Solutions pour la gestion des domaines Windows Active Directory

Exemples d'alertes

Auditer l'accès à des fichiers ou à des répertoires

Alerte : Comment auditer les accès à un fichier ou à un répertoire ?

Il peut être parfois nécessaire et judicieux d'être informé lorsqu'un utilisateur tente d'accéder à une ressource partagée.

Cet exemple décrit la procédure à mettre en place afin d'auditer sur une station de travail ou une ressource centralisée (ex: serveur de fichiers), l'accès des utilisateurs (lecture, copie, sélection) à un fichier ou un répertoire spécifique.

Un email contenant le rapport d'observation sera ensuite envoyé pour avertir l'administrateur.

Cet article peut également servir de point de départ pour auditer d'autres types d'objets (clé registre, imprimante ...), pour une opération  réussie ou un échec, et ce en fonction d'un groupe d'utilisateurs, d'une liste d'utilisateurs. ou d'ordinateurs. La démarche sera alors relativement similaire.

Pré-requis avant la création de l'alerte sous IDEAL Alerter :

• Le système de fichiers du disque hébergeant la ressource doit être au format NTFS.
• Le partage de fichier simplifié doit être désactivé : Cela se configure dans l'explorateur Windows / Outils / Options des dossiers / Options d'affichage. Vous devez DECOCHER la case correspondante.
• Activer les audits au niveau de la stratégie de sécurité locale : Outils d'administrations / Stratégie de sécurité locale (ou commande secpol.msc). Dans le menu Stratégies locales, Stratégie d'audit, selectionner Auditer les accès aux objets. Puis choisir d'auditer les réussites.
• Définir les objets à auditer : Pour ajouter un audit sur le fichier / répertoire désiré : Clic droit / Propriétés sur le fichier, onglet Sécurité puis Paramètres avancés. Dans l'onglet Audit, selectionner le type d'objets (Utilisateurs, groupes, ordinateurs ...) puis ajouter les objets que vous souhaitez auditer.

Cocher Liste du dossier/lecture de données.

Si l'objet audité est un répértoire il est également possible d'appliquer l'observation aux sous-objets (fichiers / dossiers) du conteneur. Appliquer ensuite l'audit.

Depuis IDEAL Alerter :

• Créer une nouvelle alerte, que vous nommerez par exemple "Audit des accès aux répertoires partagés".
• Ajouter l'événement suivant à observer :

Lors de l'accès d'un utilisateur à un fichier / répertoire, les journaux d'événements générent plusieurs évenements pour la même action. Il est néanmoins possible de filtre les événements à partir de leurs identifiants, pour conserver seulement les accès sur les objets audités.

Identifiant 560 : Accès aux objets (pour les machines Server 2003, XP et OS antérieurs).

Identifiant 4656 : Accès aux objets (pour les machines Vista, Server 2008, 7).

La description "MonDossierPartage;READ_CONTROL" représente ici le nom du répertoire audité (MonDossierPartage) ainsi que le masque d'accès sur ce dossier (READ_CONTROL).

L'état après détection "Continuer l'observation", permet de poursuivre indéfiniment l'observation des journaux d'évenements.

• Ajouter l'action suivante à réaliser :

Renseigner les différents paramètres nécessaires à l'envoi de l'E-mail.
Si le serveur SMTP requiert une authentification, cocher "Utiliser une authentification", puis saisir les informations d'authentification.
La communication avec le serveur SMTP peut être testée en cliquant sur le bouton "Test".

• Sélectionner les ordinateurs cibles auxquels s'applique l'alerte.

• Valider la création de l'alerte en cliquant sur le bouton "OK".