WINDOWS 2012 : Audit de fichiers

1. Configuration d’une politique d’audit avancée

But : mise en place d’une politique d’audit par l’intermédiaire de la politique d’audit avancée.

Machines virtuelles : AD1, SV1 et CL8-01.

Sur AD1, lancez la console Utilisateurs et ordinateurs Active Directory.

Effectuez un clic droit sur Formation.local puis dans le menu contextuel sélectionnez Nouveau puis Unité d’organisation.

Saisissez Serveurs dans le champ Nom puis cliquez sur OK.

Déplacez le compte ordinateur de SV1 dans l’OU Serveurs.

Lancez la console Gestion de stratégie de groupe puis développez Forêt : Formation.local\Domaines\Formation.local. Effectuez un clic droit sur l’unité d’organisation Serveurs, puis cliquez sur Créer un objet GPO dans ce domaine, et le lier ici.

Saisissez Audit avancé dans le champ Nom puis cliquez sur OK.

Effectuez un clic droit sur Audit avancé puis sélectionnez l’option Modifier dans le menu contextuel.

Développez les nœuds Configuration ordinateurStratégiesParamètres WindowsParamètres de sécuritéConfiguration avancée de la stratégie d’auditStratégies d’audit.

Cliquez sur Accès à l’objet puis double cliquez sur Auditer le partage de fichiers détaillé.

images/12CE06N.png

Cochez les cases Configurer les événements d’audit suivants puis Succès et Échec.

images/12CE07N.png

Cliquez sur OK afin de valider la configuration.

Démarrez SV1 puis ouvrez une session en tant qu’administrateur du domaine.

Lancez une invite de commandes DOS puis saisissez la commande gpupdate /force.

Sur CL8-01, ouvrez une session en tant que sthed (mot de passe : Pa$$w0rd).

Depuis le poste CL8-01, accédez au partage \\SV1\Secrétariat puis créez un fichier à l’intérieur de ce partage.

Le partage a été créé dans le chapitre précédent consacré à DFS.

Sur SV1, lancez la console Gestionnaire de serveur puis, à l’aide du menu Outils, accédez à la console Observateur d’événements.

Développez le nœud Journaux Windows puis cliquez sur Sécurité.

Un événement dont la source est Microsoft Windows security et la catégorie Partage de fichiers détaillé est configuré dans le journal.

images/12CE08N.png

En fonction des paramètres, il n’est pas obligatoire de configurer la SACL. Cela n’est pas le cas pour les prochains ateliers. Le paramètre activé est valable pour l’ensemble des partages du serveur (voir l’onglet Expliquer du paramètre de stratégie de groupe), aucune SACL n’a donc besoin d’être configurée.

2. Audit des modifications dans Active Directory

But : mise en place d’une politique d’audit permettant d’auditer les modifications apportées au groupe Admins du domaine.

Machine virtuelle : AD1.

Sur AD1, lancez la console Utilisateurs et ordinateurs Active Directory.

Développez le domaine Formation.local et cliquez sur le conteneur Users.

Effectuez un clic droit sur le groupe Admins du domaine, puis cliquez sur Propriétés.

Sélectionnez l’onglet Sécurité puis cliquez sur le bouton Avancé.

Si vous ne voyez pas l’onglet Sécurité, fermez la boîte de dialogue. Cliquez sur le menu Affichagede la console MMC et assurez-vous que l’option Fonctionnalités avancées est sélectionnée.

images/12CE09N.png

Ouvrez l’onglet Audit, sélectionnez la première entrée d’audit pour laquelle la colonne Accès est Spéciale, puis cliquez sur Modifier.

Cette entrée va permettre l’audit des tentatives réussies de modification des propriétés du groupe, telles que la modification du propriétaire.

Cliquez sur Contrôle total puis trois fois sur OK afin de valider toutes les fenêtres.

Lancez la console Gestion de stratégie de groupe.

Développez les nœuds Forêt : Formation.local\Domaines\Formation.local puis cliquez sur l’unité d’organisation Domain Controllers.

Effectuez un clic droit sur Default Domain Controllers Policy puis sélectionnez Modifier.

Dans la console Éditeur de gestion des stratégies de groupe, développez les nœuds Configuration ordinateur\Stratégies\Paramètres Windows\Paramètres de sécurité\Configuration avancée de la stratégie d’audit.

Dans Stratégies d’audit, cliquez sur Accès DS.

images/12CE10N.png

Double cliquez sur Auditer les modifications du service d’annuaire puis cochez Configurer les événements d’audit suivants et Succès.

Cliquez sur Appliquer puis sur OK.

Sur AD1, lancez une invite de commandes DOS et saisissez la commande gpupdate /force.

La prise en compte du paramètre d’audit prend quelques secondes.

Ajoutez le compte sthed dans le groupe Admins du domaine.

Lancez la console Gestion de l’ordinateur du contrôleur de domaine depuis la console Gestionnaire de serveur (menu Outils).

Développez les nœuds Observateur d’événements et Journaux Windows puis cliquez sur le journal Sécurité.

Un nouvel enregistrement est maintenant présent.

3. Audit des accès à un répertoire

But : mise en place du paramètre d’audit permettant l’audit d’un répertoire.

Machines virtuelles : AD1, SV1 et CL8-01.

Sur SV1, créez un dossier nommé Informatique sur la partition C:.

Accédez aux Propriétés du dossier puis cliquez sur l’onglet Partage.

Cliquez sur le bouton Partage avancé….

Dans la fenêtre Partage avancé, cochez la case Partager ce dossier.

Cliquez sur le bouton Autorisations, puis supprimez l’entrée Tout le monde.

Ajoutez le compte Admins du domaine puis attribuez-lui le droit Contrôle total.

images/12CE20.png

Cliquez sur Appliquer puis deux fois sur OK.

Dans la fenêtre des propriétés du dossier Informatique, cliquez sur l’onglet Sécurité.

Cliquez sur le bouton Avancé puis sur Désactiver l’héritage.

Cliquez sur Supprimer toutes les autorisations héritées de cet objet.

images/12CE21.png

Cliquez sur Ajouter puis sur le lien Sélectionnez un principal.

Dans la fenêtre de sélection, saisissez Admins du domaine puis cliquez sur Vérifier les noms.

Cliquez sur OK puis donnez à l’utilisateur le droit Contrôle total.

images/12CE22.png

Cliquez sur OK puis sur Appliquer.

Dans l’onglet Audit, cliquez sur Ajouter.

Cliquez sur le lien Sélectionnez un principal puis saisissez jraffet.

Cliquez sur Vérifier les noms puis sur OK.

Dans la liste déroulante Type, sélectionnez Échec puis cliquez sur Contrôle total dans Autorisations de base.

images/12CE23.png

Cliquez deux fois sur OK puis sur Fermer.

Sur AD1, lancez la console Gestion des stratégies de groupe puis effectuez un clic droit sur Objets de stratégie de groupe.

Dans le menu contextuel, choisissez l’option Nouveau.

Saisissez Audit dossier Informatique dans le champ Nom puis cliquez sur OK.

Effectuez un clic droit sur la stratégie puis sélectionnez l’option Modifier.

La console Éditeur de gestion des stratégies de groupe se lance.

Développez les nœuds Configuration ordinateur\Stratégies\Paramètres Windows\Paramètres de sécurité\Stratégies locales\Stratégie d’audit.

images/12CE11N.png

Double cliquez sur Auditer l’accès aux objets, cochez Définir ces paramètres de stratégie et sélectionnez la case Échec.

images/12CE25.png

Cliquez sur Appliquer puis OK.

Fermez la console Éditeur de gestion des stratégies de groupe.

Liez la stratégie Audit dossier Informatique à l’unité d’organisation Serveurs.

images/12CE12N.png

Lancez une invite de commandes DOS et exécutez la commande gpupdate /force sur SV1.

Ouvrez une session en tant que jraffet (mot de passe Pa$$w0rd) sur CL8-01.

Essayez d’accéder au répertoire partagé Informatique présent sur SV1.

Un message d’avertissement informant d’un accès refusé s’affiche.

images/12CE13N.png

Sur SV1, lancez la console Gestion de l’ordinateur puis développez les nœuds Observateur d’événements puis Journaux Windows.

Visualisez le journal d’événements Sécurité.

Ouvrez l’événement qui référence la tentative d’accès de jraffet (ID 5145).

images/12CE14N.png

La tentative d’accès de jraffet au dossier Informatique est bien enregistrée. Il est possible de faire de même pour un groupe d’utilisateurs.