logo rss

Serveur de fichiers Windows : Comment activer l'audit de fichiers

Windows Server logo

Je suis sur que vous avez déjà entendu des utilisateurs se plaindre que des fichiers avaient mystérieusement disparus.

Donc dans le but de résoudre un des plus fréquents mystère de l'informatique et accessoirement de désigner un coupable, il peut être utile d'activer l'audit de fichiers.

Cela va nous permettre de voir les modifications et accès pour un dossier ou fichier (accès en lecture, suppression, modification des ACL etc…)

Stratégie de sécurité

To enable file auditing we need to create a new GPO.

Créer une GPO

  • Ouvrir la console de Gestion de stratĂ©gie de groupe :
Ouvrir la console de gestion des stratégies de groupe depuis la console exécuter de windows
  • CrĂ©er une nouvelle GPO et la lier Ă  l'OU dans lequel se trouve le serveur de fichiers Ă  auditer :
Créer une nouvelle GPO depuis la console de gestion de stratégies de groupe
  • Donner un nom explicite :
FenĂŞtre de renommage d'une GPO

Configurer la stratégie

  • Éditer la stratĂ©gie nouvellement crĂ©Ă©e :
Editer une GPO
  • Aller dans Configuration de l'ordinateur > StratĂ©gies > Paramètres Windows > Paramètres de sĂ©curitĂ© > StratĂ©gie d'audit et Ă©diter la règle Auditer l'accès aux objets :
éditer les propriétés de la stratégie audit policy
  • Cocher RĂ©ussite et Echec puis cliquer sur OK :
propriétés de l'élément Auditer l'accès aux objets
  • Maintenant aller dans Configuration de l'ordinateur > StratĂ©gies > Paramètres Windows > Paramètres de sĂ©curitĂ© > Configuration avancĂ©e de la stratĂ©gie d'audit > Accès Ă  l'objet et Ă©diter Auditer l'accès aux objets :
éditer les propriétés de la stratégie accès aux objets
  • Cocher RĂ©ussite et Echec puis cliquer sur OK :
propriétés de l'élément Auditer l'accès aux objets

Serveur de fichiers Windows

Nous avons maintenant besoin de se connecter sur le serveur de fichiers Windows pour activer l'Audit de fichiers sur un dossier.

Activation de l'audit

Disons que l'on souhaite activer l'audit sur le partage \\SRV-DATA\01-Admin.

Naviguer sur un partage de fichier depuis l'explorateur windows
  • Faire un clic droit sur le dossier et cliquer sur PropriĂ©tĂ©s :
menu déroulant d'un dossier depuis l'explorateur windows
  • Aller dans l'onglet SĂ©curitĂ© et cliquer sur AvancĂ© :
onglet sécurité dans une fenètre des propriétés d'un dossier windows
  • Aller dans l'onglet Audit et cliquer sur Ajouter :
fenètre windows des propriétés avancées d'un dossier
  • Cliquer sur le lien SĂ©lectionner un principal :
lien sélectionner un principal dans la fenètre windows des propriétés avancés d'un dossier
  • Ajouter l'object Tout le monde :
fenĂŞtre windows pour choisr un utilisateur un ordinateur un compte de service ou un groupe
  • Choisir Tout et Ce dossier, les sous-dossiers et les fichiers, puis cliquer sur OK :
Note : pour auditer la modification des ACLs cocher la case Contrôle total fenètre windows des propriétés avancées d'un dossier

Vérifier que la GPO est appliquée

  • On poura vĂ©rifier que la stratĂ©gie de sĂ©curitĂ© est correctement appliquĂ©e avec la commande gpresult :
C:\> gpresult /r /z
résultat de la commande gpresult dans une console windows

Voir dans les journaux

Le résultat de l'audit sera visible dans le journal sécurité du journal d'évenements.

  • Ouvrir le journal d'Ă©venements, et aller dans SĂ©curitĂ© :
ouvrir le journal d'évenement depuis la fenêtre exécuter de windows
  • Exemple ici avec un accĂ©s en lecture sur le dossier «01-Admin» depuis le compte administrateur :
journal sécurité depuis la console du journal d'évenement windows
  • Exemple ici avec le fichier «New Text Document (3)» qui a Ă©tĂ© supprimĂ© depuis le compte e.cartman :
ournal sécurité depuis la console du journal d'évenement windows
Creative Commons License
This work is licensed under a Creative Commons Attribution-NonCommercial-ShareAlike 4.0 International License.

Contact :

adresse mail de contact