Serveur de fichiers Windows : Comment activer l'audit de fichiers

Windows Server logo

Je suis sur que vous avez déjà entendu des utilisateurs se plaindre que des fichiers avaient mystérieusement disparus.

Donc dans le but de résoudre un des plus fréquents mystère de l'informatique et accessoirement de désigner un coupable, il peut être utile d'activer l'audit de fichiers.

Cela va nous permettre de voir les modifications et accès pour un dossier ou fichier (accès en lecture, suppression, modification des ACL etc…)

Stratégie de sécurité

To enable file auditing we need to create a new GPO.

Créer une GPO

  • Ouvrir la console de Gestion de stratégie de groupe :
Run Group Policy Management Console
  • Créer une nouvelle GPO et la lier à l'OU dans lequel se trouve le serveur de fichiers à auditer :
  • Donner un nom explicite :

Configurer la stratégie

  • Éditer la stratégie nouvellement créée :
  • Aller dans Configuration de l'ordinateur > Stratégies > Paramètres Windows > Paramètres de sécurité > Stratégie d'audit et éditer la règle Auditer l'accès aux objets :
  • Cocher Réussite et Echec puis cliquer sur OK :
  • Maintenant aller dans Configuration de l'ordinateur > Stratégies > Paramètres Windows > Paramètres de sécurité > Configuration avancée de la stratégie d'audit > Accès à l'objet et éditer Auditer l'accès aux objets :
  • Cocher Réussite et Echec puis cliquer sur OK :

Serveur de fichiers Windows

Nous avons maintenant besoin de se connecter sur le serveur de fichiers Windows pour activer l'Audit de fichiers sur un dossier.

Activation de l'audit

Disons que l'on souhaite activer l'audit sur le partage \\SRV-DATA\01-Admin.

  • Faire un clic droit sur le dossier et cliquer sur Propriétés :
  • Aller dans l'onglet Sécurité et cliquer sur Avancé :
  • Aller dans l'onglet Audit et cliquer sur Ajouter :
  • Cliquer sur le lien Sélectionner un principal :
  • Ajouter l'object Tout le monde :
  • Choisir Tout et Ce dossier, les sous-dossiers et les fichiers, puis cliquer sur OK :
Note : pour auditer la modification des ACLs cocher la case Contrôle total

Vérifier que la GPO est appliquée

  • On poura vérifier que la stratégie de sécurité est correctement appliquée avec la commande gpresult :
C:\> gpresult /r /z

Voir dans les journaux

Le résultat de l'audit sera visible dans le journal sécurité du journal d'évenements.

  • Ouvrir le journal d'évenements, et aller dans Sécurité :
  • Exemple ici avec un accés en lecture sur le «dossier» depuis le compte administrator :
  • Exemple ici avec le fichier «New Text Document (3)» qui a été supprimé depuis le compte e.cartman :
Creative Commons License
This work is licensed under a Creative Commons Attribution-NonCommercial-ShareAlike 4.0 International License.

Contact :