Je profite d’un petit moment de répit pour reprendre le blog
Pendant que c’est encore chaud, je vous propose un petit billet sur l’audit des serveurs de fichiers en environnent 2012R2 (mais tout est compatible 2008-2008R2-2012), afin de pouvoir identifier et tracer les suppressions/modifications de fichiers sur les partages de l’entreprise.
Cette fonctionnalité existe depuis pas mal de temps mais avec 2008 les stratégies d’audit avancé ont fait leur apparition et sont beaucoup plus performantes et intéressantes que celles dont on disposait avant. Encore une fois ce billet traite d’une “vieille” nouveauté, mais je profite d’une implémentation pour vous la faire partager…et comme cela je ne l’oublierai pas!
L’idée de base est simple: disposer d’un moyen de tracer et de savoir qui/quand/depuis quel PC a supprimé un fichier. On peut également savoir qui y a eu accès, qui l’a créé…mais ce n’est pas le but initial, et cela génère beaucoup plus de logs si l’on souhaite tracer toutes les activités sur les fichiers.
Direction la GPMC pour créer notre stratégie d’audit avancé:
Puis on définit ce que l’on souhaite auditer comme actions, en choisissant si l’on ne veut auditer que les actions réussies, ou également celles en échec (les tentatives non fructueuses) pour chacun des types d’objets souhaités. Ici ce qui nous intéresse principalement ce sont les fichiers sur notre serveur de partages réseaux:
Cela ne logue que les accès aux objets de type fichier, et seulement ceux qui réussissent.
Pour savoir QUI, il faut que je logue également les ouvertures de sessions, comme cela je suis en mesure de croiser les identités et de mettre un nom sur l’utilisateur, le PC et l’IP générant les suppressions…
J’ai toutes les informations nécessaires pour générer les logs dont j’aurais besoin pour mes recherches de preuves…reste à préciser sur quoi je veux spécifier l’audit en termes de fichiers (loguer QUELLES ACTIONS sur QUELS REPERTOIRES, selon les règles définies ci dessus)…deux options: soit je définis les listes d’accès d’audit sur chaque partage (faisable si on en a peu) soit je passe par une dernière petite option pour dire qu’en fait je veux TOUT AUDITER (ce qui est plus rapide mais génère plus de logs, bien entendu).
Option Une: sur un répertoire en particulier je définis quoi auditer pour qui:
Propriétés du répertoire que l’on souhaite auditer/Onglet Sécurité/Avancé/Onglet Audit/Ajouter/sélectionner un principal > tout le monde/Autorisations Avancées/les cases concernant les suppressions… et voila notre répertoire qui commence à générer des logs dans la partie Sécurité, chaque fois qu’un fichier est supprimé par qui que se soit:
d’abord un Event 4663 : tentative d’accès à un fichier pour suppression (DELETE)
Une tentative d’accès à un objet a été effectuée.
Sujet :
ID de sécurité : REDKAFFE\Pierre
Nom du compte : Pierre
Domaine du compte : REDKAFFE
ID d’ouverture de session : 0x1A851B8Objet :
Serveur de l’objet : Security
Type d’objet : File
Nom de l’objet : C:\Partage\Confidentiel\Test Suppression.txt
ID du handle : 0x9ea8
Attributs de ressource : S:AIInformations sur le processus :
ID du processus : 0x1c10
Nom du processus : C:\Windows\explorer.exeInformations sur la demande d’accès :
Accès : DELETE
Puis l’acquittement de la suppression, avec le même handle, mais sur un Event 4660, qui confirme la suppression du fichier:
Un objet a été supprimé.
Sujet :
ID de sécurité : REDKAFFE\Pierre
Nom du compte : Pierre
Domaine du compte : REDKAFFE
ID d’ouverture de session : 0x1A851B8Objet :
Serveur de l’objet : Security
ID du handle : 0x9ea8
Nous voila donc en mesure de venir voir Pierre pour lui demander “Pourquoi?”…
Pour simplifier les recherches, il suffit de créer une vue personnalisée, en sélectionnant la source (Sécurité) les Events 4660 et 4663, et nous voila avec un outil relativement simple en cas de besoin de traçabilité…
Une fois en place, il suffit de faire un click droit sur la vue “Suppressions”, selectionner “Rechercher” et taper le nom du fichier supprimé, cela nous ammene tout droit à l’event4663 l’ayant tracé
Facile non?
Vous me direz: ok , mais si j’ai 300 répertoires à auditer, je fais comment???
Simple: si vous souhaitez généraliser l’audit à tout le système de fichiers sur une machine particulière, il suffit d’activer l’audit global dans la GPO…
Cela suit la même idée que pour l’audit d’un répertoire, mais active en fait l’audit sur TOUT LE SERVEUR, sans se casser la tête…
Bon weekend, et bon audit!
Pierre.
Petit ajout: je viens de publier un billet complémentaire sur ce sujet…ici: https://redkaffe.com/2017/02/02/auditer-les-serveurs-de-fichiers-part2/
redkaffe 
Bonjour, merci pour cet article très bien expliqué, j’ai pu mettre en place un audit très simplement et efficacement.
De rien, content que cela vous ait aidé…
je posterai bientot un troisieme billet sur le sujet.
cordialement,
Pierre JOUBERT.
Bonsoir Pierre, super ton blog mais … tout n’est pas en français c ça ??
je fais comment pour voir tout le site en full french ??
Cordialement.
Salut Christophe,
la majorité du site est en français sauf quelques posts… si tu en voies un qui t’intéresse, dis moi le et ma femme le traduira en Français, ou en Espagnol, au choix 🙂
@+
Bonjour Pierre,
Merci pour ce tuto.
je suis entrain de mettre cela en place dans mon organisation et je me pose 2 questions :
1. Quelle est la différence entre activer l’audit des fichiers sur tout mon partage ( de la même manière que ton exemple pour un répertoire) et activer via l’audit de l’accès globale ( tout le serveur) ?
2. En quoi l’audit des ouvertures de session est il nécessaire ? car, d’après mes test, cela fonctionne parfaitement sans.
merci d’avance et encore bravo pour ton travail !
bonjour,
1-si tu active l’audit sur l’ensemble du serveur, les acces seront enregistrés y compris pour les fichiers systèmes, applications, etc…pas forcement utile si aucun utilisateur autre que toi peut y acceder en RDp par exemple, généralement l’audit ne se fait que sur les partages accessibles aux users.
2-l’ouverture de session peut etre utile quand pour l’audit tu as bsoin de savoir depuis quel PC à quelle heure et qui à modifié quelque chose: cet audit permet entre autre de vérifier que personne d’autre n’a ouvert une seconde session en tant que cet utilisateur depuis un autre pc, et ainsi etre sur de QUI a fait QUOI depuis OU 🙂
@+ et merci pour ton commentaire flateur 🙂
PierrE
Bonjour,
Merci pour cet article, comment je peux gérer 2 domaines différents dans la partie « Principal » ? Car je souhaite ajouter tout le monde des 2 domaines (relation d’approbation existante)
Merci par avance 🙂
Sorry, j’ai trouvé finalement 🙂 il suffit de rajouter une nouvelle entrée avec une autre règle
Bonjour,
J’ai activé l’audit sur un répertoire et tout fonctionne parfaitement bien . Par contre j’ai beaucoup de log provenant des fichier .tmp supprimer. Il y a un moyen de retirer les .tmp des log ??
Merci d’avance
En passant, Beau travail !! Tout est clair et facile à configurer.
Frédéric G
Bonjour Frédéric,
Pas de manière simple à ma connaissance, de le faire au niveau de l’audit… à moins d’exclure un répertoire particulier si ces fichier .TMP sont « localisés »…
Par contre tu dois pouvoir créer une vue personnalisée, au niveau de l’eventvwr, en filtrant les .tmp, je n’ai pas essayé mais cela doit être faisable.
merci de ton commentaire encourageant,
Cordialement,
PierrE
Bonjour Pierre,
Merci pour ce petit tuto. Sais-tu si on peut aussi loguer l’ouverture des fichiers. Si possible sur des extensions défini.
Merci
Je pense que oui, il faut regarder dans les options d’Audit Avancé…
Bonjour Pierre,
Grand merci pour ce tuto simple et claire. Tu m’a permis de faire en quelque heures ce que je cherchais depuis bien longtemps.
j’ai la même préoccupation que Frédéric G concernant les fichier Temp supprimés, du coup j’arrive pas avoir les fichier réel supprimés par les utilisateurs.
Je voudrais aussi savoir s’il est possible d’avoir la liste des dossiers et fichiers créés par chaque utilisateur en une journée, avec leur taille. Il m’arrive d’avoir des pic d’augmentation de fichier sans savoir d’ou sa vient exactement.
Merci encore pour tout.
vous m avez bien éclairez ce sujet , merci infiniment 😀