Technologies
Audit
FileAudit utilise l'audit NTFS Microsoft intégré sur tous les systèmes Windows. Cet audit NTFS, exactement l'audit d'accès aux objets, peut être activé dans les stratégies de sécurité locales de tous les systèmes Windows ou par l'intermédiaire des stratégies de groupe Microsoft.
Lors de la définition d'un répertoire à auditer, FileAudit proposera d'effectuer l'ensemble des actions requises: l'activation de l'audit d'accès aux objets sur le système hôte, ainsi que la configuration des paramètres d'audit sur tous les objets contenus dans le répertoire ciblé. Si pour une quelconque raison vous préférez effectuer manuellement ces tâches, l'assistant de FileAudit vous en laissera la possibilité. Notez cependant que le processus automatique de configuration que propose FileAudit est optimisé pour générer seulement les événements nécessaires et pertinents pour un audit de fichiers.
Lorsque l'audit est activé et configuré sur un répertoire, l'identifiant principal ( I.D.) des événements de sécurité générés est:
- 560
- 4656, 4659, 4663 et 4670 pour Windows Vista et supérieur.
FileAudit utilise également en complément les événements possédant l'identifiant 5145 sur Windows 2008 R2 et supérieur.
FileAudit scrute le journal Microsoft de sécurité des systèmes audités pour détecter ces événements spécifiques et les archive dans une base de données. Ils sont alors disponibles en temps réel même après leur suppression du journal de sécurité. La console de FileAudit vous permet alors de consulter ces événements à des fins de recherche, d'analyse, d'alertes et de rapports.
Le system de fichiers ReFS, qui est compatible avec NTFS, est supporté par FileAudit.
Architecture
Il n'est pas nécessaire d'installer FileAudit sur le système que l'on souhaite auditer. N'importe quelle machine administrative (station ou serveur) peut servir d'hôte au moteur d'audit et surveiller à distance sans installation supplémentaire les systèmes cibles.
Le mode d'installation standard (complet) installe la console FileAudit ainsi que son service d'audit Windows. La console permet de configurer l'ensemble des paramètres d'audit, d'alertes et de rapports automatisés. Le service FileAudit scrute les événements générés sur les systèmes audités et réagi en temps réel. Il est également en charge de la génération et de l'envoi des rapports, ainsi que du déclenchement des alertes e-mail.
Chaque événement détecté est enregistré dans une base de données. FileAudit supporte les types de base de données suivante:
- Microsoft Access (fichier de base de données mdb)
- Microsoft SQL Server Express 2008/2008 R2/2012/2014/2016
- Microsoft SQL Server 2008 et plus récent
- MySQL 5.6 et supérieur
- SQLite
Le package d’installation de FileAudit 4 vous fourni un système de base de données gratuit (fichier Microsoft Access)
Le mode d'installation personnalisée permet l'installation de la console sans le service Windows de FileAudit. Il est ainsi possible de n'installer que la console FileAudit sur des postes administratifs afin de se connecter à distance au moteur d'audit (service FileAudit).
Limitations connues
FileAudit est une solution sans agents sur les postes audités, basé sur l'audit NTFS de Microsoft. Certaines actions spécifiques ne sont pas détectées par l'audit Microsoft mais décomposées en événements d'accès natifs basiques. Les actions 'Copier/Coller', 'Créer un nouveau fichier/dossier' n'ont pas d'équivalent natif au sein de l'audit Microsoft et apparaîtront donc sous l'enchaînement d'événements élémentaires.
L'adresse IP de la machine à partir de laquelle la tentative d'accès a été effectuée à travers le réseau sur un serveur de Fichiers n'est disponible que pour les serveurs de fichiers équipés de Windows 2008 R2 et supérieur.
Il est également à noter le comportement de l'Explorateur Microsoft qui peut générer des événements d'accès lors de l'affichage du contenu d'un répertoire ou du parcours d'une arborescence fichier. L'Explorateur récupère des informations concernant les fichiers fermés lors du survol de leur nom par le pointeur de la souris afin de révéler en info bulle des caractéristiques concernant le type de fichier, la taille, date de création, etc. Ceci est particulièrement vérifié si des extensions 'shell' sont installées. Par exemple, la présence d'une application telle que WinZip et son extension 'shell' associée, accédera aux en-têtes de tous les fichiers du type '.zip' lors d'une sélection ou d'un survol d'archive ZIP afin de déterminer le nombre de fichiers qu'il contient et générera donc un accès en lecture.
Ces événements d'accès en lecture involontaires sont donc à prendre en compte et signifie que FileAudit n'apporte pas dans tous les cas une preuve formelle de la lecture d'un fichier mais signale une forte probabilité qu'un accès a été effectué ou tenté.
Dans le cas du type d’accès Déplacement, il peut exister des faux négatifs. Lors d’un déplacement d’un serveur à l’autre, le fichier ou dossier sera mentionné comme "supprimé" pour le serveur source et comme "écrit" pour le serveur de destination. Les faux négatifs seront également générés pour les fichiers et dossiers vide ou pour un laps de temps trop important lors du déplacement.