⚔ Mise en place de journaux d’audit avancés pour les fichiers et dossiers sensibles sous Windows
Introduction
Ce tutoriel explique comment configurer des journaux d’audit avancés pour surveiller l’accès aux fichiers et dossiers sensibles sur un système Windows, renforçant ainsi la sécurité et la traçabilité des actions.
Prérequis
• Système d’exploitation Windows 10, 11 ou Windows Server
• Droits d’administrateur
• Connaissance de base de l’éditeur de stratégie de groupe et de la gestion des utilisateurs
Méthodologie
Explications générales
• Ouvrez l’Éditeur de stratégie de groupe locale en tapant gpedit.msc dans la boîte de dialogue Exécuter (Windows + R).
• Naviguez vers Configuration de l’ordinateur > Paramètres Windows > Paramètres de sécurité > Stratégies locales > Stratégie d’audit.
• Activez l’audit pour l’accès aux objets en définissant les options Succès et Échec.
• Accédez aux propriétés du fichier ou dossier sensible, puis à l’onglet Sécurité, et cliquez sur Avancé.
• Dans l’onglet Audit, ajoutez les utilisateurs ou groupes à surveiller et spécifiez les actions à auditer (lecture, écriture, suppression, etc.).
• Consultez Planifier l’audit d’accès aux fichiers | Microsoft Learn pour plus de détails.
PowerShell
• Pour activer l’audit de l’accès aux objets :
• Pour vérifier les paramètres d’audit actuels :
• Pour plus d’informations, consultez Support Microsoft.
Paramètres avancés
• Pour configurer l’audit via le Registre :
• Pour des configurations avancées, consultez Comment configurer des stratégies d'audit avancées | ManageEngine.
Astuce
Utilisez l’Observateur d’événements pour surveiller les journaux de sécurité et filtrer les événements liés à l’accès aux objets.
Avertissement
Une configuration excessive de l’audit peut entraîner une surcharge des journaux et affecter les performances du système.
Conseil
Pour une gestion simplifiée de l’audit des fichiers, envisagez d’utiliser des outils tiers tels que FileAudit.
Solution alternative
Pour des besoins d’audit plus avancés, explorez des solutions comme ManageEngine ADAudit Plus.
Conclusion
La mise en place de journaux d’audit avancés pour les fichiers et dossiers sensibles sous Windows permet de renforcer la sécurité et d’assurer une traçabilité efficace des accès et modifications.
IntroductionCe tutoriel explique comment configurer des journaux d’audit avancés pour surveiller l’accès aux fichiers et dossiers sensibles sur un système Windows, renforçant ainsi la sécurité et la traçabilité des actions.
Prérequis• Système d’exploitation Windows 10, 11 ou Windows Server
• Droits d’administrateur
• Connaissance de base de l’éditeur de stratégie de groupe et de la gestion des utilisateurs
MéthodologieExplications générales• Ouvrez l’Éditeur de stratégie de groupe locale en tapant gpedit.msc dans la boîte de dialogue Exécuter (Windows + R).
• Naviguez vers Configuration de l’ordinateur > Paramètres Windows > Paramètres de sécurité > Stratégies locales > Stratégie d’audit.
• Activez l’audit pour l’accès aux objets en définissant les options Succès et Échec.
• Accédez aux propriétés du fichier ou dossier sensible, puis à l’onglet Sécurité, et cliquez sur Avancé.
• Dans l’onglet Audit, ajoutez les utilisateurs ou groupes à surveiller et spécifiez les actions à auditer (lecture, écriture, suppression, etc.).
• Consultez Planifier l’audit d’accès aux fichiers | Microsoft Learn pour plus de détails.
PowerShell• Pour activer l’audit de l’accès aux objets :
Code:
auditpol /set /category:"Object Access" /success:enable /failure:enable
[br][/br]
• Pour définir une règle d’audit sur un dossier spécifique :
[br][/br]
[code]$acl = Get-Acl "C:\Chemin\Vers\Dossier"
$auditRule = New-Object System.Security.AccessControl.FileSystemAuditRule("UtilisateurOuGroupe", "FullControl", "Create, Delete", "None", "Success")
$acl.AddAuditRule($auditRule)
Set-Acl "C:\Chemin\Vers\Dossier" $acl• Pour vérifier les paramètres d’audit actuels :
Code:
auditpol /get /category:*• Pour plus d’informations, consultez Support Microsoft.
Paramètres avancés• Pour configurer l’audit via le Registre :
Code:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System\Audit• Pour des configurations avancées, consultez Comment configurer des stratégies d'audit avancées | ManageEngine.
AstuceUtilisez l’Observateur d’événements pour surveiller les journaux de sécurité et filtrer les événements liés à l’accès aux objets.
AvertissementUne configuration excessive de l’audit peut entraîner une surcharge des journaux et affecter les performances du système.
ConseilPour une gestion simplifiée de l’audit des fichiers, envisagez d’utiliser des outils tiers tels que FileAudit.
Solution alternativePour des besoins d’audit plus avancés, explorez des solutions comme ManageEngine ADAudit Plus.
ConclusionLa mise en place de journaux d’audit avancés pour les fichiers et dossiers sensibles sous Windows permet de renforcer la sécurité et d’assurer une traçabilité efficace des accès et modifications.
