none
audit acces fichiers RRS feed

  • Question

  • Bonjour

    J'ai mis en place les journaux d audit pour suivre les écritures et suppressions sur mes partages SMB.

    Je suis sur serveurs 2019 et avec réplication d'un partage SMB sur 2 serveurs 2019.

    Probleme, dans les journaux d'audit de sécurité, j'ai énormément d'évènements 4663 par le processus  

    C:\Windows\System32\dfsrs.exe

    Est il possible d'éliminer de l'audit les lectures/écritures de DFRS

    Merci d'avance

    mardi 14 septembre 2021 09:40

Toutes les réponses

  • Salut,

    Oui, je suppose qu'il existe des applications tierces comme Winzapper pour supprimer des entrées spécifiques du journal des événements sur DFS.
    Pour exécuter l'utilitaire, vous avez besoin d'un accès administratif et il existe également un moyen de récupérer les journaux supprimés.

    J'espère que cela répondra à toutes vos questions, sinon merci de republier.
    Si une réponse est utile, veuillez cliquer sur "Accepter la réponse" et voter pour : )
    mardi 14 septembre 2021 12:54
  • Bonjour Milou16

    Comment as-tu mis en place l'audit de la lecture/écriture/suppression sur les partages SMB ?

    A la mano en modifiant une ou des clés de registre, lesquelles ? Via GPO en paramétrant un ou des paramètres, lesquels ? ou bien encore en modifiant la stratégie de sécurité locale. (en fait les 3 paramètrent des clés de registre).

    Pour auditer l'accès à des fichiers partagés, cela se fait en 2 étapes

    • GPMC :

    “Computer Configuration” → “Windows Settings” → “Security Settings” → “Local Policies” → “Audit Policy”, puis "Audit Access Policy", là tu coches Success et échec.

    • Audit des fichiers/share que tu veux suivre

    Navigation jusqu'au (aux) répertoires partagés que tu veux suivre, click-droit propriétés, onglet sécurité, avancé..., onglet Audit, Ajouter, et là tu ajoutes un groupe que tu veux suivre (je te conseille "Tout le monde"), puis ce que tu veux suivre "lecture", "Ecriture".... autres. 

    Après, cela tu devrais avoir des Events ID 4663 et 4656 dans ton journal d'évênements.

    Points d'attention :

    • Quand on met l'audit sur des accès à des fichiers, c'est qu'on veut suivre quelque chose de particulier (souvent qui a fait quelque chose qu'il ne devrait pas faire). Il faut donc mettre cet audit seulement sur ce qu'on veut suivre (fichiers ou partages spécifiques) mais pas tout ton environnement, ... sinon ton journal des événements va se remplir à vitesse grand V et tu risques de passer à côté de ce que tu recherches. 
    • Il faut également avoir un journal d’événements bien taillé (à toi de voir si tu dois le mettre circulaire ou pas). 
    • Enfin la recherche en mode GUI peut être fastidieuse, même en mettant un filtre sur event 4656 (évent recherché), une bonne query en powershell peut te faciliter la tâche, même si cela n'est pas forcément évident pour celui qui n'a pas l'habitude de rechercher dans les events logs en PS.

    ce que tu recherches ressembles à cela :

    et il va te falloir aller chercher les info qui intéressent dans les propriétés de l'event.

    Nota : j'espère pour toi que tu n'a pas des tonnes de fichiers/répertoires à surveiller, sinon tu vas avoir des tonnes d'évents générés et tu vas devoir faire le tri. Les quelques fois ou j'ai mis l'audit sur les fichiers, c'était parce qu'il y avait des lectures, modifications ou suppressions de fichiers non désirées dans un partage. Cela nous a permis d'identifier le QUI, puis de lever le doute entre malveillance et erreur humaine. Après, on n'a pas laissé l'audit. On aurait pu, mais seulement sur des fichiers particulièrement sensibles dans ce cas et on les aurait alors trackés via un script PS.

    cordialement

    Olivier

    mercredi 15 septembre 2021 01:55
  • Bonjour

    Je vous remercie pour vos réponses très détaillées

    Mais ma question était surtout comment filtrer dans les logs de l'audit les lignes qui sont générées par : 

    C:\Windows\System32\dfsrs.exe

    Est il possible d'éliminer de l'audit les lectures/écritures de DFRS

    Cdt

    mardi 21 septembre 2021 10:46
  • bonjour Milou

    Ne veux-tu pas plutôt dire "DFS-R" ?

    Si c'est le cas, le service de réplication est utilisé pour 2 choses :

    • la réplication des données des partages DFS-N
    • La réplication AD.

    Si tu utilises DFS-N/DFS-R, tes users accèdent à tes partages via DFS-N, et lisent/écrivent. Ces partages DFS-N sont en fait des partages SMB. Après, c'est DFS-R qui réplique sur un autre espace. Pour un fichier modifié, tu va avoir un event User + un event system pour la réplication. Je pense qu'en regardant en détails les dits events, on peut filtrer.  Très certainement source différente.

    La réplication AD, ne devrait pas être filtrées, car elles ne touche pas les mêmes fichiers.

    Tu veux faire cela en mode GUI ou en ligne de commande ?

    Olivier.

    jeudi 23 septembre 2021 04:53