logo rss
Informatique
Accueil
Tutos
Zik
Le groupe
mp3
Autres
Liens
🇬🇧 En

Serveur de fichiers Windows : Comment activer l'audit de fichiers

Windows Server logo

Je suis sur que vous avez déjà entendu des utilisateurs se plaindre que des fichiers avaient mystérieusement disparus.

Donc dans le but de résoudre un des plus fréquents mystère de l'informatique et accessoirement de désigner un coupable, il peut être utile d'activer l'audit de fichiers.

Cela va nous permettre de voir les modifications et accès pour un dossier ou fichier (accès en lecture, suppression, modification des ACL etc…)

Stratégie de sécurité

To enable file auditing we need to create a new GPO.

Créer une GPO

  • Ouvrir la console de Gestion de stratégie de groupe :
Ouvrir la console de gestion des stratégies de groupe depuis la console exécuter de windows
  • Créer une nouvelle GPO et la lier à l'OU dans lequel se trouve le serveur de fichiers à auditer :
Créer une nouvelle GPO depuis la console de gestion de stratégies de groupe
  • Donner un nom explicite :
Fenêtre de renommage d'une GPO

Configurer la stratégie

  • Éditer la stratégie nouvellement créée :
Editer une GPO
  • Aller dans Configuration de l'ordinateur > Stratégies > Paramètres Windows > Paramètres de sécurité > Stratégie d'audit et éditer la règle Auditer l'accès aux objets :
éditer les propriétés de la stratégie audit policy
  • Cocher Réussite et Echec puis cliquer sur OK :
propriétés de l'élément Auditer l'accès aux objets
  • Maintenant aller dans Configuration de l'ordinateur > Stratégies > Paramètres Windows > Paramètres de sécurité > Configuration avancée de la stratégie d'audit > Accès à l'objet et éditer Auditer l'accès aux objets :
éditer les propriétés de la stratégie accès aux objets
  • Cocher Réussite et Echec puis cliquer sur OK :
propriétés de l'élément Auditer l'accès aux objets

Serveur de fichiers Windows

Nous avons maintenant besoin de se connecter sur le serveur de fichiers Windows pour activer l'Audit de fichiers sur un dossier.

Activation de l'audit

Disons que l'on souhaite activer l'audit sur le partage \\SRV-DATA\01-Admin.

Naviguer sur un partage de fichier depuis l'explorateur windows
  • Faire un clic droit sur le dossier et cliquer sur Propriétés :
menu déroulant d'un dossier depuis l'explorateur windows
  • Aller dans l'onglet Sécurité et cliquer sur Avancé :
onglet sécurité dans une fenètre des propriétés d'un dossier windows
  • Aller dans l'onglet Audit et cliquer sur Ajouter :
fenètre windows des propriétés avancées d'un dossier
  • Cliquer sur le lien Sélectionner un principal :
lien sélectionner un principal dans la fenètre windows des propriétés avancés d'un dossier
  • Ajouter l'object Tout le monde :
fenêtre windows pour choisr un utilisateur un ordinateur un compte de service ou un groupe
  • Choisir Tout et Ce dossier, les sous-dossiers et les fichiers, puis cliquer sur OK :
Note : pour auditer la modification des ACLs cocher la case Contrôle total fenètre windows des propriétés avancées d'un dossier

Vérifier que la GPO est appliquée

  • On poura vérifier que la stratégie de sécurité est correctement appliquée avec la commande gpresult :
C:\> gpresult /r /z
résultat de la commande gpresult dans une console windows

Voir dans les journaux

Le résultat de l'audit sera visible dans le journal sécurité du journal d'évenements.

  • Ouvrir le journal d'évenements, et aller dans Sécurité :
ouvrir le journal d'évenement depuis la fenêtre exécuter de windows
  • Exemple ici avec un accés en lecture sur le dossier «01-Admin» depuis le compte administrateur :
journal sécurité depuis la console du journal d'évenement windows
  • Exemple ici avec le fichier «New Text Document (3)» qui a été supprimé depuis le compte e.cartman :
ournal sécurité depuis la console du journal d'évenement windows
Creative Commons License
This work is licensed under a Creative Commons Attribution-NonCommercial-ShareAlike 4.0 International License.
Creative Commons License
This work is licensed under a Creative Commons Attribution-NonCommercial-ShareAlike 4.0 International License.

Contact :

adresse mail de contact