> Tech > Accès aux fichiers

Accès aux fichiers

Tech - Par iTPro - Publié le 24 juin 2010
email

La catégorie Audit object access permet de suivre tous les types d'accès aux fichiers, dossiers et autres objets du genre imprimantes et sous-clés de registre. L'activation de cette catégorie génèrera initialement des événements de sécurité limités liés à  la maintenance des SAM. Aussitôt cette catégorie d'audit activée, vous verrez quelques

object-access events dans le
journal de sécurité, bien que vous
n’ayez pas activé spécifiquement l’audit
sur des objets. Pour auditer un fichier
ou un dossier, trouvez-le dans
Windows Explorer et ouvrez sa page
Properties. Sélectionnez l’onglet
Security et cliquez sur Advanced. Dans
la fenêtre Access Control Settings, sélectionnez
l’onglet Auditing, comme le
montre la figure 5. Au début, la liste des
entrées d’audit sera vide. Cliquez sur
Add, choisissez un utilisateur ou un
groupe dont vous voulez contrôler
l’accès puis cliquez sur OK pour ouvrir
la fenêtre Auditing Entry. Vous pouvez
ajouter toute combinaison d’utilisateurs
ou de groupes, mais je conseille
d’utiliser simplement Everyone.
Sélectionnez les types d’accès à  soumettre
à  l’audit puis cliquez sur OK.
Attention à  ne pas activer l’audit
pour tous les types d’accès, particulièrement
l’accès en lecture réussi. Si elle
est trop large, la stratégie d’audit peut
engendrer un nombre excessif d’événements
de sécurité présentant le
double inconvénient de ralentir considérablement
le système et d’encombrer
le journal de renseignements inutiles.
Pour la même raison, limitez le
nombre de dossiers pour lesquels vous
activez l’audit. Vous l’aurez deviné, activer
l’audit sur la racine du lecteur système
pour tous les types d’accès
conduira droit à  la catastrophe.
Selon le type d’information que
vous essayez de protéger, vous souhaiterez
peut-être détecter des tentatives
non autorisées de lire un fichier, ou savoir
qui a modifié un fichier. Pour détecter
les tentatives de lecture non autorisées,
activez l’audit pour des tentatives
Read data infructueuses. Pour détecter
les modifications de fichiers,
activez l’audit pour des tentatives Write
data et Append data infructueuses.
Sachez toutefois que Win2K ne
contrôle que les changements potentiels.
Ainsi, si Bob ouvre un document
Microsoft Word pour l’accès en écriture
mais ferme immédiatement le fichier
sans apporter aucune modification,
Win2K n’enregistrera que le fait
que Bob a correctement ouvert le fichier
pour l’accès en écriture.
Windows 2003 résout ce problème en
enregistrant un événement spécifique
la première fois qu’un utilisateur écrit
dans un fichier ouvert. On peut aussi
savoir quand un administrateur change
des permissions de fichier en surveillant
les tentatives Change permission
réussies. Quand un utilisateur accède
à  un fichier par un type d’accès
dont vous avez activé l’audit, Win2K génère
event ID 560 (Object Open), qui
identifie l’utilisateur, le fichier, et le
type d’accès accordé ou refusé. Par
exemple, le code d’erreur de la figure 6
signifie que Bob a essayé d’ouvrir un fichier
pour l’accès en lecture alors qu’il
n’avait pas accès à  ce fichier. Vous pouvez
en déduire qu’il n’avait pas d’accès
parce que l’événement est un objectaccess
event défaillant. Et vous savez
qu’il a essayé d’ouvrir le fichier pour
l’accès en lecture parce que ReadData
se trouve sous Accesses.

Téléchargez gratuitement cette ressource

Protection des Données : 10 Best Practices

Protection des Données : 10 Best Practices

Le TOP 10 des meilleures pratiques, processus et solutions de sécurité pour mettre en œuvre une protection efficace des données et limiter au maximum les répercutions d’une violation de données.

Tech - Par iTPro - Publié le 24 juin 2010