Meilleur auteur de réponses
Audit Sécurité de dossier

Question
-
Bonjour,
Je viens vous demander un conseil.
J'ai regardé les autres questions concernant le sujet, mais je n'ai pas trouvé de réponse.
Je souhaite Auditer l'accès au dossier -> "Dacomex"
J'ai un Active Directory (WS2k12).
J'ai un Serveur de Fichiers (WS2k12) avec pour configuration :
- Stratégie de sécurité locale/Paramètres de sécurité/Stratégies Locales/Stratégie d'Audit/Auditer l’accès aux objets (Réussite,Échec de cochés)
- Paramètres du dossier "Dacomex":
Paramètres de sécurités avancés\Audit :
Type = Tout
Principal = Tout le monde
Accès = Lecture
Hérité de = Aucun
S'applique à = Ce dossier seulement
Voici pour ce qui est des paramètres définis.
Dans l'observateur d'évènements (au niveau du serveur de fichier), dans l'onglet sécurité, je me retrouve avec 100000 Evènements/Heure ayant l'ID 5145 (Partage de fichiers détaillé).
Cela concerne tous les fichiers de notre réseau et non seulement le fichier "Dacomex"
Lorsque je désactive la règle de stratégie locale "Auditer l'accès aux objets", tout redevient normal.
Auriez-vous une idée, de la règle à appliquer afin que je retrouve juste les résultats de l'audit du dossier "Dacomex" et non de l'ensemble des dossiers/fichiers partagés du serveur dans l'onglet de l'observateur d'évènements : Journaux Windows/Sécurité ?
Merci
Sébastien
Réponses
-
Bonjour,
La réponse est là :
- Stratégies locales du serveur de fichiers : Auditer le système de fichiers.
- Dans les propriétés du dossier à auditer, mettre suppression et autorisation de lecture.
Il y a juste les logs dont nous avons besoin.
Sébastien
- Marqué comme réponse Superseb9 vendredi 31 octobre 2014 07:35
Toutes les réponses
-
Bonjour,
Il est possible qu'une ancienne SACL soit présente sur un autre dossier ou alors que de nombreux accès sont effectués sur le dossier "Dacomex". Regardez le détail des évènements pour voir s'ils portent tous sur des fichiers de ce dossier. Il est possible que des applications génèrent un très grand nombre d'accès.
Pour mieux filtrer l'audit, vous pouvez également utiliser les sous-catégories :
- GPO_name\Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options\Audit:Force audit Policy subcategory settings
Ensuite,
- GPO_name\Computer Configuration\Windows Settings\Security Settings\Advanced Audit Policy Configuration\object access
Dans la sous catégorie, n'activer que 'Audit File System'.
Cordialement,
Yann Gainche MVP Cloud and Datacenter Management http://www.gainche.net
-
Bonjour,
J'ai réglé le paramètre dans la stratégie de sécurité locale du serveur de fichier.
Au niveau GPO du DC, je n'ai rien.
J'ai vérifié les autres dossiers, il n'y aucun audit.
J'ai mis un audit sur le dossier "Dacomex" qui est dans un dossier partagé "Papa de dacomex"
Au même niveau que "Papa de dacomex" j'ai un autre dossier "Maman de dacomex"
Dès que j'active la stratégie d'audit, j'obtiens tous les accès aux répertoires partagés de Papa et maman dacomex.
Et j'ai une entrée spéciale pour le dossier Dacomex avec les ID evènements N°4658,4656,4690.
Mais, il y a peut-être un audit par défaut de tout les dossiers partagés, est-ce possible?
Y a t'il une commande powershell pour identifier tous les dossiers audités ?
Merci
Sébastien
-
Bonjour,
Tout d'abord, techniquement, la gestion de l'audit se fait un niveau NTFS et pas au niveau partage.
Le problème des évènements qui portent sur des 'Handles', c'est qu'ils peuvent être très nombreux. Par exemple, si un utilisateur ouvre une fenêtre 'Explorer' sur un dossier qui contient 100 fichiers, il y aura au moins 100 ouvertures et 100 fermetures de 'Handles' juste pour permettre à l'explorer d'afficher les icones et propriétés des fichiers.
l'évènement 4663 va générer moins de pollution.
Pour connaître l'audit en cours sur un fichier ou un dossier, c'est dans propriétés/Sécurité/Avancé.
Cordialement,
Yann Gainche MVP Cloud and Datacenter Management http://www.gainche.net
-
-
Bonjour,
J'ai des résultats plus précis avec les paramètres suivant :
- Audit du dossier "DACOMEX" mis dans les options de sécurité du dossier.
Au niveau des paramètres de sécurité du serveur de fichiers :
- Stratégies locales/stratégie d'audit/auditer l'accès aux objets : Échec
- Configuration avancée de la stratégie/stratégie d'audit système/Accès à l'objet/Auditer le système de fichiers : Succès et échec.
Il faut juste que je regarde plus en profondeur les paramètres du dossier Auditer.
Merci encore
Sébastien
-
Bonjour,
La réponse est là :
- Stratégies locales du serveur de fichiers : Auditer le système de fichiers.
- Dans les propriétés du dossier à auditer, mettre suppression et autorisation de lecture.
Il y a juste les logs dont nous avons besoin.
Sébastien
- Marqué comme réponse Superseb9 vendredi 31 octobre 2014 07:35
-
Bonjour,
pour faire simple
ne pas configurer dans:
- Stratégie de sécurité locale/Paramètres de sécurité/Stratégies Locales/Stratégie d'Audit/.....
mais dans la "configuration avancée" soit :
- Stratégie de sécurité locale/Paramètres de sécurité/Stratégies Locales/configuration avancée de la stratégie d'audit/accès à l'objet /auditer le système de fichiers