La nécessité de mettre en œuvre des systèmes d'audit pour les actions des utilisateurs dans les organisations de tout niveau est confirmée par des recherches menées par des entreprises impliquées dans l'analyse de la sécurité de l'information.

Une étude de Kaspersky Lab a par exemple montré que deux tiers des incidents de sécurité de l'information (67 %) sont causés, entre autres, par les actions d'employés mal informés ou inattentifs. Parallèlement, selon une étude d'ESET, 84 % des entreprises sous-estiment les risques provoqués par le facteur humain.

Se protéger contre les menaces internes nécessite plus d’efforts que se protéger contre les menaces externes. Pour lutter contre les « parasites » externes, notamment les virus et les attaques ciblées sur le réseau d’une organisation, il suffit de mettre en œuvre le système logiciel ou matériel-logiciel approprié. Protéger une organisation contre une attaque interne nécessitera un investissement plus important dans l’infrastructure de sécurité et une analyse plus approfondie. Le travail d'analyse comprend l'identification des types de menaces les plus critiques pour les entreprises, ainsi que l'établissement de « portraits des contrevenants », c'est-à-dire la détermination des dommages qu'un utilisateur peut causer en fonction de ses compétences et de ses pouvoirs.

L'audit des actions des utilisateurs est inextricablement lié non seulement à la compréhension exacte des « lacunes » du système de sécurité de l'information qui doivent être rapidement comblées, mais également à la question de la durabilité de l'entreprise dans son ensemble. Les entreprises engagées dans des opérations continues doivent prendre en compte qu'avec la complication et l'augmentation des processus d'informatisation et d'automatisation des affaires, le nombre de menaces internes ne fait qu'augmenter.

En plus de suivre les actions d'un employé ordinaire, il est nécessaire d'auditer les opérations des « super utilisateurs » - des employés dotés de droits privilégiés et, par conséquent, de plus grandes possibilités de se rendre compte accidentellement ou intentionnellement de la menace de fuite d'informations. Ces utilisateurs incluent les administrateurs système, les administrateurs de bases de données et les développeurs de logiciels internes. Ici, vous pouvez également ajouter des spécialistes informatiques attirés et des employés responsables de la sécurité de l'information.

La mise en place d'un système de suivi des actions des utilisateurs dans une entreprise permet d'enregistrer et de répondre rapidement à l'activité des salariés. Important : le système d’audit doit être complet. Cela signifie que les informations sur les activités d'un employé ordinaire, d'un administrateur système ou d'un cadre supérieur doivent être analysées au niveau du système d'exploitation, de l'utilisation des applications métier, au niveau des périphériques réseau, de l'accès aux bases de données, de la connexion de supports externes et bientôt.

Les systèmes d'audit complets modernes vous permettent de surveiller toutes les étapes des actions des utilisateurs, du démarrage à l'arrêt du PC (poste de travail terminal). Il est vrai qu’en pratique, ils tentent d’éviter un contrôle total. Si toutes les opérations sont enregistrées dans des journaux d'audit, la charge sur l'infrastructure du système d'information de l'organisation augmente plusieurs fois : les postes de travail se bloquent, les serveurs et les canaux fonctionnent à pleine charge. La paranoïa concernant la sécurité des informations peut nuire à une entreprise en ralentissant considérablement les processus de travail.

Un spécialiste compétent en sécurité de l'information détermine principalement :

• quelles données de l'entreprise sont les plus précieuses, puisque la plupart des menaces internes y seront associées ;
• qui et à quel niveau peut avoir accès à des données précieuses, c'est-à-dire décrit le cercle des contrevenants potentiels ;
• la mesure dans laquelle les mesures de sécurité actuelles peuvent résister aux actions intentionnelles et/ou accidentelles des utilisateurs.

Par exemple, les spécialistes de la sécurité de l'information du secteur financier considèrent que les menaces de fuite de données de paiement et d'abus d'accès sont les plus dangereuses. Dans le secteur de l'industrie et des transports, les plus grandes craintes sont la fuite du savoir-faire et le comportement déloyal des travailleurs. Des préoccupations similaires existent dans le secteur informatique et dans le secteur des télécommunications, où les menaces les plus critiques sont la fuite de développements exclusifs, de secrets commerciaux et d'informations de paiement.

COMME VIOLATEURS « TYPIQUES » LES PLUS PROBABLES, LES ANALYSES INDIQUENT :

• Direction supérieure: le choix est évident : les pouvoirs les plus étendus possibles, l'accès aux informations les plus précieuses. Dans le même temps, les responsables de la sécurité ferment souvent les yeux sur les violations des règles de sécurité de l'information par ces personnalités.
• Employés déloyaux : pour déterminer le degré de fidélité, les spécialistes de la sécurité de l’information de l’entreprise doivent analyser les actions d’un employé individuel.
• Administrateurs: Les spécialistes disposant d'un accès privilégié et d'une autorité avancée, possédant des connaissances approfondies dans le domaine informatique, sont susceptibles d'être tentés d'obtenir un accès non autorisé à des informations importantes ;
• Employés d'entrepreneurs / externalisation : à l’instar des administrateurs, des experts « extérieurs », possédant des connaissances approfondies, peuvent mettre en œuvre diverses menaces tout en étant « à l’intérieur » du système d’information du client.

La détermination des informations les plus importantes et des attaquants les plus probables permet de construire un système de contrôle des utilisateurs non pas total, mais sélectif. Cela « décharge » le système d'information et libère les spécialistes de la sécurité de l'information du travail redondant.

Outre la surveillance sélective, l'architecture des systèmes d'audit joue un rôle important dans l'accélération du fonctionnement du système, l'amélioration de la qualité de l'analyse et la réduction de la charge sur l'infrastructure. Les systèmes modernes d'audit des actions des utilisateurs ont une structure distribuée. Des agents capteurs sont installés sur les postes de travail finaux et les serveurs, qui analysent les événements d'un certain type et transmettent les données aux centres de consolidation et de stockage. Les systèmes d'analyse des informations enregistrées sur la base de paramètres intégrés au système trouvent dans les journaux d'audit des faits d'activités suspectes ou anormales qui ne peuvent pas être immédiatement attribuées à une tentative de mise en œuvre d'une menace. Ces faits sont transmis au système de réponse, qui informe l'administrateur de sécurité de la violation.

Si le système d'audit est capable de faire face de manière indépendante à une violation (généralement, ces systèmes de sécurité de l'information fournissent une méthode de signature pour répondre à une menace), alors la violation est automatiquement arrêtée et toutes les informations nécessaires sur le contrevenant, ses actions et la cible de la menace aboutit dans une base de données spéciale. Dans ce cas, la console Administrateur de sécurité vous informe que la menace a été neutralisée.

Si le système ne dispose pas de moyens de répondre automatiquement aux activités suspectes, toutes les informations permettant de neutraliser la menace ou d'analyser ses conséquences sont transférées vers la console de l'administrateur de la sécurité des informations pour effectuer les opérations manuellement.

DANS LE SYSTÈME DE SURVEILLANCE DE TOUTE ORGANISATION, LES OPÉRATIONS DOIVENT ÊTRE CONFIGURÉES :

Auditez l'utilisation des postes de travail, des serveurs, ainsi que le temps (par heures et jours de la semaine) d'activité des utilisateurs sur ceux-ci. De cette manière, la faisabilité de l'utilisation des ressources d'information est établie.

Pour auditer l'accès aux fichiers et dossiers dans Windows Server 2008 R2, vous devez activer la fonction d'audit et également spécifier les dossiers et fichiers auxquels l'accès doit être enregistré. Après avoir configuré l'audit, le journal du serveur contiendra des informations sur l'accès et d'autres événements sur les fichiers et dossiers sélectionnés. Il convient de noter que l'audit de l'accès aux fichiers et dossiers ne peut être effectué que sur des volumes dotés du système de fichiers NTFS.

Activer l'audit des objets du système de fichiers dans Windows Server 2008 R2

L'audit d'accès aux fichiers et aux dossiers est activé et désactivé à l'aide de stratégies de groupe : stratégies de domaine pour un domaine Active Directory ou stratégies de sécurité locales pour des serveurs individuels. Pour activer l'audit sur un serveur individuel, vous devez ouvrir la console de gestion des stratégies locales Démarrer ->TousProgrammes ->AdministratifOutils ->LocaleSécuritéPolitique. Dans la console de stratégie locale, vous devez développer l'arborescence de stratégie locale ( LocaleStratégies) et sélectionnez un élément AuditPolitique.

Dans le panneau de droite, vous devez sélectionner un élément AuditObjetAccéder et dans la fenêtre qui apparaît, précisez quels types d'événements d'accès aux fichiers et dossiers doivent être enregistrés (accès réussi/échec) :

Après avoir sélectionné le paramètre requis, cliquez sur D'ACCORD.

Sélection des fichiers et dossiers auxquels l'accès sera enregistré

Une fois l'audit de l'accès aux fichiers et aux dossiers activé, vous devez sélectionner des objets spécifiques du système de fichiers auxquels auditer l'accès. Tout comme les autorisations NTFS, les paramètres d'audit sont hérités par défaut pour tous les objets enfants (sauf configuration contraire). Tout comme lors de l'attribution de droits d'accès aux fichiers et dossiers, l'héritage des paramètres d'audit peut être activé pour tous ou uniquement pour les objets sélectionnés.

Pour configurer l'audit pour un dossier/fichier spécifique, vous devez cliquer dessus avec le bouton droit et sélectionner Propriétés ( Propriétés). Dans la fenêtre des propriétés, accédez à l'onglet Sécurité ( Sécurité) et appuyez sur le bouton Avancé. Dans la fenêtre des paramètres de sécurité avancés ( AvancéSécuritéParamètres) allez dans l'onglet Audit ( Audit). Bien entendu, la configuration de l’audit nécessite des droits d’administrateur. A ce stade, la fenêtre d'audit affichera une liste d'utilisateurs et de groupes pour lesquels l'audit de cette ressource est activé :

Pour ajouter des utilisateurs ou des groupes dont l'accès à cet objet sera enregistré, cliquez sur le bouton Ajouter… et précisez les noms de ces utilisateurs/groupes (ou précisez Tout le monde– pour auditer l’accès de tous les utilisateurs) :

Immédiatement après avoir appliqué ces paramètres dans le journal du système de sécurité (vous pouvez le trouver dans le OrdinateurGestion -> Observateur d'événements), chaque fois que vous accédez à des objets pour lesquels l'audit est activé, les entrées correspondantes apparaîtront.

Alternativement, les événements peuvent être affichés et filtrés à l'aide de l'applet de commande PowerShell - Obtenir-EventLog Par exemple, pour afficher tous les événements avec l'ID d'événement 4660, exécutez la commande :

Sécurité Get-EventLog | ?($_.eventid -eq 4660)

Conseil. Il est possible d'attribuer des actions spécifiques à n'importe quel événement du journal Windows, comme l'envoi d'un e-mail ou l'exécution d'un script. La façon dont cela est configuré est décrite dans l'article :

Mise à jour du 06.08.2012 (Merci au commentateur).

Sous Windows 2008/Windows 7, un utilitaire spécial est apparu pour gérer l'audit auditpol. Une liste complète des types d'objets pour lesquels l'audit peut être activé peut être consultée à l'aide de la commande :

Auditpol /liste /sous-catégorie :*

Comme vous pouvez le constater, ces objets sont répartis en 9 catégories :

• Système
• Connexion/Déconnexion
• Accès aux objets
• Utilisation privilégiée
• Suivi détaillé
• Changement de politique
• Gestion de compte
• Accès DS
• Connexion au compte

Et chacun d’eux est donc divisé en sous-catégories. Par exemple, la catégorie d'audit d'accès aux objets inclut la sous-catégorie Système de fichiers, et pour activer l'audit des objets du système de fichiers sur l'ordinateur, exécutez la commande :

Auditpol /set /subcategory:"Système de fichiers" /échec:activer /succès:activer

Il est désactivé en conséquence avec la commande :

Auditpol /set /subcategory:"Système de fichiers" /échec:désactiver /succès:désactiver

Ceux. Si vous désactivez l'audit des sous-catégories inutiles, vous pouvez réduire considérablement le volume des journaux et le nombre d'événements inutiles.

Une fois l'audit de l'accès aux fichiers et dossiers activé, vous devez spécifier les objets spécifiques que nous surveillerons (dans les propriétés des fichiers et dossiers). Gardez à l'esprit que par défaut, les paramètres d'audit sont hérités de tous les objets enfants (sauf indication contraire).

Victor Chutov
Chef de projet INFORMSVYAZ HOLDING

Conditions préalables à la mise en œuvre du système

La première étude mondiale ouverte sur les menaces internes à la sécurité de l'information menée par Infowatch en 2007 (sur la base des résultats de 2006) a montré que les menaces internes ne sont pas moins courantes (56,5 %) que les menaces externes (malwares, spams, pirates informatiques, etc.) . d.). De plus, dans l'écrasante majorité (77 %), la cause d'une menace interne est la négligence des utilisateurs eux-mêmes (non-respect des descriptions de poste ou négligence des mesures de base de sécurité de l'information).

Dynamique d'évolution de la situation sur la période 2006-2008. montré sur la fig. 1.

La diminution relative de la part des fuites dues à la négligence est due à la mise en œuvre partielle de systèmes de prévention des fuites d'informations (y compris des systèmes de surveillance des actions des utilisateurs), qui offrent un degré de protection assez élevé contre les fuites accidentelles. Cela est également dû à l’augmentation absolue du nombre de vols délibérés de données personnelles.

Malgré l'évolution des statistiques, nous pouvons toujours affirmer avec certitude que la tâche prioritaire est de lutter contre les fuites d'informations involontaires, car il est plus facile, moins coûteux de contrer ces fuites et, par conséquent, la plupart des incidents sont couverts.

Dans le même temps, la négligence des employés, selon une analyse des résultats de recherche d'Infowatch et Perimetrix pour 2004-2008, se classe au deuxième rang des menaces les plus dangereuses (les résultats résumés de la recherche sont présentés dans la figure 2), et sa pertinence continue de croître. avec l'amélioration des systèmes automatisés logiciels et matériels (AS) des entreprises.

Ainsi, la mise en œuvre de systèmes qui éliminent la possibilité d'une influence négative d'un employé sur la sécurité de l'information dans le système automatisé de l'entreprise (y compris les programmes de surveillance), fournissent aux employés du service de sécurité de l'information une base de preuves et des documents pour enquêter sur un incident, éliminera la menace de les fuites dues à la négligence, réduisent considérablement les fuites accidentelles et réduisent également légèrement les fuites intentionnelles. A terme, cette mesure devrait permettre de réduire considérablement la mise en œuvre de menaces émanant de contrevenants internes.

Système automatisé moderne pour auditer les actions des utilisateurs. Avantages et inconvénients

Les systèmes automatisés d'audit (surveillance) des actions des utilisateurs (ASADP) AS, souvent appelés produits logiciels de surveillance, sont destinés à être utilisés par les administrateurs de sécurité AS (le service de sécurité de l'information de l'organisation) pour garantir son observabilité - « propriétés d'un système informatique qui vous permet de enregistrer les activités des utilisateurs, ainsi que définir des identifiants uniques pour les utilisateurs impliqués dans certains événements afin de prévenir la violation des politiques de sécurité et/ou d'assurer la responsabilité de certaines actions.

La propriété d’observabilité de l’AS, selon la qualité de sa mise en œuvre, permet, à un degré ou à un autre, de contrôler le respect par les employés de l’organisation de sa politique de sécurité et des règles établies pour travailler en toute sécurité sur les ordinateurs.

L'utilisation de produits logiciels de surveillance, y compris en temps réel, vise à :

• identifier (localiser) tous les cas de tentatives d'accès non autorisé à des informations confidentielles avec une indication exacte de l'heure et du lieu de travail du réseau à partir duquel une telle tentative a été effectuée ;
• identifier les faits d'installation non autorisée de logiciels ;
• identifier tous les cas d'utilisation non autorisée de matériel supplémentaire (par exemple, modems, imprimantes, etc.) en analysant les faits de lancement d'applications spécialisées installées non autorisées ;
• identifier tous les cas de saisie de mots et de phrases critiques au clavier, de préparation de documents critiques dont la transmission à des tiers entraînera des dommages matériels ;
• contrôler l'accès aux serveurs et aux ordinateurs personnels ;
• contrôler les contacts lorsque vous surfez sur Internet ;
• mener des recherches visant à déterminer l'exactitude, l'efficacité et l'adéquation de la réponse du personnel aux influences externes ;
• déterminer la charge des postes informatiques de l’organisme (par heure de la journée, par jour de la semaine, etc.) à des fins d’organisation scientifique du travail des utilisateurs ;
• surveiller l'utilisation des ordinateurs personnels en dehors des heures de travail et identifier le but de cette utilisation ;
• recevoir les informations fiables nécessaires sur la base desquelles les décisions sont prises pour ajuster et améliorer la politique de sécurité de l'information de l'organisation, etc.

La mise en œuvre de ces fonctions est réalisée en introduisant des modules d'agent (capteurs) sur les postes de travail et les serveurs AS avec une interrogation d'état supplémentaire ou la réception de rapports de leur part. Les rapports sont traités dans la console Administrateur de sécurité. Certains systèmes sont équipés de serveurs intermédiaires (points de consolidation) qui traitent leurs propres zones et groupes de sécurité.

Une analyse système des solutions présentées sur le marché (StatWin, Tivoli Configuration Manager, Tivoli Remote Control, OpenView Operations, "Uryadnik/Enterprise Guard", Insider) a permis d'identifier un certain nombre de propriétés spécifiques, donnant lesquelles à un ASADP prometteur améliorera ses indicateurs de performance par rapport aux échantillons étudiés.

Dans le cas général, outre une fonctionnalité assez large et un large éventail d'options, les systèmes existants peuvent être utilisés pour suivre les activités de certains utilisateurs AS uniquement sur la base d'une enquête cyclique obligatoire (analyse) de tous les éléments AS spécifiés (et principalement du poste de travail utilisateurs).

Dans le même temps, la distribution et l'échelle des systèmes modernes, comprenant un nombre assez important de postes de travail, de technologies et de logiciels, compliquent considérablement le processus de surveillance du travail des utilisateurs, et chacun des périphériques réseau est capable de générer des milliers de messages d'audit, atteignant des volumes d'informations assez importants qui nécessitent la maintenance d'énormes bases de données, souvent en double. Ces outils consomment entre autres d’importantes ressources réseau et matérielles et chargent le système partagé. Ils s'avèrent inflexibles pour reconfigurer le matériel et les logiciels des réseaux informatiques, ne sont pas capables de s'adapter aux types inconnus de violations et d'attaques de réseau, et l'efficacité de leur détection des violations de la politique de sécurité dépendra en grande partie de la fréquence d'analyse de l'AS. éléments par l’administrateur de sécurité.

L’un des moyens d’augmenter l’efficacité de ces systèmes consiste à augmenter directement la fréquence de balayage. Cela entraînera inévitablement une diminution de l'efficacité de l'exécution des tâches principales pour lesquelles, en fait, cet AS est destiné, en raison d'une augmentation significative de la charge de calcul tant sur le poste de travail de l'administrateur que sur les ordinateurs des postes de travail des utilisateurs, ainsi que comme avec la croissance du trafic dans le réseau AS local.

Outre les problèmes liés à l'analyse de grandes quantités de données, les systèmes de surveillance existants présentent de sérieuses limitations dans l'efficacité et la précision des décisions prises, causées par le facteur humain déterminé par les capacités physiques de l'administrateur en tant qu'opérateur humain.

La présence dans les systèmes de surveillance existants de la possibilité de notifier en temps réel les actions non autorisées évidentes des utilisateurs ne résout pas fondamentalement le problème dans son ensemble, car elle permet de suivre uniquement les types de violations précédemment connus (méthode de signature) et n'est pas en mesure de contrecarrer les nouveaux types de violations.

Le développement et l'utilisation de méthodes étendues pour assurer la sécurité de l'information dans les systèmes de sécurité de l'information, prévoyant une augmentation du niveau de sa protection grâce à la « sélection » supplémentaire d'une ressource informatique à partir de l'AS, réduisent la capacité de l'AS à résoudre le problème. tâches pour lesquelles il est destiné et/ou augmente son coût. L’échec de cette approche sur le marché des technologies informatiques en développement rapide est évident.

Système automatisé d'audit (surveillance) des actions des utilisateurs. Des propriétés prometteuses

Des résultats d’analyse présentés précédemment, il ressort la nécessité évidente de conférer aux systèmes de surveillance prometteurs les propriétés suivantes :

• l'automatisation, éliminant les opérations « manuelles » de routine ;
• une combinaison de centralisation (basée sur un poste de travail d'administrateur de sécurité automatisé) avec un contrôle au niveau des éléments individuels (programmes informatiques intelligents) du système de surveillance du travail des utilisateurs de l'AS ;
• l'évolutivité, qui permet d'augmenter la capacité des systèmes de surveillance et d'étendre leurs capacités sans augmentation significative des ressources informatiques nécessaires à leur fonctionnement efficace ;
• adaptabilité aux changements dans la composition et aux caractéristiques de l'AS, ainsi qu'à l'émergence de nouveaux types de violations de la politique de sécurité.

La structure généralisée d'ASADP AS, qui présente les caractéristiques distinctives notées, qui peuvent être implémentées dans AS à diverses fins et accessoires, est présentée dans la Fig. 3.

La structure donnée comprend les composants principaux suivants :

• des composants logiciels-capteurs placés sur certains éléments de l'AS (sur les postes de travail des utilisateurs, les serveurs, les équipements réseaux, les outils de sécurité de l'information), utilisés pour enregistrer et traiter les données d'audit en temps réel ;
• fichiers d'enregistrement contenant des informations intermédiaires sur le travail des utilisateurs ;
• des composants de traitement des données et de prise de décision qui reçoivent des informations des capteurs via des fichiers d'enregistrement, les analysent et prennent des décisions sur d'autres actions (par exemple, saisir certaines informations dans une base de données, informer les fonctionnaires, créer des rapports, etc.) ;
• une base de données d'audit (DB) contenant des informations sur tous les événements enregistrés, sur la base de laquelle des rapports sont créés et l'état de l'AS est surveillé pendant une période de temps donnée ;
• des composants permettant de générer des rapports et des certificats à partir des informations enregistrées dans la base de données d'audit et de filtrer les enregistrements (par date, par identifiants utilisateur, par poste de travail, par événements de sécurité, etc.) ;
• un composant d'interface d'administrateur de sécurité qui sert à gérer le fonctionnement de l'ASDP AS avec son poste de travail automatisé, à visualiser et imprimer des informations, à créer différents types de requêtes dans la base de données et à générer des rapports, permettant une surveillance en temps réel des activités en cours des utilisateurs de l'AS et évaluer le niveau actuel de sécurité de diverses ressources ;
• des composants supplémentaires, notamment des composants logiciels pour la configuration du système, l'installation et la mise en place de capteurs, l'archivage et le cryptage des informations, etc.

Le traitement des informations dans ASADP AS comprend les étapes suivantes :

• enregistrer des informations d'enregistrement par des capteurs ;
• collecter des informations à partir de capteurs individuels ;
• échange d'informations entre les agents système concernés ;
• traitement, analyse et corrélation des événements enregistrés ;
• présentation des informations traitées à l'administrateur de sécurité sous une forme normalisée (sous forme de rapports, de graphiques, etc.).

Afin de minimiser les ressources informatiques requises, d'augmenter le secret et la fiabilité du système, les informations peuvent être stockées sur divers éléments AS.

Sur la base de la tâche déclarée de conférer des propriétés d'automatisation fondamentalement nouvelles (par rapport aux systèmes existants d'audit du travail des utilisateurs AS), une combinaison de centralisation et de décentralisation, d'évolutivité et d'adaptabilité, l'une des stratégies possibles pour sa construction semble être la technologie moderne de systèmes multi-agents intelligents, mis en œuvre grâce au développement d'une communauté intégrée d'agents de différents types (programmes autonomes intelligents qui mettent en œuvre certaines fonctions de détection et de lutte contre les actions des utilisateurs qui contredisent la politique de sécurité) et en organisant leur interaction.

Parfois, des événements surviennent et nous obligent à répondre à une question. "qui l'a fait?" Cela peut arriver « rarement, mais avec précision », vous devez donc préparer la réponse à la question à l'avance.

Presque partout, des bureaux d'études, des services comptables, des développeurs et d'autres catégories d'employés travaillent ensemble sur des groupes de documents stockés dans un dossier accessible au public (Partagé) sur un serveur de fichiers ou sur l'un des postes de travail. Il peut arriver que quelqu'un supprime un document ou un répertoire important de ce dossier, ce qui peut entraîner la perte du travail de toute une équipe. Dans ce cas, l'administrateur système est confronté à plusieurs questions :

Quand et à quelle heure le problème est-il survenu ?

Quelle est la sauvegarde la plus proche de cette heure à partir de laquelle restaurer les données ?

Peut-être y a-t-il eu une panne du système qui pourrait se reproduire ?

Windows a un système Audit, vous permettant de suivre et d'enregistrer des informations sur quand, par qui et en utilisant quel programme les documents ont été supprimés. Par défaut, l'audit n'est pas activé - le suivi lui-même nécessite un certain pourcentage de puissance système, et si vous enregistrez tout, la charge deviendra trop importante. De plus, toutes les actions des utilisateurs ne peuvent pas nous intéresser, c'est pourquoi les politiques d'audit nous permettent de permettre le suivi uniquement des événements qui sont vraiment importants pour nous.

Le système d’audit est intégré à tous les systèmes d’exploitation Microsoftles fenêtresNT: Windows XP/Vista/7, Windows Serveur 2000/2003/2008. Malheureusement, dans les systèmes de la série Windows Home, l'audit est profondément caché et trop difficile à configurer.

Que faut-il configurer ?

Pour activer l'audit, connectez-vous avec les droits d'administrateur à l'ordinateur qui donne accès aux documents partagés et exécutez la commande Commencer→Courir→gpedit.msc. Dans la section Configuration de l'ordinateur, développez le dossier Paramètres Windows→ Les paramètres de sécurité→ Politiques locales→ Politiques d'audit :

Double-cliquez sur la politique Auditer l'accès aux objets (Audit d'accès aux objets) et cochez la case Succès. Ce paramètre active un mécanisme permettant de surveiller les accès réussis aux fichiers et au registre. En effet, seules les tentatives réussies de suppression de fichiers ou de dossiers nous intéressent. Activez l'audit uniquement sur les ordinateurs sur lesquels les objets surveillés sont directement stockés.

Il ne suffit pas d'activer simplement la politique d'audit, nous devons également spécifier les dossiers que nous voulons surveiller. En règle générale, ces objets sont des dossiers de documents communs (partagés) et des dossiers contenant des programmes de production ou des bases de données (comptabilité, entrepôt, etc.) - c'est-à-dire des ressources avec lesquelles plusieurs personnes travaillent.

Il est impossible de deviner à l'avance qui supprimera exactement le fichier, le suivi est donc indiqué pour tout le monde. Les tentatives réussies de suppression d'objets surveillés par n'importe quel utilisateur seront enregistrées. Appelez les propriétés du dossier requis (s'il existe plusieurs dossiers de ce type, alors tous à tour de rôle) et sur l'onglet Sécurité → Avancé → Audit ajouter un suivi du sujet Tout le monde ses tentatives d'accès réussies Supprimer Et Supprimer les sous-dossiers et les fichiers :

De nombreux événements peuvent être enregistrés, vous devez donc également ajuster la taille du journal. Sécurité(Sécurité), dans lequel ils seront enregistrés. Pour
exécutez cette commande Commencer→ Courir→ événementvwr. msc. Dans la fenêtre qui apparaît, appelez les propriétés du journal de sécurité et précisez les paramètres suivants :

Taille maximale du journal = 65536 K.B.(pour les postes de travail) ou 262144 K.B.(pour les serveurs)

Écrasez les événements si nécessaire.

En fait, l'exactitude des chiffres indiqués n'est pas garantie, mais sont sélectionnés empiriquement pour chaque cas spécifique.

les fenêtres 2003/ XP)?

Cliquez sur Commencer→ Courir→ eventvwr.msc Sécurité. Voir→ Filtre

• Source de l'événement : Sécurité ;
• Catégorie : Accès aux objets ;
• Types d'événements : audit de réussite ;
• ID d'événement : 560 ;

Parcourez la liste des événements filtrés, en faisant attention aux champs suivants dans chaque entrée :

• ObjetNom. Le nom du dossier ou du fichier que vous recherchez ;
• ImageDéposerNom. Le nom du programme qui a supprimé le fichier ;
• Accès. L'ensemble des droits demandés.

Un programme peut demander plusieurs types d'accès au système à la fois - par exemple, Supprimer+ Synchroniser ou Supprimer+ Lire_ Contrôle. Un droit important pour nous est Supprimer.

Alors, qui a supprimé les documents (les fenêtres 2008/ Vue)?

Cliquez sur Commencer→ Courir→ eventvwr.msc et ouvrez le magazine pour voir Sécurité. Le journal peut contenir des événements qui ne sont pas directement liés au problème. Cliquez avec le bouton droit sur le journal de sécurité et sélectionnez Voir→ Filtre et filtrez votre visionnage selon les critères suivants :

• Source de l'événement : sécurité ;
• Catégorie : Accès aux objets ;
• Types d'événements : audit de réussite ;
• ID d'événement : 4663 ;

Ne vous précipitez pas pour interpréter toutes les suppressions comme malveillantes. Cette fonction est souvent utilisée pendant le fonctionnement normal du programme, par exemple lors de l'exécution d'une commande. Sauvegarder(Sauvegarder), programmes de package MicrosoftBureau Tout d’abord, ils créent un nouveau fichier temporaire, y enregistrent le document, puis suppriment la version précédente du fichier. De même, de nombreuses applications de base de données créent d'abord un fichier de verrouillage temporaire lors de leur lancement. (. chance), puis supprimez-le en quittant le programme.

Dans la pratique, j'ai dû faire face à des actions malveillantes d'utilisateurs. Par exemple, un employé en conflit d'une certaine entreprise, en quittant son emploi, a décidé de détruire tous les résultats de son travail, supprimant les fichiers et dossiers auxquels il était lié. Les événements de ce type sont clairement visibles : ils génèrent des dizaines, voire des centaines d'entrées par seconde dans le journal de sécurité. Bien entendu, la restauration de documents à partir de OmbreCopies(Copiages instantanés) ou une archive créée automatiquement chaque jour n'est pas difficile, mais en même temps je pourrais répondre aux questions « Qui a fait ça ? et "Quand est-ce arrivé?"