locked
suppression de fichiers malveillante ? RRS feed

  • Discussion générale

  • bonjour,

    quelques centaines de fichiers et dossiers viennent d'être supprimés depuis un poste utilisateur sur les documents partagés en interne sur notre réseau.

    je pense que ce type de questions à déjà été posée, j'ai parcouru les 12 premières pages d'historique du forum mais nada.

    en regardant l'observateur d'évènements je peux voir qui se connecte au serveur, mais j'ai besoin de savoir quel poste utilisateur a servi à effectuer cette manipulation.

    je me doute bien qu'il doit y avoir un log qui contient ces données mais où le trouve-je ? et comment je le lis ?

     

    merci

    vendredi 17 septembre 2010 10:06

Toutes les réponses

  • Bonjour

     

    Il faut au préalable activer l'audit sur les objets.

     

    Step-By-Step: How to audit file and folder access

    http://articles.techrepublic.com.com/5100-10878_11-5034308.html

    http://support.microsoft.com/kb/814595

     

    Merci

     

    Khalil


    ----------- Merci Khalil Benz [MCSE - MCTS 2008 - MCTS ISA- MCT]
    lundi 20 septembre 2010 15:17
  • Bonjour

     

    Il faut au préalable activer l'audit sur les objets.

     

    Step-By-Step: How to audit file and folder access

    http://articles.techrepublic.com.com/5100-10878_11-5034308.html

    http://support.microsoft.com/kb/814595

     

    Merci

     

    Khalil


    ----------- Merci Khalil Benz [MCSE - MCTS 2008 - MCTS ISA- MCT]


    donc si je résume bien, si cette **### option n'a pas été activée, nada ??? mon serveur ne sait pas qui fait quoi ?

    je vais vérifier de ce pas...

     

    merci tout de même pour les réponses.

    lundi 20 septembre 2010 15:45
  • Bonjour

     

    Il faut au préalable activer l'audit sur les objets.

     

    Step-By-Step: How to audit file and folder access

    http://articles.techrepublic.com.com/5100-10878_11-5034308.html

    http://support.microsoft.com/kb/814595

     

    Merci

     

    Khalil


    ----------- Merci Khalil Benz [MCSE - MCTS 2008 - MCTS ISA- MCT]


    donc si je résume bien, si cette **### option n'a pas été activée, nada ??? mon serveur ne sait pas qui fait quoi ?

    je vais vérifier de ce pas...

     

    merci tout de même pour les réponses.


    Oui c'est bien ça

     



    ----------- Merci Khalil Benz [MCSE - MCTS 2008 - MCTS ISA- MCT]
    lundi 20 septembre 2010 15:58
  • Bonjour

     

    Il faut au préalable activer l'audit sur les objets.

     

    Step-By-Step: How to audit file and folder access

    http://articles.techrepublic.com.com/5100-10878_11-5034308.html

    http://support.microsoft.com/kb/814595

     

    Merci

     

    Khalil


    ----------- Merci Khalil Benz [MCSE - MCTS 2008 - MCTS ISA- MCT]


    donc si je résume bien, si cette **### option n'a pas été activée, nada ??? mon serveur ne sait pas qui fait quoi ?

    je vais vérifier de ce pas...

     

    merci tout de même pour les réponses.


    Oui c'est bien ça

     



    ----------- Merci Khalil Benz [MCSE - MCTS 2008 - MCTS ISA- MCT]


    bon,

     

    j'ai dorénavant activé cette chose, la question est : où vais-je récupérer les infos collectées.

     

    l'intervention sur mon serveur semble être un prise de contrôle extérieure... ça craint ! dans le journal des connexions puis-je trouver si qqun se connecte à mon serveur avec un nom du type "anonymous logon" ou quelque chose y ressemblant ?

    ou dois-je encore activer une option mystérieuse ?

     

    merci de vos réponses.

    mardi 21 septembre 2010 12:07
  • Bonjour

     

    aprés avoir activé l'audit ,vous allez dans l'observateur d'évènement dans la rubrique sécurité .

    pour avoir la liste des users qui se sont connectés vous pouvez analyser les évènements de connexion et chercher un ID spécifique:

    vous avez la liste des id par ici : http://technet.microsoft.com/fr-fr/library/bb742435%28en-us%29.aspx

    aussi vous pouvez activer le parefeu et configurer le log pour analyser les  IP qui se connectent dessus.

    sans oublier de renforcer la sécurité : Gestion de patchs /AV/Pare feu/

    MBSA peut vous aider à rechercher les configuration Incorrectes , les maj manquantes. et bien d'autre outils intéressants

    par ici http://www.microsoft.com/france/securite/outils/

     

    merci

    Khalil

     

     

     

     

     


    ----------- Merci Khalil Benz [MCSE - MCTS 2008 - MCTS ISA- MCT]
    mardi 21 septembre 2010 13:16
  • Bonjour

     

    aprés avoir activé l'audit ,vous allez dans l'observateur d'évènement dans la rubrique sécurité .

    pour avoir la liste des users qui se sont connectés vous pouvez analyser les évènements de connexion et chercher un ID spécifique:

    vous avez la liste des id par ici : http://technet.microsoft.com/fr-fr/library/bb742435%28en-us%29.aspx

    aussi vous pouvez activer le parefeu et configurer le log pour analyser les  IP qui se connectent dessus.

    sans oublier de renforcer la sécurité : Gestion de patchs /AV/Pare feu/

    MBSA peut vous aider à rechercher les configuration Incorrectes , les maj manquantes. et bien d'autre outils intéressants

    par ici http://www.microsoft.com/france/securite/outils/

     

    merci

    Khalil

     

     

     

     

     


    ----------- Merci Khalil Benz [MCSE - MCTS 2008 - MCTS ISA- MCT]

    poursuivons :

    j'ai mis à jour ma stratégie de groupe en passant par l'invite de commande, l'audit des fichiers est activée.

    je ne trouve pas la manip consistant à dire à ce service d'audit de n'enregistrer que les succès pour les opérations de suppression de mon dossier c/documents.

    il faut bien que je lui dise quoi auditer au bidule ? vu que mon serveur est bête et ne fera que ce que je lui dirais de faire.

     

    il me manque cette partie de la manip pour boucler la surveillance des fichiers.

     

    deuxième besoin :

    ==> enregistrer le IP des machines se connectant, dans le cas où la prise de contrôle extérieure serait l'origine de mon souci.

     

    sinon, dans les nouveaux virus à la mode, il n'y en a pas un qui peut me faire sauter des documents de manière aléatoire ????

     

    et encore merci.

    mardi 21 septembre 2010 14:35
  • Bonjour

     

    aprés avoir activé l'audit ,vous allez dans l'observateur d'évènement dans la rubrique sécurité .

    pour avoir la liste des users qui se sont connectés vous pouvez analyser les évènements de connexion et chercher un ID spécifique:

    vous avez la liste des id par ici : http://technet.microsoft.com/fr-fr/library/bb742435%28en-us%29.aspx

    aussi vous pouvez activer le parefeu et configurer le log pour analyser les  IP qui se connectent dessus.

    sans oublier de renforcer la sécurité : Gestion de patchs /AV/Pare feu/

    MBSA peut vous aider à rechercher les configuration Incorrectes , les maj manquantes. et bien d'autre outils intéressants

    par ici http://www.microsoft.com/france/securite/outils/

     

    merci

    Khalil

     

     

     

     

     


    ----------- Merci Khalil Benz [MCSE - MCTS 2008 - MCTS ISA- MCT]

    poursuivons :

    j'ai mis à jour ma stratégie de groupe en passant par l'invite de commande, l'audit des fichiers est activée.

    je ne trouve pas la manip consistant à dire à ce service d'audit de n'enregistrer que les succès pour les opérations de suppression de mon dossier c/documents.

    il faut bien que je lui dise quoi auditer au bidule ? vu que mon serveur est bête et ne fera que ce que je lui dirais de faire.

     

    il me manque cette partie de la manip pour boucler la surveillance des fichiers.

     

    deuxième besoin :

    ==> enregistrer le IP des machines se connectant, dans le cas où la prise de contrôle extérieure serait l'origine de mon souci.

     

    sinon, dans les nouveaux virus à la mode, il n'y en a pas un qui peut me faire sauter des documents de manière aléatoire ????

     

    et encore merci.


    Pour activer l'audit sur un dossier/fichier spécifique  tu fais un clic droit dessus > propriétes > onglet sécurité > Avancé>onglet audit

     

    et la tu peux ajouter les users que tu veux auditer ainsi que les actions à auditer (Suppression)

     

    pour le log au niveau parefeu > il faut faire attention à bien configurer les règles exemple par ici pour un contrôleur de domaine http://support.microsoft.com/?scid=kb%3Ben-us%3B555381&x=9&y=4

     

    pour le pare feu par ici tu as ce qu'il faut mon ami http://technet.microsoft.com/en-us/library/cc787462%28WS.10%29.aspx

     

     

    Merci

     

    Khalil

     

     


    ----------- Merci Khalil Benz [MCSE - MCTS 2008 - MCTS ISA- MCT]
    mardi 21 septembre 2010 14:49