L’audit est une pratique importante pour la sécurité de l’infrastructure informatique. Les audits permettent de vérifier si les politiques de sécurité sont appliquées correctement et si l’infrastructure est protégée contre les menaces. Dans cet article, nous allons nous concentrer sur l’audit de Windows Server, qui est l’un des systèmes d’exploitation les plus utilisés pour les serveurs d’entreprise.
L’audit de Windows Server permet aux administrateurs système de collecter des informations sur l’activité des utilisateurs, des applications et des services. Les données collectées peuvent aider à détecter les activités suspectes et à identifier les vulnérabilités de sécurité. L’audit peut également aider à répondre aux exigences de conformité réglementaire en fournissant des preuves d’activité sur les systèmes. Il existe plusieurs types d’audits que les administrateurs système peuvent configurer dans Windows Server. Les audits peuvent être configurés pour suivre les événements de sécurité, les événements de modification de fichiers, les événements d’activité de compte utilisateur, etc. Les audits peuvent être configurés pour être stockés dans des fichiers journaux ou pour être envoyés à des serveurs SIEM (Security Information and Event Management) pour une analyse plus approfondie.
Dans cet article, nous explorerons les audits de fichiers disponibles dans Windows Server et comment les configurer efficacement. Dans notre exemple nous auditerons la suppressions de fichiers. Si vous êtes un administrateur système travaillant avec des serveurs Windows, cet article est pour vous. Suivez-nous pour en savoir plus sur l’audit de Windows Server et comment il peut renforcer la sécurité de votre infrastructure informatique.
Pour les besoins de ce tutoriel, j’ai créé un dossier nommé « Production » puis un sous-dossier nommé « Doc » avec un fichier « document.txt » à l’intérieur. J’appliquerai l’audit sur ce sous-dossier directement.
Activer les audits sur mon serveur Windows 2022
Commencez par ouvrir la console de stratégie de groupe locale :
Dans vos stratégies de groupe, allez dans « Configuration Ordinateur/Paramètres Windows/Paramètre de sécurité/Configuration avancée de la stratégie d’audit/Accès à l’objet/Auditer le système de fichiers » :
Activer l’option en cochant la case « Configurer les évènements d’audit suivants » puis « Succès » :
A ce stade, les audits sont donc disponible sur votre serveur et il va falloir configurer l’audit directement sur les dossiers. Pour ce faire, suivez les étapes ci-dessous.
Activer les audits sur mon serveur Windows 2022
Pour commencer je retourne sur mon dossier « Production » et je clic droit dessus pour accéder aux propriétés du dossier :
Allez dans les paramètres de sécurité avancés :
Cliquer dans l’onglet « Audit » sur « Ajouter » pour ajouter un nouvel audit pour ce dossier :
Pour le test je vais configurer et visualiser les suppressions à l’intérieur de mon dossier. Pour ce faire, je définis le principal comme « Tout le monde » et je coche les cases « Supprimer » et « Supprimer les sous-dossiers et les fichiers » :
Voici l’explication des autorisations avancées que vous pouvez positionner en fonction de ce que vous souhaitez auditer :
- Contrôle total : Cette autorisation permet à l’utilisateur ou au groupe d’utilisateurs d’accéder à toutes les autorisations d’un dossier et de modifier ses paramètres.
- Parcours du dossier/exécuter le fichier : Cette autorisation permet aux utilisateurs ou aux groupes d’utilisateurs d’accéder à un dossier et d’exécuter un fichier ou un programme situé à l’intérieur de ce dossier.
- Liste du dossier/lecture de données : Cette autorisation permet aux utilisateurs ou aux groupes d’utilisateurs de voir les fichiers et les sous-dossiers dans un dossier, mais pas de les ouvrir.
- Attributs de lecture : Cette autorisation permet aux utilisateurs ou aux groupes d’utilisateurs de voir les attributs d’un dossier, tels que la date de création, la date de modification, etc.
- Lecture des attributs étendus : Cette autorisation permet aux utilisateurs ou aux groupes d’utilisateurs de voir les attributs étendus d’un dossier, tels que les informations de sécurité.
- Création de fichiers/écriture de données : Cette autorisation permet aux utilisateurs ou aux groupes d’utilisateurs de créer de nouveaux fichiers dans un dossier et d’écrire des données dans ces fichiers.
- Création de dossier/ajout de données : Cette autorisation permet aux utilisateurs ou aux groupes d’utilisateurs de créer de nouveaux dossiers dans un dossier existant et d’ajouter des données à ces dossiers.
- Attribut d’écriture : Cette autorisation permet aux utilisateurs ou aux groupes d’utilisateurs de modifier les attributs d’un dossier, tels que le nom du dossier ou les autorisations de sécurité.
- Ecriture d’attributs étendus : Cette autorisation permet aux utilisateurs ou aux groupes d’utilisateurs de modifier les attributs étendus d’un dossier, tels que les informations de sécurité.
- Suppression de sous dossier et fichier : Cette autorisation permet aux utilisateurs ou aux groupes d’utilisateurs de supprimer les fichiers et les sous-dossiers dans un dossier.
- Suppression : Cette autorisation permet aux utilisateurs ou aux groupes d’utilisateurs de supprimer un dossier et son contenu.
- Autorisations de lecture : Cette autorisation permet aux administrateurs système de définir des règles d’audit pour suivre l’accès en lecture aux fichiers et dossiers.
- Modifier les autorisations : Cette autorisation permet aux administrateurs système de modifier les autorisations de sécurité pour les fichiers et dossiers.
- Appropriation : Cette autorisation permet aux utilisateurs ou aux groupes d’utilisateurs de prendre possession d’un dossier, même si l’autorisation de sécurité du dossier ne leur est pas accordée.
Une fois l’audit configuré sur le dossier, se connecter depuis un poste client pur tester l’audit en supprimant le fichier « document.txt »
Le message suivant apparait alors dans le journal de sécurité Windows :
En conclusion, l’audit de suppression de fichiers est un aspect important de la sécurité des systèmes d’information. La suppression de fichiers peut souvent entraîner la perte de données importantes, ce qui peut avoir des conséquences graves pour l’entreprise. En somme, l’audit de suppression de fichiers est un outil essentiel pour la sécurité des systèmes d’information, permettant aux administrateurs système de suivre et de détecter les activités malveillantes, tout en prévenant la perte de données importantes. En configurant correctement l’audit de suppression de fichiers, les entreprises peuvent renforcer leur posture de sécurité et protéger leurs données sensibles.
Si l’article vous a plu et si vous aimez mon travail, vous pouvez faire un don en suivant ce lien :
Pour soutenir mon travail, n’hésitez pas aussi à me suivre sur les réseaux et à partager :