou version ultérieure) pour remplacer les paramètres de catégorie de stratégie d'audit à activé

b. Audit: Arrêtez le système immédiatement si vous ne parvenez pas à vous connecter aux audits de sécurité. aux handicapés

Taille du journal des événements

Vous devrez peut-être augmenter la taille du journal des événements de sécurité pour prendre en charge les nouveaux événements générés, configurez les paramètres de stratégie de groupe suivants. Cela peut être fait avec le paramètre de stratégie Configuration ordinateur Modèles d'administration Composants Windows Service de journal des événements Sécurité – Taille maximale du journal (Ko). Pour connaître les tailles maximales prises en charge, voir http://support.microsoft.com/kb/957662.

Remarque: si vous souhaitez archiver d'anciens événements, définissez Conserver les anciens événements à activé et Journal de sauvegarde automatiquement lorsqu'il est plein à activé. Ce faisant, le fichier journal des événements est automatiquement fermé et renommé lorsqu'il est plein, puis un nouveau fichier est démarré. Si vous ne souhaitez pas conserver d'anciens événements, définissez Conserver les anciens événements à désactivé.

Configurer la liste de contrôle d'accès au système d'audit (SACL)

La partie critique consiste à configurer la bonne quantité d’audit pour la bonne base de sécurité et les bonnes ressources. L'image ci-dessous montre la structure de dossiers pour laquelle je vais configurer les entrées d'audit:

clip_image002 "src =" https://msdnshared.blob.core.windows.net/media/TNBlogsFS/prod.evol.blogs.technet.com/CommunityServer.Blogs.Components.WeblogFiles/00/00/00/92/37/37 /metablogapi/4035.clip_image002_thumb_015DA4A0.jpg "original-url =" http://blogs.technet.com/cfs-file.ashx/__key/communityserver-blogs-components-weblogfiles/00-00-00-92-37- metablogapi / 4035.clip_5F00_image002_5F00_thumb_5F00_015DA4A0.jpg "width =" 644 "height =" 409 "/></p>
<p>J'ai créé une entrée pour UserHomeFolder qui s'applique au dossier, aux sous-dossiers et aux fichiers du groupe Administrateurs intégrés pour tous les accès.</p>
<p><img title=

Nom du serveur

EventID

TimeCreated

Nom d'utilisateur

File_or_Folder

Masque d'accès

RootMS01

4663

14/08/2013 08:01:09

BWayne

C: Shares UserHomeFolder LSkywalker Projects.txt

0x20000

RootMS01

4663

14/08/2013 08:01:16

BWayne

C: Shares UserHomeFolder LSkywalker Projects.txt

0x80

RootMS01

4663

14/08/2013 08:01:16

BWayne

C: Shares UserHomeFolder LSkywalker Projects.txt

0x20000

RootMS01

4663

14/08/2013 08:01:19

BWayne

C: Shares UserHomeFolder LSkywalker Projects.txt

0x80

RootMS01

4663

14/08/2013 08:01:19

BWayne

C: Shares UserHomeFolder LSkywalker Projects.txt

0x20000

RootMS01

4663

16/08/2013 11:39:37

Administrateur

C: Shares UserHomeFolder BWayne

0x20000

RootMS01

4663

16/08/2013 11:39:55

Administrateur

C: Shares UserHomeFolder BWayne Nouveau document texte.txt

0x20000

RootMS01

4663

16/08/2013 11:40:05

Administrateur

C: Shares UserHomeFolder BWayne Nouveau document texte.txt

0x10000

RootMS01

4663

20/08/2013 10:58:34

Administrateur

C: Shares UserHomeFolder BWayne

0x20000

RootMS01

4663

20/08/2013 10:59:08

Administrateur

C: Shares UserHomeFolder LSkywalker

0x20000

RootMS01

4663

20/08/2013 10:59:23

Administrateur

C: Shares UserHomeFolder BWayne

0x20000

RootMS01

4663

20/08/2013 10:59:23

Administrateur

C: Shares UserHomeFolder BWayne

0x80

RootMS01

4663

20/08/2013 10:59:23

Administrateur

C: Shares UserHomeFolder BWayne

0x20000

RootMS01

4663

20/08/2013 10:59:23

Administrateur

C: Shares UserHomeFolder BWayne

0x1

RootMS01

4663

20/08/2013 10:59:23

Administrateur

C: Shares UserHomeFolder BWayne

0x40000

RootMS01

4663

20/08/2013 11:00:12

Administrateur

C: Shares UserHomeFolder LSkywalker Projects.txt

0x20000

RootMS01

4663

20/08/2013 11:01:15

PParker

C: Shares UserHomeFolder LSkywalker Projects.txt

0x20000

RootMS01

4663

20/08/2013 11:01:15

PParker

C: Shares UserHomeFolder LSkywalker Projects.txt

0x1

RootMS01

4663

20/08/2013 11:02:19

PParker

C: Shares UserHomeFolder BWayne HRStuff.txt

0x80000

RootMS01

4663

20/08/2013 11:02:22

PParker

C: Shares UserHomeFolder BWayne HRStuff.txt

0x20000

RootMS01

4663

20/08/2013 11:02:24

PParker

C: Shares UserHomeFolder BWayne HRStuff.txt

0x20000

RootMS01

4663

20/08/2013 11:02:36

PParker

C: Shares UserHomeFolder BWayne HRStuff.txt

0x20000

RootMS01

4663

20/08/2013 11:02:37

PParker

C: Shares UserHomeFolder BWayne HRStuff.txt

0x20000

RootMS01

4663

20/08/2013 11:02:39

PParker

C: Shares UserHomeFolder BWayne HRStuff.txt

0x20000

RootMS01

4663

20/08/2013 11:02:53

PParker

C: Shares UserHomeFolder BWayne HRStuff.txt

0x20000

RootMS01

4663

20/08/2013 11:02:53

PParker

C: Shares UserHomeFolder BWayne

0x20000

RootMS01

4663

20/08/2013 11:02:53

PParker

C: Shares UserHomeFolder BWayne HRStuff.txt

0x40000

RootMS01

4663

20/08/2013 11:02:53

PParker

C: Shares UserHomeFolder BWayne HRStuff.txt

0x20000

RootMS01

4663

20/08/2013 11:02:56

PParker

C: Shares UserHomeFolder BWayne HRStuff.txt

0x20000

RootMS01

4663

20/08/2013 11:02:56

PParker

C: Shares UserHomeFolder BWayne HRStuff.txt

0x1

RootMS01

4663

20/08/2013 11:36:07

Administrateur

C: Shares UserHomeFolder LSkywalker Projects.txt

0x20000

RootMS01

4663

20/08/2013 11:38:43

Administrateur

C: Shares UserHomeFolder LSkywalker

0x20000

RootDC01

Administrateur

C: Shares UserHomeFolder LSkywalker

0x20000

Vous pouvez utiliser le tableau ci-dessous (tiré de http://msdn.microsoft.com/en-us/library/windows/desktop/aa822867(v=vs.85).aspx) pour interpréter les valeurs AccessMask dans le fichier et le répertoire. des droits d'accès.

Valeur du masque d'accès

Constant

La description

0 (0x0)

FILE_READ_DATA

Donne le droit de lire les données du fichier.

0 (0x0)

FILE_LIST_DIRECTORY

Donne le droit de lire les données du fichier. Pour un répertoire, cette valeur donne le droit de répertorier le contenu du répertoire.

1 (0x1)

FILE_WRITE_DATA

Donne le droit d'écrire des données dans le fichier.

1 (0x1)

FILE_ADD_FILE

Donne le droit d'écrire des données dans le fichier. Pour un répertoire, cette valeur donne le droit de créer un fichier dans le répertoire.

4 (0x4)

FILE_APPEND_DATA

Donne le droit d'ajouter des données au fichier. Pour un répertoire, cette valeur accorde le droit de créer un sous-répertoire.

4 (0x4)

FILE_ADD_SUBDIRECTORY

Donne le droit d'ajouter des données au fichier. Pour un répertoire, cette valeur accorde le droit de créer un sous-répertoire.

8 (0x8)

FILE_READ_EA

Donne le droit de lire les attributs étendus.

16 (0x10)

FILE_WRITE_EA

Donne le droit d'écrire des attributs étendus.

32 (0x20)

FILE_EXECUTE

Donne le droit d'exécuter un fichier.

32 (0x20)

FILE_TRAVERSE

Donne le droit d'exécuter un fichier. Pour un répertoire, le répertoire peut être parcouru.

64 (0x40)

FILE_DELETE_CHILD

Donne le droit de supprimer un répertoire et tous les fichiers qu'il contient (ses enfants), même si les fichiers sont en lecture seule.

128 (0x80)

FILE_READ_ATTRIBUTES

Donne le droit de lire les attributs de fichier.

256 (0x100)

FILE_WRITE_ATTRIBUTES

Donne le droit de modifier les attributs de fichier.

65536 (0x10000)

EFFACER

Donne le droit de supprimer l'objet.

131072 (0x20000)

READ_CONTROL

Donne le droit de lire les informations dans le descripteur de sécurité pour l'objet.

262144 (0x40000)

WRITE_DAC

Donne le droit de modifier la liste DACL dans le descripteur de sécurité de l'objet.

524288 (0x80000)

WRITE_OWNER

Donne le droit de changer le propriétaire dans le descripteur de sécurité de l'objet.

1048576 (0x100000)

SYNCHRONISER

Donne le droit d'utiliser l'objet pour la synchronisation.

N'oubliez pas de signaler également les événements suivants:

  1. 4670 (modification de la politique d'autorisation)
  2. 4907 (Modification de la politique d'audit), et
  3. 1102 (Journal effacé)

Configuration de vues personnalisées dans l'Observateur d'événements

Vous pouvez créer un filtre qui inclut les événements de plusieurs journaux d'événements qui répondent à des critères spécifiés. Vous pouvez ensuite nommer et enregistrer ce filtre en tant que vue personnalisée. Pour appliquer le filtre associé à une vue personnalisée enregistrée, accédez à la vue personnalisée dans l'arborescence de la console et cliquez sur son nom. Voir http://technet.microsoft.com/en-us/library/cc709635.aspx pour connaître la procédure permettant de créer une vue personnalisée.

À titre d'exemple, le filtre suivant recherche les événements d'accès aux fichiers d'un utilisateur avec sAMAccountName pparker:





clip_image004 "src =" https://msdnshared.blob.core.windows.net/media/TNBlogsFS/prod.evol.blogs.technet.com/CommunityServer.Blogs.Components.WeblogFiles/00/00/00/92/37/37 /metablogapi/0334.clip_image004_thumb_1CBD39A7.jpg "original-url =" http://blogs.technet.com/cfs-file.ashx/__key/communityserver-blogs-components-weblogfiles/00-00-00-92-37- metablogapi / 0334.clip_5F00_image004_5F00_thumb_5F00_1CBD39A7.jpg "width =" 692 "height =" 679 "/></p>
<p><img title=

Audit de l'accès aux fichiers sur les serveurs de fichiers – Premier Field Engineering – Bien choisir son serveur d impression
4.9 (98%) 32 votes