[FRsAG] Audit accès File Server (Windows)

x.roca at sipleo.com x.roca at sipleo.com
Dim 21 Avr 10:14:22 CEST 2019


A la question : 

« Est-ce qu'il y a des GED / whatever qui permettent réellement la gestion
"du droit d'en connaitre" ? (Cad que les admins n'ont pas à avoir accès aux
données et ils ne peuvent pas se donner aux même les droits). »

Pas a ma connaissance mais peut-être qu’un plug-in ou dev spécifique peuvent
le faire.
En parlant de plug-in pour GED voir plus bas si ça intéresse.

Nous on a eu ce type de besoin pour la gestion de secret et les partager en
entreprise.
Avec la possibilité de pouvoir gérer même ses secrets personnels sans que
l’admin ne sache qu’il existe.
Le seul moyen pour lui serrait de voler les autres moyens de validation
(hors périmètre de l’admin) pour pouvoir effectuer la modification.
Ce qui est sur ce que ce n’est pas une GED vu le nombre de fonctionnalité
que propose une GED mais sa stocke quand même des PJ.
Sur les secrets partagés donc PRO on peut garder pour soi-même mais il
appartient à l’entreprise et un super admin pourra si nécessaire l’affecter
à un groupe de mot de passe partagé. Notamment après un départ brutal pour
diverses raisons.

Les secrets PRO étant partagés via des groupes de secret ou l’on autorise
des groupes utilisateurs ou d’utilisateurs directement.
On peut définir les droits avec une très forte granularité comme pouvoir
retirer les droits des administrateurs du gestionnaire de secret.
On peut également déléguer la gestion via la nomination de Superviseur.
Le propriétaire est superviseur automatiquement mais on peut changer ses
droits ou le propriétaire si nos autorisations le permettent.

On a fait cela suite a l’utilisation d’outil de partage de mot de passe qui
ne nous ont pas convenu.
Notamment de l’administrateur pouvait tous faire et voir. Et sans parler des
ergonomies inadaptées pour des non techs.
Certes gérer des secrets ce n’est pas facile de rendre ça simple et agréable
de par le sujet lui-même et le besoin de sécurité pas bien simple en rapport
du truc poser la et basta (le post-it :).

Bien entendu tous les accès sont stockés avec un niveau technique (on voit
les types de requêtes lancé par exemple).
Mais aussi Mme Michu peut consulter qui est venu voir un secret précisément
et auditer qui y a concrètement accès ou voit son existence.
Prochainement Mme Michu sera également avertie qu’on accéder à un secret si
c’est un secret que l’on doit aller voir uniquement en cas d’urgence par
exemple.

J’en profite pour voir ici si certains serait intéressés pour être des
utilisateurs Bêta dans la version RC3 qui devrait arriver vers Juin-Juillet.
On est en production interne dessus pour notre contexte.
Càd des centaines de mots de passe a gérer pour nous en interne et pour le
compte de clients. Sachant que selon le type de prestation, tout le monde
n’a pas l’accès a tous les mots de passe d’un client.
La RC2 va être mise en production chez quelques clients progressivement dès
le mois de Mai.
Pour ceux qui seront participatifs et constructif la version finale leur
sera offerte selon des conditions à définir.
On va volontairement limiter le nombre de participants dans chaque catégorie
d’entreprise ou de besoin.
Afin de pouvoir d’être réactif.
Info importante pour bon nombre ici : ce n’est pas de l’Open Source

Donc si certains veulent déjà se manifester (en MP svp) je le noterai dans
nos tablettes.

Pour reprendre le besoin de GED qui aurait une granularité des droits un peu
sioux, on va créer un plug-in à une GED déjà choisi mais on peut s’ouvrir à
d’autres.
Elle viendra interroger notre gestionnaire de secret via Webservices pour
autoriser ou non l’accès aux données chiffrées et tracer les accès.
Ainsi on profitera d’une GED très sympa avec un spectre de fonctionnalités
énorme tout en conservant les exigences initiales et un grand niveau de
réponse aux différents niveaux d’exigences nécessaire dans le contexte RGPD.

Très bonne Pâques à tous ceux qui ne sont pas déjà en plein vol !!

Xavier

 

De : bougie <bougie at appartland.eu> 
Envoyé : samedi 20 avril 2019 18:29
À : frsag at frsag.org
Objet : Re: [FRsAG] Audit accès File Server (Windows)

 

On 20/04/2019 16:52, x.roca at sipleo.com <mailto:x.roca at sipleo.com>  wrote:

Bonjour,


Pour la gouvernance des données d’un FS il y a aussi 

 <https://www.varonis.com/> https://www.varonis.com/

Au-delà de l’accès aux données, il est capable de la classifier.

D’analyser le comportement des utilisateurs ce qui est peut-être un peu le
besoin quand on commence a vouloir vérifier l’accès c’est que l’on peut
avoir des doutes sur l’usage de certains


 

Autre possibilités simple et efficace mettre une GED en place.

Les outils de reporting qui y sont généralement intégré sont capables de
donné une visibilité accessible a Mr le DG/DSI et autres VIP

 

Xavier

 

De : SIMANCAS Hugo  <mailto:hugo.simancas at data-expertise.com>
<hugo.simancas at data-expertise.com> 
Envoyé : lundi 1 avril 2019 12:04
À : French SysAdmin Group  <mailto:frsag at frsag.org> <frsag at frsag.org>
Objet : [FRsAG] Audit accès File Server (Windows)

 

Bonjour,

 

Connaissez-vous des outils d’audit d’accès d’un file server Windows ?

L’idée est d’avoir de la traçabilité d’accès des documents du réseau, avec
un outil simplifié autre que les logs brut du serveur.

 

Merci d’avance

 

Hugo

 

 





_______________________________________________
Liste de diffusion du FRsAG
http://www.frsag.org/

Est-ce qu'il y a des GED / whatever qui permettent reellement la gestion "du
droit d'en connaitre" ? (Cad que les admins n'ont pas à avoir accès aux
données et ils ne peuvent pas se donner aux même les droits).

-------------- section suivante --------------
Une pièce jointe HTML a été nettoyée...
URL: <http://www.frsag.org/pipermail/frsag/attachments/20190421/69e63baf/attachment-0001.html>


Plus d'informations sur la liste de diffusion FRsAG