Tutoriel 📝 Surveiller les modifications de fichiers critiques avec PowerShell sous Windows

[Sylvain*]

Surveiller les modifications de fichiers critiques avec PowerShell sous Windows

Introduction

• Ce tutoriel explique comment utiliser PowerShell pour surveiller les modifications de fichiers critiques sous Windows. Cette surveillance permet d’identifier les modifications non autorisées et d’améliorer la sécurité du système.

---

Prérequis

• Un PC sous Windows 10/11

• Accès administrateur pour exécuter les scripts PowerShell

• Activation de l’exécution des scripts PowerShell

---

Méthodologie

• Méthode 1 : Utilisation de l’Observateur d’événements Windows

• Méthode 2 : Surveillance en temps réel avec un script PowerShell

---

Avantages des 2 méthodes

• Observateur d’événements : Journalisation détaillée et intégration native

• PowerShell : Surveillance en temps réel et envoi d’alertes automatisées

---

Inconvénients des 2 méthodes

• Observateur d’événements : Analyse manuelle nécessaire

• PowerShell : Peut consommer des ressources si mal configuré

---

Étapes pour chaque méthode

Méthode 1 : Configurer l’Observateur d’événements Windows


Ouvrir l’Observateur d’événements (eventvwr.msc)

Aller dans Journaux Windows > Sécurité

Activer l’audit des modifications de fichiers :

a. Ouvrir l’Éditeur de stratégie de groupe locale (gpedit.msc)

b. Naviguer vers : Configuration ordinateur > Paramètres Windows > Paramètres de sécurité > Stratégies locales > Stratégie d’audit

c. Activer Audit des objets : Succès et Échecs

Méthode 2 : Script PowerShell pour une surveillance en temps réel

Ouvrir PowerShell en mode administrateur

Créer et enregistrer le script suivant :

$chemin = "C:\DossierSurveillé"
$watcher = New-Object System.IO.FileSystemWatcher
$watcher.Path = $chemin
$watcher.IncludeSubdirectories = $true
$watcher.EnableRaisingEvents = $true
$action = {
$détails = $Event.SourceEventArgs
$cheminFichier = $détails.FullPath
$changement = $détails.ChangeType
Write-Output "Modification détectée : $cheminFichier - Type : $changement"
}
Register-ObjectEvent $watcher "Changed" -Action $action

Exécuter le script pour surveiller les fichiers du dossier cible

---

Astuce

• Configurez une alerte par e-mail en ajoutant une fonction d’envoi de mail au script PowerShell.

---

Mise en garde

• Trop de fichiers surveillés peuvent ralentir le système. Privilégiez les dossiers critiques.

---

Conseil

• Stockez les journaux des modifications dans un emplacement sécurisé pour éviter toute altération.

---

Solution alternative

• Utiliser un logiciel tiers comme OSSEC pour une surveillance avancée.

---

Références

• Documentation PowerShell

---

Conclusion

• La surveillance des modifications de fichiers critiques sous Windows avec PowerShell ou l’Observateur d’événements permet de renforcer la sécurité du système.