locked
Comment savoir qui fait quoi depuis quand sur le domaine ? RRS feed

  • Question

  • Bonjour,

    J'ai un client qui pense avoir été victime de vole d'information dans son domaine en 2008r2.

    Pour informations le réseau comprends :

    Plusieurs serveur virtualisé (AD / PARTAGE DE FICHIERS / APPLICATIONS / Etc)  et un firewall ZYXEL UTM USG.

    J'aimerai pouvoir avoir consulter un rapport contenant les informations suivantes :

    Quel utilisateurs (Pierre, Paul etc)

    fait QUOI (lecture, écriture, suppression etc)

    OU (sur quelle fichier, dossier etc)

    QUAND (a quelle heure il a ouvert sa session, est -il encore connecté)

    Les logs de Windows sont difficilement domptables et aucun rapport n'est possible....

    J'ai fait une recherche et suis tombé sur TOOLS4EVER / MANAGEENGINE...

    Je ne connais pas bien le monde de la supervision (ci c'est comme cela que ça s'appelle).

    Donc je m'en remet à vous est vos multiples expériences avant d'essayer tout et n'importe quoi ...

    Je ne pense pas être le seul a avoir ses besoins non ?

    Merci d'avance


    Un MCSE un peu perdu...

    mercredi 17 juin 2015 11:58

Réponses

  • re bonjour sanio74,

    Il s'agit de VARONIS Datadvantage. Pour avoir utiliser cette solution pendant plusieurs mois, c'est vraiment un super produit.

    Dispo pour plus d'info si tu le souhaites.

    Bon courage :-)

    Chris.

    vendredi 19 juin 2015 02:01

Toutes les réponses

  • Bonjour,

    Regardez dans:

    - Observateur d'événements ---> Applications et Services Logs ---> Microsoft ---> Windows ---> TerminalServices-LocalSessionManager ---> Admin ou opérational

    ou

    - Observateur d'événements ---> Applications et Services Logs ---> Microsoft ---> Windows ---> TerminalServices-RemoteConnectionManager ---> Admin ou opérational

    Vous accéderez à la liste des sessions, Date,Timestamped, IP, Nom utilisateur....

    Cordialement,

    Bricoleur.


    sans l'acquisition d'un immense superflu chaque condition se sent misérable. DIDEROT

    jeudi 18 juin 2015 03:41
  • Bonjour 

    Vous pouvez activer l’audit de sécurité via GPO,

    Je vous propose de consulter les deux liens ci-dessous:

    Amélioration apportées à l'Audit de sécurité sur Windows 2008R2 et Windows 7

    stratégie d’Audit

    jeudi 18 juin 2015 10:41
    Auteur de réponse
  • Bonjour Sanio74,

    Il existe en effet des moyens pour savoir en gros : QUI fait QUOI et OU et QUAND ?

    La méthode native à Windows, consiste à activer l'audit de sécurité des comptes, sur ton ou tes serveurs de fichiers. Tu peux le paramétrer par GPO, comme le dit juste au dessus Thameur.

    Cependant, par expérience, il est très difficile d'en ressortir un rapport détaillé et exploitable de cette manière. De même (corrigez moi si je me trompe), mais il n'est pas recommandé d'activer les audits de tous les objets (compte, fichier, puis tous les evenements Lecture, Suppression, Modification, etc...) sur ton serveur de fichier, pour des raisons de performance.

    Et surtout, si le paramétrage n'a pas déjà été fait avant le vol, tu ne pourras pas le savoir c'est trop tard.

    Il existe une solution alternative non-Microsoft et payante (onéreuse mais efficace), qui remplis dans tous les points, le besoin que tu as.

    Cordialement,

    Chris.

    jeudi 18 juin 2015 22:06
  • Chris pourrais tu me donner le nom de cette solution :)  ?

    Un MCSE un peu perdu...

    jeudi 18 juin 2015 22:27
  • re bonjour sanio74,

    Il s'agit de VARONIS Datadvantage. Pour avoir utiliser cette solution pendant plusieurs mois, c'est vraiment un super produit.

    Dispo pour plus d'info si tu le souhaites.

    Bon courage :-)

    Chris.

    vendredi 19 juin 2015 02:01
  • Vous pouvez utilisez cette documentation pour retrouver les événements qui vous intéresse 

    http://www.microsoft.com/en-us/download/details.aspx?id=35753 ou https://support.microsoft.com/en-us/kb/947226/fr?wa=wsignin1.0

    Il est possible de faciliter la recherche à l'aide de powershell :

    http://pbarth.fr/node/138

    Néanmoins quel que soit la solution il faudra en déterminer le niveau de précision recherché. Il n'est pas simple de déterminer quels éléments j'aurai besoin. De plus il faut déterminer combien de temps je souhaite pouvoir retrouver l'information, ce qui n'est pas possible avec l'observateur d'événement. Il est donc possible de sauvegarder les journaux plutôt que de supprimer les éléments.

    http://pbarth.fr/node/139

    Les solutions tierce permettent de simplifier la mise en oeuvre mais elle sont souvent moins riche car elle cible des éléments précis.

    vendredi 19 juin 2015 06:27