none
Audit Sécurité de dossier RRS feed

  • Question

  • Bonjour,

    Je viens vous demander un conseil.

    J'ai regardé les autres questions concernant le sujet, mais je n'ai pas trouvé de réponse.

    Je souhaite Auditer l'accès au dossier -> "Dacomex"

    J'ai un Active Directory (WS2k12).

    J'ai un Serveur de Fichiers (WS2k12) avec pour configuration :

    - Stratégie de sécurité locale/Paramètres de sécurité/Stratégies Locales/Stratégie d'Audit/Auditer l’accès aux objets (Réussite,Échec de cochés)

    - Paramètres du dossier "Dacomex":

    Paramètres de sécurités avancés\Audit :

    Type = Tout

    Principal = Tout le monde

    Accès = Lecture

    Hérité de = Aucun

    S'applique à = Ce dossier seulement

    Voici pour ce qui est des paramètres définis.

    Dans l'observateur d'évènements (au niveau du serveur de fichier), dans l'onglet sécurité, je me retrouve avec 100000 Evènements/Heure ayant l'ID 5145 (Partage de fichiers détaillé).

    Cela concerne tous les fichiers de notre réseau et non seulement le fichier "Dacomex"

    Lorsque je désactive la règle de stratégie locale "Auditer l'accès aux objets", tout redevient normal.

    Auriez-vous une idée, de la règle à appliquer afin que je retrouve juste les résultats de l'audit du dossier "Dacomex" et non de l'ensemble des dossiers/fichiers partagés du serveur dans l'onglet de l'observateur d'évènements : Journaux Windows/Sécurité ?

    Merci


    Sébastien

    jeudi 25 septembre 2014 10:02

Réponses

  • Bonjour,

    La réponse est là :

    - Stratégies locales du serveur de fichiers : Auditer le système de fichiers.

    - Dans les propriétés du dossier à auditer, mettre suppression et autorisation de lecture.

    Il y a juste les logs dont nous avons besoin.


    Sébastien

    • Marqué comme réponse Superseb9 vendredi 31 octobre 2014 07:35
    jeudi 16 octobre 2014 13:30

Toutes les réponses

  • Bonjour,

    Il est possible qu'une ancienne SACL soit présente sur un autre dossier ou alors que de nombreux accès sont effectués sur le dossier "Dacomex". Regardez le détail des évènements pour voir s'ils portent tous sur des fichiers de ce dossier. Il est possible que des applications génèrent un très grand nombre d'accès.

    Pour mieux filtrer l'audit, vous pouvez également utiliser les sous-catégories :

    - GPO_name\Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options\Audit:Force audit Policy subcategory settings

    Ensuite,

    - GPO_name\Computer Configuration\Windows Settings\Security Settings\Advanced Audit Policy Configuration\object access

    Dans la sous catégorie, n'activer que 'Audit File System'.

    Cordialement,


    Yann Gainche MVP Cloud and Datacenter Management http://www.gainche.net

    jeudi 25 septembre 2014 16:48
  • Bonjour,

    J'ai réglé le paramètre dans la stratégie de sécurité locale du serveur de fichier.

    Au niveau GPO du DC, je n'ai rien.

    J'ai vérifié les autres dossiers, il n'y aucun audit.

    J'ai mis un audit sur le dossier "Dacomex" qui est dans un dossier partagé "Papa de dacomex"

    Au même niveau que "Papa de dacomex" j'ai un autre dossier "Maman de dacomex"

    Dès que j'active la stratégie d'audit, j'obtiens tous les accès aux répertoires partagés de Papa et maman dacomex.

    Et j'ai une entrée spéciale pour le dossier Dacomex avec les ID evènements N°4658,4656,4690.

    Mais, il y a peut-être un audit par défaut de tout les dossiers partagés, est-ce possible?

    Y a t'il une commande powershell pour identifier tous les dossiers audités ?

    Merci


    Sébastien

    lundi 29 septembre 2014 15:53
  • Bonjour,

    Tout d'abord, techniquement, la gestion de l'audit se fait un niveau NTFS et pas au niveau partage.

    Le problème des évènements qui portent sur des 'Handles', c'est qu'ils peuvent être très nombreux. Par exemple, si un utilisateur ouvre une fenêtre 'Explorer'  sur un dossier qui contient 100 fichiers, il y aura au moins 100 ouvertures et 100 fermetures de 'Handles' juste pour permettre à l'explorer d'afficher les icones et propriétés des fichiers.

    l'évènement 4663 va générer moins de pollution.

    Pour connaître l'audit en cours sur un fichier ou un dossier, c'est dans propriétés/Sécurité/Avancé.

    Cordialement,


    Yann Gainche MVP Cloud and Datacenter Management http://www.gainche.net

    lundi 29 septembre 2014 16:34
  • Les Handles ne sont pas nombreux!

    C'est surtout l'évènement 5145 (partage de fichiers détaillé) qui se met en place lorsque j'active l'objet dans les stratégies locales du serveur de fichier.

    Je ne sais pas où le désactiver.

    Merci


    Sébastien

    mercredi 1 octobre 2014 14:57
  • Bonjour,

    J'ai des résultats plus précis avec les paramètres suivant :

    - Audit du dossier "DACOMEX" mis dans les options de sécurité du dossier.

    Au niveau des paramètres de sécurité du serveur de fichiers :

    - Stratégies  locales/stratégie d'audit/auditer l'accès aux objets : Échec

    - Configuration avancée de la stratégie/stratégie d'audit système/Accès à l'objet/Auditer le système de fichiers : Succès et échec.

    Il faut juste que je regarde plus en profondeur les paramètres du dossier Auditer.

    Merci encore


    Sébastien

    lundi 13 octobre 2014 14:24
  • Bonjour,

    La réponse est là :

    - Stratégies locales du serveur de fichiers : Auditer le système de fichiers.

    - Dans les propriétés du dossier à auditer, mettre suppression et autorisation de lecture.

    Il y a juste les logs dont nous avons besoin.


    Sébastien

    • Marqué comme réponse Superseb9 vendredi 31 octobre 2014 07:35
    jeudi 16 octobre 2014 13:30
  • Bonjour,

    pour faire simple 

    ne pas configurer dans:

    - Stratégie de sécurité locale/Paramètres de sécurité/Stratégies Locales/Stratégie d'Audit/.....

    mais dans la "configuration avancée"  soit :

    - Stratégie de sécurité locale/Paramètres de sécurité/Stratégies Locales/configuration avancée de la stratégie d'audit/accès à l'objet /auditer le système de fichiers

    lundi 2 octobre 2017 15:24