Bonjour tout le monde,
 
 
 
Actuellement nous connaissons malheureusement des vagues de licenciements dans la société où je travail (je sens mon tour arriver sous peu, merci à l'externalisation lol).
 
La direction demande de mettre en place des logs, sur les ouvertures/modifications/suppressions de certains répertoires et fichiers sur le réseaux.
Le soucis c'est que je ne vois pas de log qui me permettrait de dire qu'actuellement un users s'amuse à delete des répertoires où il a les droits.
 
 
Avez-vous une solution via l'AD ou les droits NTFS ou autre, ou une solution software ? et aussi qui interdirait de copier collé des fichiers etc.. ?
 
 
En vous remerciant par avance,

Triste  
 
Ce que je vois surtout dans ce genre de solution, c'est d'être sûr de ses sauvegardes pour restaurer à tout moment les données qui auraient été supprimés.

Les sauvegardes pas de soucis pour ça, le soucis ça reste le mec qui supprime ou modifie des fichiers, et que tu ne le vois que dans 6 mois.
 
Ou un delete complet des fichiers (6To) ce qui sera très très long à restaurer avec des bandes (LTO4 actuellement).

RMS je crois permet de faire ça
https://fr.wikipedia.org/wiki/Rights_Management_System

bah les droits ntfs de base

Sur les droits NTFS de base, je ne peux pas avoir de traçabilité sur qui a fait quoi, où sur qui a ouvert X fois un fichier qu'il n'aurait pas eu le droit etc...

si

Je suis preneur d'infos alors, car je vois pas où je peux trouver ça.

http://bfy.tw/6HXA

  Excellent !!

Très utile ta démarche Je@nb, tu peux aussi fermer le forum et mettre uniquement ce lien ça ira plus vite .....
 
 
Bref, j'ai beau regardé l'audit sur les droits à NTFS, il manque énormément de chose par rapport à ma demande initiale sur le sujet.
 
Je vois pas un contrôle pour empêcher les copier coller par exemple ... bref venir troll un sujet je n'en vois pas l'intérêt, soit tu veux bien aider  en donnant de vrais infos, sinon il vaut mieux ne pas répondre si ça te fait ch.... d'y répondre.

non mais demander comment faire de l'audit sans même chercher c'est un peu gros. C'est pas comme si j'avais tapé une recherche ultra compliqué dans google mais bon... Tu es de mauvaise fois c'est tout.
 
Quant au copier coller bah c'est pas de l'audit donc ça va pas se trouver là, et ça c'est pas possible et c'est bien normal.

Je ne connaissais pas l'audit dans les droits NTFS, donc difficile de faire une recherche sur quelques choses que tu ne connais pas. C'est plus facile de chercher, quand tu sais quoi chercher.  
 
Au début tu m'as parlé juste des droits NTFS, j'ai donc regardé et pour ça que je t'avais dit que ça ne faisait pas ce que je recherché et tu m'as répondu juste "si", tu m'aurais dit  si regarde l'audit ça m'aurait aider
 
Et après la question de savoir si la recherche est facile ou pas, le but du fofo c'est aussi d'échanger sur des méthodes, sur ce que les autres font etc... sinon effectivement google a surement déjà toutes les infos j'en doute pas. Bref passons nous allons pas nous éterniser sur ça.
 
Pour le copier collé, je sais que les outils existent, mais je n'arrive pas à en trouver un (entre les pubs à la con, les freeware etc...). Pour l'audit aussi, pas forcément très lisible même en créant des filtres et autres, enfin sur des millions de fichiers, je pense qu'il y a des outils plus performants (enfin j'espère).

Ha oui, c'est vrai en plus, y'a l'audit des fichiers par ntfs...
J'ai mis ça en place chez nous en plus xD
http://forum.hardware.fr/forum2.ph [...] w=0&nojs=0

"Ha oui, c'est vrai en plus, y'a l'audit des fichiers par ntfs.."
 
 
Je connaissais pas du tout cette fonction, car tout simplement pas le besoin avant. Mais j'ai fouiné du coup un peu, belle usine à gaz et l'observateurs d’événement comme souvent pas clair. Et sur 6To de données users, j'imagine même pas le nombre d'infos.  
 
Et j'imagine que dans des très grands groupes, il doit y avoir des solutions plus admin friendly ? enfin je l'espère

Franchement j'ai du louper un épisode mais l'audit NTFS, c'est juste inutilisable.

Tu as des solutions comme Varonis qui permettent de faire plein de choses.
Après intégrer ça dans un SIEM avec des reporting font l'affaire.
 
Après l'idée est de limiter l'audit aux utilisateurs que tu veux auditer, sur les actions que tu veux auditer sur les fichiers que tu veux auditer. Mettre authenticated users à la racine d'un serveur de fichier sur toutes les opération c'est un coup à faire planter son serveur de fichier.

 
Ouais, c'est ce que j'allais dire, tout dépend le nombre de fichiers à auditer car au niveau perf, ça peut prendre une claque.
Depuis qu'on a mis en place chez nous (un dossier avec une centaine de fichiers), on a pas vu d'effets indésirables (j'avais d'ailleurs oublié que c'était en prod' xD) mais comme j'en parlais dans mon topic, j'ai été obligé d'agrandir la taille du journal. Et ça par contre, c'est quand même chiant car à distance, à ouvrir par la MMC, ça prend quand même vachement plus de temps.
Bref, 6To, un journal, la taille va piquer sévère même avec un bon ciblage à mon avis...

Et attention avec la taille des journaux, c'est des mapped memory files donc tu peux pas mettre une taille énorme si tu veux pas bouffer toute la ram de ton serveur.
Faut centralier les logs sur des serveurs de monitoring, c'est fait pour ça.

Aujourd'hui ce sont surtout les gens qui vont être licencier que nous voulons surveiller, mais la direction veut clairement étendre cela à toute la société.
 
Même en affinant les droits, il y a toujours un mec qui va te supprimer un fichier, répertoire qu'il ne faut pas. Et sans traçabilité dur de savoir ce qui s'est passé. Sans parler des soucis de virus du genre Cryptlocker, qui pour le coup recevoir une alerte comme quoi X milliers de fichiers viennent d'être modifiers ça aurait été top.
 
Après je pense que l'audit NTFS de ce que j'ai pu lire est tester, est clairement bien pour un besoin ponctuel, ou sur quelques users et répertoires. Sur 6To et 150 salariés pour moi ça ressemble à une usine à gaz.
 
Je vais regarder pour Varonis je ne connais pas. Pour le soucis des copier collés c'est pour éviter la fuite d'information, mais bon il y a toujours des façons de contourner les choses.

Pour les logs, nous avons un sexilog actuellement, je peux donc facilement les exporter. Après ça va être de faire le tri des quantités de données le plus lourd et le reporting qui va avec.

Non mais auditer 6 To en 24/24 il faut juste oublier. A moins qu'ils soient prêts à acheter une infra et des équipes entières de tech rien que pour ça.

Pour cela que je cherchais un moyen simple visuellement d'avoir l'infos qui m'intéresse ou faire une recherche facile.
 
Exemple la direction me demande de voir qui a modifier quoi il y a 3 semaines dans un répertoire, je vois pas utiliser observateur d'événements pour cela. Après entre l'avis du SI et la direction qui est dans son monde ...

Avant de chercher un moyen de visualiser ces infos, tu devrais commencer par estimer le volume des logs, leur croissance et par conséquent l'infra nécessaire pour stocker, visualiser et sauvegarder ces données. Ce que tu traduiras en coût pour ta direction. Coût qui sera je pense démentiel pour une boîte de 150 personnes.

Oui je pense que ça risque de les dissuader, même si bizarrement ils ne sont pas trop regardant sur l'infra.
 
Par contre pour l'estimation ça va être quand même short, mise à part tester pendant une semaine et faire une moyenne journalière je ne vois pas trop, je pense pas qu'il y ait des outils tout fait pour ce calcul. Mais dans les 5 à 6Go/jours en logs ça serait pas étonnant.

L'audit NTFS peut générer rapidement énormément de log c'est lourd et pas super exploitable directement.
 
Assurer que tout le monde n'a accès qu'au données qui le concerne avec la mise en place des partage et gestion des droits méthode AGDLP
 
 + audit des changements avec netwrix auditor http://www.netwrix.com/file_server_auditing.html

Ce topic me donne envie de troller
Ne pourrais tu pas plutot auditer les annonces de pole emploi pour vite sortir de ce grand nean ?

 
Et c'est chargé en RAM ça ?

tu as un event log de 50mo ?
J'ai des clients qui mettent plusieurs centaines de mo voir en go ...

 
C'est 20Mo par défaut donc, j'ai plus que doublé...
Des centaines de Mo,voir giga ! juste pour le journal security, on est bien d'accord ?
 
Mais en RAM, ça a l'air de prendre moins quand même :
 

oui juste pour celui de sécu.
A vérifier mais il me semblait que c'est juste parce que c'est des memory mapped files que ça diminue d'autant l'espace en ram. A ne pas confondre avec l'utilisation en ram du fichier. (ouais je sais c'est pas clair et pour moi non plus et j'ai pas envie de chercher plus)

ok, on peut assez facilement dire que pour un serveur, on peut augmenter la taille des journaux dans des proportions gigantesques, contrairement aux journaux des PC où on est plus raisonnable
Le besoin n'est certainement pas le même.

Salut Veritas ( anciennement symantec) à une solution de gouvernance de donnée. Pour les présentations que j'ai eu ça semble correspondre au besoin de ta direction.

"Ce topic me donne envie de troller  
Ne pourrais tu pas plutot auditer les annonces de pole emploi pour vite sortir de ce grand nean ?"
 
Bas tu es gentil, tu vas troller ailleurs, si ça ne t'intéresse pas bas tu ne réponds pas, c'est facile à comprendre pourtant non ?
 
 
Merci pour vos réponses pour les autres, effectivement l'idée de l'audit pourrait très bien convenir je pense, mais sur quelques users et quelques répertoires, je l'imagine pas sur l'ensemble des users et du parc.  
 
Je vais regarder pour Veritas voir ce qu'il propose, je trouve très peu de solution en tout cas, pourtant nous devons pas être les seuls à vouloir interdire les copier/coller etc.. , peut être que la solution portail comme Sharepoint, permets de mieux gérer cette partie.

netwrix