locked
audits de sécurité - auditer la suppression de dossier/fichier dans un répertoire partagé RRS feed

  • Question

  • Bonjour,


    j'aimerai avoir quelques précisions sur la configuration coté serveur de fichiers pour auditer la suppression de données sur un répertoire partagé.

    Dans les propriétés du répertoire concerné, dans l'onglet "sécurité" puis en cliquant sur "avancé" puis sur l'onglet "audit", j'ai ajouté une "entrée d'audit" pour le groupe d'utilisateur concerné en cochant les cases "Réussite" pour les items "suppression" et "suppression de sous-dossier et fichier".

    Maintenant (si je ne me trompe pas) il faut paramétrer sur le serveur de fichier, dans les stratégies locales, une "stratégie d'audit". Mais je ne sais pas laquelle (si c'est "auditer l'accès aux objets" ou "auditer l'utilisation de privilèges") et ensuite j'aimerai optimiser les entrées dans le journal de sécurité pour pas le surchager (Même si on peut régler sa taille ou le purger quotidiennement).



    Merci d'avance pour vos indications et vos conseils
    Benjamin
    jeudi 28 janvier 2010 10:08

Réponses

Toutes les réponses

  • Salut,

    Le paramètre de sécurité "Auditer l'accès aux objets" détermine s'il faut auditer l'événement consistant en l'accès d'un utilisateur à un objet, par exemple à un fichier, un dossier, une clé de Registre ou une imprimante, qui a sa propre liste de contrôle d'accès système (SACL, System Access Control List).
    Pour plus d'info : http://technet.microsoft.com/fr-fr/library/cc776774(WS.10).aspx

    Le paramètre de sécurité "Auditer l'utilisation de privilèges" détermine s'il faut auditer chaque instance d'un utilisateur exerçant un droit utilisateur. Si vous définissez ce paramètre de stratégie, vous pouvez spécifier s'il faut auditer les succès, auditer les échecs ou s'il ne faut pas auditer ce type d'événements. Les audits des succès génèrent une entrée d'audit quand l'exercice d'un droit utilisateur réussit. Les audits des échecs génèrent une entrée d'audit quand l'exercice d'un droit utilisateur échoue. Pour plus d'info : http://technet.microsoft.com/fr-fr/library/cc784501(WS.10).aspx

    Les stratègies de sécurité peuvent être paramètrables locallement ou bien par GPO Active Directory ... Attention à ne pas avoir des conflits ... Soit l'un soit l'autre ...

    Pour optimiser les journaux d'évenement telque le journal de sécurité, cela est possible aussi par GPO. Pour plus d'information : http://technet.microsoft.com/fr-fr/library/cc739257(WS.10).aspx

    Merci.


    Bechir Gharbi. MCSA, MCSE Security & Messaging, MCITP Entr-Srv Administrator, MCT, MCTS ConfigMgr/OpsMgr/ISA Server.
    jeudi 28 janvier 2010 11:06
  • salut,

    donc, ce n'est pas "auditer l'accès aux objets" et ce n'est pas "auditer l'utilisation de privilèges".

    Pour que la suppression de fichier ou de dossier génère une entrée d'audit dans l'observateur d'évènement du serveur, que dois-je faire ?

    Sachant que j'ai configuré l'audit sur le répertoire, j'ai beau supprimé des fichiers et je ne vois rien dans les journaux de sécurité Windows...


    Merci d'avance,

    Benjamin.
    jeudi 28 janvier 2010 14:13
  • Salut,

    Tu définit l'audit sur ton dossier comme tu as dèja fait et ensuite tu utilise le paramètre de sécurité "auditer l'accès aux objets". Dans le journal sécurité si un fichier est supprimé tu aura un ID d'événement 560.

    Pour plus d'info :
    http://technet.microsoft.com/fr-fr/library/cc776774(WS.10).aspx
    http://support.microsoft.com/default.aspx/kb/310399
    http://technet.microsoft.com/fr-fr/library/bb727008(en-us).aspx
    http://technet.microsoft.com/fr-fr/library/dd277403(en-us).aspx

    Cordialement, 
    Bechir Gharbi. MCSA, MCSE Security & Messaging, MCITP Entr-Srv Administrator, MCT, MCTS ConfigMgr/OpsMgr/ISA Server.
    • Marqué comme réponse Ben_40 lundi 1 février 2010 10:30
    vendredi 29 janvier 2010 21:29
  • C'est énorme le nombre d'évènements créés !

    Merci beaucoup pour tout.

    Cordialement,
    Benjamin

    lundi 1 février 2010 10:30