Evaluation de FileAudit
par 4sysops

FileAudit - Audit de fichiers et de dossiers facile à utiliser

La configuration et la gestion de l'audit des fichiers et des dossiers dans Windows Server sont pénibles et rigides. FileAudit représente une couche de gestion qui simplifie l'audit et la création de rapports sur plusieurs serveurs.

Comment abordez-vous l'audit d'objet sur vos serveurs de fichiers Windows Server dans un environnement de domaine Active Directory? Ce n'est pas amusant, n'est-ce pas? Le déroulement de l’audit du système de fichiers comprend les étapes suivantes:

• Déployer un objet de stratégie de groupe (GPO) sur vos serveurs de fichiers qui active la stratégie Audit Object Access
• Configurer la stratégie d'audit NTFS sur les objets du système de fichiers pertinents
• Vérifier les entrées d'audit dans le journal de sécurité de Windows Server sur chaque serveur de fichiers

Sans ajouter de couche de gestion, il est inefficace et pénible de gérer l'audit du serveur de fichiers dans Windows Server. IS Decisions corrige cette faiblesse avec FileAudit 5.2, un outil de reporting et d'alerte facile à utiliser. Voyons comment fonctionne le produit.

FileAudit vs l’audit natif de Windows Server

FileAudit a un certain nombre de propositions de valeur qui vous donnent, l'administrateur occupé, une meilleure expérience avec l'audit de fichiers et de dossiers. D'abord, il y a la belle interface utilisateur, montrée dans la capture d'écran suivante.

Interface utilisateur de la console FileAudit

Comme vous le savez, le journal des événements est votre seul outil de rapports intégré pour l'audit des objets dans Windows Server. Deuxièmement, FileAudit surveille vos ressources de système de fichiers en continu et vous alerte en temps réel sur les accès ou tentatives d'accès. En revanche, l'audit Windows Server génère plusieurs entrées du journal de sécurité pour chaque événement d'accès unique. C'est un faible rapport signal-bruit, et c'est ennuyeux de devoir travailler avec ça.

Troisièmement, FileAudit peut envoyer des alertes par e-mail aux administrateurs. L'audit Windows Server n'a aucun système d'alerte. Quatrièmement, FileAudit consolide les événements d'accès de plusieurs serveurs de fichiers. Windows Server lui-même peut produire des événements d'audit d'accès aux objets sur un seul serveur de fichiers à la fois.

Cinquièmement et pour finir, FileAudit adopte un modèle de contrôle d'accès à base de rôles (RBAC) dans lequel vous pouvez déléguer un accès sous-administratif à la console de gestion FileAudit. Cela peut être utile, par exemple, lorsque vos responsables de la sécurité ont besoin d'un accès en lecture seule aux données d'audit. Dans Windows Server, seuls les administrateurs locaux de chaque serveur de fichiers peuvent configurer l'audit d'accès aux objets.

Bon, maintenant que nous avons établi le besoin du marché pour FileAudit, passons en revue le déroulement de l’installation et de l’utilisation.

Présentation de l'installation et de la configuration

IS Decisions rend FileAudit 5.2 disponible en tant que démo de 20 jours entièrement fonctionnelle qui prend en charge un maximum de deux serveurs de fichiers surveillés. L'installation sur mon poste de travail administratif Windows 10 Édition Entreprise a pris deux minutes.

Par défaut, FileAudit utilise une base de données Access locale, mais vous pouvez étendre l'infrastructure FileAudit en stockant des données dans SQL Server, Oracle Database ou toute base de données ODBC ou OLE DB compatible.

Avant de déployer l'audit, vous devez ouvrir l'application de bureau FileAudit, naviguer jusqu'à Outils > Paramètres et configurer votre environnement. Étudiez la capture d'écran suivante, et je vous indique les principales tâches de configuration:

Page de paramètres FileAudit

1. Définir des exclusions aux emplacements surveillés
2. Spécifier votre base de données de vérification
3. Pointer l'application vers votre serveur de messagerie pour les alertes
4. Définir les identités de compte de service FileAudit
5. Afficher et modifier votre licence de produit
6. Créer des comptes d'accès FileAudit et affecter des autorisations granulaires
7. Activer ou désactiver l'accès distant à l'hôte FileAudit local
8. Personnaliser l'application avec des éléments de marque d'entreprise

Déroulement de l’audit de fichier

Pour définir une entrée d'audit, accédez à Audit > Audit Configuration sur votre hôte FileAudit et cliquez sur Ajouter un dossier ou Ajouter un fichier. Vous allez parcourir un assistant qui comprend les étapes suivantes:

1. Accéder à un partage de fichiers, un dossier local ou un fichier local
2. Autoriser FileAudit à modifier la stratégie de groupe locale sur le serveur pour activer l'audit de l'accès aux objets
3. Autoriser FileAudit à modifier les paramètres d'audit NTFS pour les ressources du système de fichiers
4. Affecter une licence d'utilisation FileAudit au serveur cible
5. Activer la surveillance constante et, facultativement, l'alerte

Comme vous pouvez le voir sur la capture d'écran suivante, FileAudit peut gérer automatiquement certains détails, ce qui est pratique!

Configuration de l'audit dans FileAudit

Signaler et alerter

Le groupe d'accès de la page d'accueil FileAudit vous indique le nombre d'accès détectés en temps réel. Cliquez sur Rapport des accès pour démarrer votre parcours de reporting. Encore une fois, je vais vous expliquer en utilisant une capture d'écran annotée.

Rapport des accès au fichier FileAudit

1. Charger la cible que vous devez voir
2. Ces colonnes filtrables répondent aux questions «qui, quoi, quand et où» que les auditeurs de sécurité demandent
3. Actualiser, rechercher, imprimer ou exporter

FileAudit vous permet de créer des rapports dans l'un des formats de fichiers suivants:

• CSV
• RAW

• HTML
• RTF

• MHT
• TXT

• PDF
• XLS

Naviguer vers Audit > Alertes dans la console FileAudit vous permet de définir des alertes pour les événements liés aux fichiers ou aux accès de masse. Voici une capture d'écran montrant l'interface:

Configurer une alerte

Une alerte est constituée des propriétés suivantes:

• Principal: Quelles opérations vous souhaitez surveiller, accéder par qui, etc.
• Chemins surveillés: Vous pouvez définir plusieurs chemins ici, ce qui est cool
• Exceptions horaires: Désactiver les alertes entre certaines périodes
• Destinataires: Qui devrait recevoir des alertes
• E-mail: Comment les emails d'alerte doivent être structurés

Avant de terminer, je souhaite vous apprendre comment vous connecter à différents serveurs compatibles FileAudit à partir de votre poste de travail administratif. Découvrez la capture d'écran composite suivante qui résume le tout.

Connexion à un serveur FileAudit distant

N'oubliez pas que vous définissez le port de connexion au service FileAudit dans les paramètres de l'application; TCP 2000 est le port par défaut. Si vous modifiez l'ID de port, veillez à redémarrer le service FileAudit.

Récapitulatif

Le tarif de FileAudit est calculé par machine. Comme vous pouvez vous y attendre, le prix unitaire diminue lorsque vous achetez des licences pour un plus grand nombre de systèmes audités. Vous bénéficiez d'une année de support et les renouvellements annuels de licences représentent 20% du coût total de la licence.

Pour les entreprises soumises à des exigences de conformité de sécurité, FileAudit peut être juste l'outil dont vous avez besoin pour rester au top de l'accès au système de fichiers et des rapports.

Timothy Warner
Professionnel de la gestion des données et du cloud Microsoft (MVP)

L’évaluation originale (en anglais) peut être lue sur 4sysops.
4sysops est une communauté en ligne pour les professionnels de l'informatique.