Comment activer l’audit des fichiers sur un serveur de fichiers Windows

Mise à jour le 14 oct. 2025

Illustration representing Windows file auditing and file activity monitoring

J'imagine que vous avez déjà entendu des utilisateurs se plaindre que leurs fichiers avaient mystérieusement disparus.

Donc dans le but de résoudre un des plus fréquents mystère de l'informatique et accessoirement de désigner un coupable, il peut être utile d'activer l'audit de fichiers.

Cela va nous permettre de tracer les modifications et accès de dossiers et fichiers (accès en lecture, suppression, modification des ACL etc…) d'un partage réseau.

Configurer l’audit des fichiers via la stratégie de groupe (GPO)

Pour activer l’audit des fichiers, nous devons créer une nouvelle GPO.

Créer une GPO pour l’audit des fichiers

Ouvrez la Console de gestion des stratégies de groupe sur votre serveur Windows pour commencer à créer la stratégie d’audit des fichiers.

Ouverture de la Console de gestion des stratégies de groupe (GPMC) depuis la fenêtre Exécuter de Windows

Créez un nouvel objet de stratégie de groupe (GPO) et associez-le à l’unité d’organisation (OU) qui contient votre serveur de fichiers Windows. Cela garantit que la stratégie d’audit des fichiers sera correctement appliquée au serveur cible.

Création et liaison d’un nouvel objet de stratégie de groupe (GPO) dans la Console de gestion des stratégies de groupe pour activer l’audit des fichiers Windows

Donnez un nom à la GPO, par exemple File Auditing :

Nommer le nouvel objet de stratégie de groupe comme « Audit des fichiers » dans la fenêtre de création de la GPO

Configurer la GPO pour l’audit des fichiers Windows

Modifiez l’objet de stratégie de groupe (GPO) que vous venez de créer afin de configurer la stratégie d’audit des fichiers Windows.

Modification de l’objet de stratégie de groupe pour l’audit des fichiers dans la Console de gestion des stratégies de groupe

Dans l’éditeur de gestion des stratégies de groupe, accédez à Configuration de l’ordinateur > Stratégies > Paramètres Windows > Paramètres de sécurité > Stratégies locales > Stratégie d’audit, puis modifiez Audit de l’accès aux objets:

Dans l’Éditeur de gestion des stratégies de groupe, cliquez avec le bouton droit sur Audit de l’accès aux objets sous Stratégie d’audit pour configurer les paramètres d’audit des fichiers Windows

Sélectionnez à la fois Réussite et Échec afin d’enregistrer toutes les tentatives d’accès aux fichiers, puis cliquez sur OK pour appliquer la stratégie d’audit des fichiers Windows.

Sélection des options Réussite et Échec dans la fenêtre des propriétés d’audit de l’accès aux objets pour activer l’audit des fichiers Windows

Accédez à Configuration de l’ordinateur > Stratégies > Paramètres Windows > Paramètres de sécurité > Configuration avancée des stratégies d’audit > Stratégies d'audit > Accès à l'objet, puis modifiez Auditer le système de fichiers:

Dans la gestion des stratégies de groupe, cliquez avec le bouton droit sur Audit du système de fichiers sous Configuration avancée des stratégies d’audit pour configurer l’audit des fichiers Windows

Sélectionnez à nouveau Réussite et Échec pour consigner toutes les tentatives d’accès aux fichiers, puis cliquez sur OK pour appliquer les paramètres de l’audit des fichiers Windows.

Sélectionner Réussite et Échec dans la fenêtre des propriétés d’Audit du système de fichiers pour activer l’audit des fichiers Windows

Configurer l’audit des fichiers sur le serveur de fichiers Windows

Nous devons maintenant nous connecter à notre serveur de fichiers Windows afin d’activer l’audit des fichiers sur un dossier.

Activer l’audit des fichiers sur le serveur de fichiers Windows

Dans cet exemple, nous allons activer l’audit des fichiers Windows sur le dossier partagé \\SRV-DATA\01-Admin afin de suivre les accès et les modifications effectués sur les fichiers.

Sélection du dossier partagé 01-Admin sur le serveur de fichiers Windows SRV-DATA pour activer l’audit des fichiers

Faites un clic droit sur le dossier de votre serveur de fichiers Windows et sélectionnez Propriétés pour configurer l’audit des fichiers.

Dans l’Explorateur de fichiers Windows, faites un clic droit sur le dossier 01-Admin du serveur SRV-DATA et sélectionnez Propriétés pour activer l’audit des fichiers

Ouvrez l’onglet Sécurité dans les propriétés du dossier, puis cliquez sur Paramètres avancés pour configurer l’audit des fichiers Windows.

Dans les propriétés du dossier 01-Admin, ouvrez l’onglet Sécurité et cliquez sur Paramètres avancés pour configurer les autorisations d’audit des fichiers Windows

Dans la fenêtre Paramètres de sécurité avancés, ouvrez l’onglet Audits et cliquez sur Ajouter pour créer une nouvelle entrée d’audit des fichiers Windows.

Dans les paramètres de sécurité avancés du dossier 01-Admin, ouvrez l’onglet Audits et cliquez sur Ajouter pour créer une nouvelle entrée d’audit des fichiers Windows

Cliquez sur le lien Sélectionner un principal afin de choisir l’utilisateur ou le groupe à auditer.

Dans la fenêtre d’entrée d’audit pour 01-Admin, cliquez sur Sélectionner un principal pour choisir l’utilisateur ou le groupe à inclure dans l’audit des fichiers Windows

Ajoutez le groupe Tout le monde (Everyone) comme principal afin d’auditer l’accès de tous les utilisateurs au dossier.

Dans la fenêtre Sélectionner un utilisateur ou un groupe, saisissez Tout le monde (Everyone) comme principal et cliquez sur OK pour inclure tous les utilisateurs dans la règle d’audit des fichiers Windows

Sélectionnez Toutes les autorisations et choisissez Ce dossier, les sous-dossiers et les fichiers, puis cliquez sur OK pour appliquer la règle d’audit des fichiers Windows.

💡 Astuce : si vous souhaitez également auditer les modifications des stratégies d’autorisation, cochez l’option Contrôle total.

Dans la fenêtre d’entrée d’audit pour 01-Admin, sélectionnez Toutes et Ce dossier, les sous-dossiers et les fichiers afin d’appliquer la règle d’audit des fichiers Windows à l’ensemble du contenu

Vérifier si la GPO d’audit des fichiers est appliquée

Vous pouvez vérifier que l’objet de stratégie de groupe (GPO) pour l’audit des fichiers Windows est correctement appliqué à l’aide de la commande gpresult :

C:\> gpresult /r /z

Invite de commandes affichant le résultat gpresult confirmant que la GPO d’audit des fichiers est appliquée sur le serveur de fichiers Windows

Afficher les journaux d’audit des fichiers Windows

Les événements d’audit des fichiers Windows sont enregistrés dans le journal Sécurité de l'Observateur d’événements.

Ouvrez l'Observateur d’événements et accédez à Journaux Windows > Sécurité :

Dans la fenêtre Exécuter de Windows, tapez eventvwr et cliquez sur OK pour ouvrir l'Observateur d’événements et consulter les journaux d’audit des fichiers Windows

Voici un exemple du journal d’audit des fichiers Windows montrant un accès en lecture au dossier « 01-Admin » par le compte administrateur :

Observateur d’événements Windows affichant l’événement de sécurité 4663 pour un accès en lecture au dossier 01-Admin par le compte administrateur dans le journal d’audit des fichiers

Voici un autre exemple du journal d’audit des fichiers Windows montrant la suppression du fichier « New Text Document (3) » par le compte e.cartman :

Observateur d’événements Windows affichant l’événement de sécurité 4659 correspondant à la suppression du fichier New Text Document (3).txt par le compte e.cartman dans le journal d’audit des fichiers