Auditer l'accĂšs aux fichiers et dossiers sensibles sous Windows 11
IntroductionCe tutoriel explique comment configurer des journaux d'audit avancés pour surveiller l'accÚs aux fichiers et dossiers sensibles sur un systÚme 1 Windows 11, renforçant ainsi la sécurité et la traçabilité des actions.
Nous explorerons deux méthodes : l'une utilisant les outils natifs de Windows et l'autre via PowerShell.
Prérequis⹠SystÚme d'exploitation : Windows 11
âą Droits d'administrateur
⹠Connaissance de base de l'éditeur de stratégie de groupe locale (gpedit.msc) et de la gestion des utilisateurs
Méthode 1 : Configuration via l'interface graphiqueCette méthode utilise l'éditeur de stratégie de groupe locale et les paramÚtres de sécurité des fichiers/dossiers pour configurer l'audit.
Ătapes Ă suivre pour la mĂ©thode 1âą Ouvrez l'Ăditeur de stratĂ©gie de groupe locale en tapant
Code:
gpedit.msc⹠Naviguez vers Configuration de l'ordinateur > ParamÚtres Windows > ParamÚtres de sécurité > Stratégies locales > Stratégie d'audit.
âą Activez l'audit pour l'accĂšs aux objets en double-cliquant sur "Auditer l'accĂšs aux objets" et en cochant les cases "SuccĂšs" et "Ăchec".
⹠Accédez aux propriétés du fichier ou dossier sensible en effectuant un clic droit dessus, puis sélectionnez "Propriétés".
⹠Allez dans l'onglet "Sécurité", puis cliquez sur "Avancé".
âą Dans l'onglet "Audit", cliquez sur "Ajouter".
âą Cliquez sur "SĂ©lectionner un principal" pour choisir l'utilisateur ou le groupe Ă surveiller.
⹠Spécifiez les actions à auditer ("ContrÎle total", "Modifier", "Lecture", etc.).
âą Cliquez sur "OK" pour valider les modifications.
Méthode 2 : Configuration via PowerShellCette méthode utilise des commandes PowerShell pour configurer l'audit.
Ătapes Ă suivre pour la mĂ©thode 2âą Activer l'audit de l'accĂšs aux objets :
Code:
auditpol /set /category:"Object Access" /success:enable /failure:enable⹠Définir une rÚgle d'audit sur un dossier spécifique (remplacez "UtilisateurOuGroupe" par le nom d'utilisateur ou de groupe, et "C:\Chemin\Vers\Dossier" par le chemin réel) :
Code:
$acl = Get-Acl "C:\Chemin\Vers\Dossier"
$auditRule = New-Object System.Security.AccessControl.FileSystemAuditRule("UtilisateurOuGroupe", "FullControl", "Create, Delete", "None", "Success")
$acl.AddAuditRule($auditRule)
Set-Acl "C:\Chemin\Vers\Dossier" $acl
Avantages des 2 méthodes Avantage de la méthode 1Interface graphique conviviale, plus accessible pour les utilisateurs novices.
Avantage de la méthode 2Automatisation et scripts pour une gestion plus efficace, surtout pour de nombreux fichiers/dossiers.
InconvĂ©nients des 2 mĂ©thodes
InconvĂ©nient de la mĂ©thode 1Peut ĂȘtre fastidieuse pour configurer l'audit sur de nombreux Ă©lĂ©ments.
Inconvénient de la méthode 2Nécessite une connaissance de PowerShell.
AstuceUtilisez l'Observateur d'événements (eventvwr.msc) pour consulter les journaux d'audit. Filtrez les événements par source ("Sécurité") et ID d'événement (ex: 4656 pour l'accÚs à un fichier, 4663 pour la tentative d'accÚs).
Mise en gardeL'audit génÚre un grand nombre d'événements. Configurez des filtres précis pour éviter de surcharger les journaux et faciliter l'analyse.
ConseilDocumentez clairement les rÚgles d'audit mises en place pour faciliter la maintenance et le dépannage.
Solution alternativeDes solutions tierces comme Netwrix Auditor ou ADAudit Plus offrent des fonctionnalités d'audit avancées avec des rapports et alertes personnalisables.
⹠[URL non valide supprimée]
⹠[URL non valide supprimée]
ConclusionLa mise en place de journaux d'audit est essentielle pour surveiller l'accÚs aux données sensibles et renforcer la sécurité de votre systÚme Windows 11. Choisissez la méthode la plus adaptée à vos besoins et à votre niveau de compétence.
