Auditer les serveurs de fichiers


Je profite d’un petit moment de répit pour reprendre le blogSourire

Pendant que c’est encore chaud, je vous propose un petit billet sur l’audit des serveurs de fichiers en environnent 2012R2 (mais tout est compatible 2008-2008R2-2012), afin de pouvoir identifier et tracer les suppressions/modifications de fichiers sur les partages de l’entreprise.

Cette fonctionnalité existe depuis pas mal de temps mais avec 2008 les stratégies d’audit avancé ont fait leur apparition et sont beaucoup plus performantes et intéressantes que celles dont on disposait avant. Encore une fois ce billet traite d’une “vieille” nouveauté, mais je profite d’une implémentation pour vous la faire partager…et comme cela je ne l’oublierai pas!

L’idée de base est simple: disposer d’un moyen de tracer et de savoir qui/quand/depuis quel PC a supprimé un fichier. On peut également savoir qui y a eu accès, qui l’a créé…mais ce n’est pas le but initial, et cela génère beaucoup plus de logs si l’on souhaite tracer toutes les activités sur les fichiers.

Direction la GPMC pour créer notre stratégie d’audit avancé:

gpmc1

Puis on définit ce que l’on souhaite auditer comme actions, en choisissant si l’on ne veut auditer que les actions réussies, ou également celles en échec (les tentatives non fructueuses) pour chacun des types d’objets souhaités. Ici ce qui nous intéresse principalement ce sont les fichiers sur notre serveur de partages réseaux:

FileAudit

Cela ne logue que les accès aux objets de type fichier, et seulement ceux qui réussissent.

Pour savoir QUI, il faut que je logue également les ouvertures de sessions, comme cela je suis en mesure de croiser les identités et de mettre un nom sur l’utilisateur, le PC et l’IP générant les suppressions…

LoginsAudit

J’ai toutes les informations nécessaires pour générer les logs dont j’aurais besoin pour mes recherches de preuves…reste à préciser sur quoi je veux spécifier l’audit en termes de fichiers (loguer QUELLES ACTIONS sur QUELS REPERTOIRES, selon les règles définies ci dessus)…deux options: soit je définis les listes d’accès d’audit sur chaque partage (faisable si on en a peu) soit je passe par une dernière petite option pour dire qu’en fait je veux TOUT AUDITER (ce qui est plus rapide mais génère plus de logs, bien entendu).

Option Une: sur un répertoire en particulier je définis quoi auditer pour qui:

AuditUnitaire

Propriétés du répertoire que l’on souhaite auditer/Onglet Sécurité/Avancé/Onglet Audit/Ajouter/sélectionner un principal > tout le monde/Autorisations Avancées/les cases concernant les suppressions… et voila notre répertoire qui commence à générer des logs dans la partie Sécurité, chaque fois qu’un fichier est supprimé par qui que se soit:

MainDansLeSac

d’abord un Event 4663 : tentative d’accès à un fichier pour suppression (DELETE)

Une tentative d’accès à un objet a été effectuée.

Sujet :
ID de sécurité :        REDKAFFE\Pierre
    Nom du compte :        Pierre
Domaine du compte :        REDKAFFE

ID d’ouverture de session :        0x1A851B8

Objet :
Serveur de l’objet :        Security
Type d’objet :        File
Nom de l’objet :        C:\Partage\Confidentiel\Test Suppression.txt
ID du handle :        0x9ea8
    Attributs de ressource :    S:AI

Informations sur le processus :
ID du processus :        0x1c10
Nom du processus :        C:\Windows\explorer.exe

Informations sur la demande d’accès :
Accès :       DELETE

Puis l’acquittement de la suppression, avec le même handle, mais sur un Event 4660, qui confirme la suppression du fichier:

Un objet a été supprimé.

Sujet :
ID de sécurité :        REDKAFFE\Pierre
Nom du compte :        Pierre
Domaine du compte :        REDKAFFE
    ID d’ouverture de session :        0x1A851B8

Objet :
Serveur de l’objet :    Security
ID du handle :    0x9ea8

 

Nous voila donc en mesure de venir voir Pierre pour lui demander “Pourquoi?”…

Pour simplifier les recherches, il suffit de créer une vue personnalisée, en sélectionnant la source (Sécurité) les Events 4660 et 4663, et nous voila avec un outil relativement simple en cas de besoin de traçabilité…

VuePersoDELETES

Une fois en place, il suffit de faire un click droit sur la vue “Suppressions”, selectionner “Rechercher” et taper le nom du fichier supprimé, cela nous ammene tout droit à l’event4663 l’ayant tracé Sourire

Facile non?

Vous me direz: ok , mais si j’ai 300 répertoires à auditer, je fais comment???

Simple: si vous souhaitez généraliser l’audit à tout le système de fichiers sur une machine particulière, il suffit d’activer l’audit global dans la GPO…

AuditGlobalFichiers

Cela suit la même idée que pour l’audit d’un répertoire, mais active en fait l’audit sur TOUT LE SERVEUR, sans se casser la tête…

Bon weekend, et bon audit!

Pierre.

Petit ajout: je viens de publier un billet complémentaire sur ce sujet…ici: https://redkaffe.com/2017/02/02/auditer-les-serveurs-de-fichiers-part2/

 

A propos Red Kaffe

IT Trainer and Consultant on Microsoft Technologies. Windows Server and Client, Service Center 2012, WSUS/MDT/ADK/WAIK, SBS 2008/2011, Office 365, etc. Fully dedicated to support and train my customers...
Cet article, publié dans 2008R2, 2012R2, Audit, File Server, Formation, Security, Storage, WS 2012, est tagué , , , . Ajoutez ce permalien à vos favoris.

6 commentaires pour Auditer les serveurs de fichiers

  1. Pallares dit :

    Bonjour, merci pour cet article très bien expliqué, j’ai pu mettre en place un audit très simplement et efficacement.

  2. Leduc dit :

    Bonsoir Pierre, super ton blog mais … tout n’est pas en français c ça ??
    je fais comment pour voir tout le site en full french ??
    Cordialement.

    • Red Kaffe dit :

      Salut Christophe,
      la majorité du site est en français sauf quelques posts… si tu en voies un qui t’intéresse, dis moi le et ma femme le traduira en Français, ou en Espagnol, au choix 🙂
      @+

  3. Flo dit :

    Bonjour Pierre,

    Merci pour ce tuto.
    je suis entrain de mettre cela en place dans mon organisation et je me pose 2 questions :
    1. Quelle est la différence entre activer l’audit des fichiers sur tout mon partage ( de la même manière que ton exemple pour un répertoire) et activer via l’audit de l’accès globale ( tout le serveur) ?

    2. En quoi l’audit des ouvertures de session est il nécessaire ? car, d’après mes test, cela fonctionne parfaitement sans.

    merci d’avance et encore bravo pour ton travail !

    • Red Kaffe dit :

      bonjour,
      1-si tu active l’audit sur l’ensemble du serveur, les acces seront enregistrés y compris pour les fichiers systèmes, applications, etc…pas forcement utile si aucun utilisateur autre que toi peut y acceder en RDp par exemple, généralement l’audit ne se fait que sur les partages accessibles aux users.
      2-l’ouverture de session peut etre utile quand pour l’audit tu as bsoin de savoir depuis quel PC à quelle heure et qui à modifié quelque chose: cet audit permet entre autre de vérifier que personne d’autre n’a ouvert une seconde session en tant que cet utilisateur depuis un autre pc, et ainsi etre sur de QUI a fait QUOI depuis OU 🙂

      @+ et merci pour ton commentaire flateur 🙂

      PierrE

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s