Share via

Planifier l’audit d’accès aux fichiers

  • Article

S’applique à : Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

Les informations figurant dans cette rubrique abordent les améliorations en matière d’audit de sécurité qui ont été introduites dans Windows Server 2012 ainsi que les nouveaux paramètres d’audit dont vous devez tenir compte lorsque vous déployez le contrôle d’accès dynamique dans votre entreprise. Les paramètres de stratégie d’audit actuels que vous déployez dépendront de vos objectifs. Il peut s’agir notamment de la conformité aux normes, de l’analyse, de l’analyse d’investigation et de la résolution des problèmes.

Notes

Vous trouverez des informations détaillées pour planifier et déployer une stratégie d'audit de sécurité globale pour votre entreprise dans Planification et déploiement de stratégies d'audit de sécurité avancées. Pour plus d'informations sur la configuration et le déploiement d'une stratégie d'audit de sécurité, consultez le Guide pas à pas de la stratégie d'audit de sécurité avancée.

Les fonctionnalités d’audit de sécurité suivantes dans Windows Server 2012 peuvent être associées au contrôle d’accès dynamique en vue d’étendre votre stratégie d’audit de sécurité globale.

  • Stratégies d’audit basées sur des expressions. Le contrôle d’accès dynamique vous permet de créer des stratégies d’audit ciblées en utilisant des expressions basées sur des revendications d’utilisateur, d’ordinateur et de ressource. À titre d’exemple, vous pouvez créer une stratégie d’audit pour effectuer le suivi de toutes les opérations de lecture et d’écriture sur des fichiers classés dans la catégorie « à fort impact métier » effectuées par des employés qui ne bénéficient pas d’habilitations sécuritaires élevées. Les stratégies d’audit basées sur des expressions peuvent être rédigées directement pour un fichier ou un dossier, ou de manière centrale via une stratégie de groupe. Pour plus d'informations, consultez Stratégie de groupe utilisant l'audit d'accès global aux objets.

  • Informations supplémentaires à partir de l’audit d’accès aux objets. L’audit d’accès aux fichiers n’est pas introduit avec Windows Server 2012 et existait déjà. Avec la stratégie d’audit appropriée en place, les systèmes d’exploitation Windows et Windows Server génèrent un événement d’audit chaque fois qu’un utilisateur accède à un fichier. Les événements d’accès aux fichiers existants (4656, 4663) contiennent des informations sur les attributs du fichier auquel un utilisateur a accédé. Ces informations peuvent être utilisées par des outils de filtrage du journal des événements pour vous aider à identifier les événements d’audit les plus significatifs. Pour plus d'informations, consultez Audit de manipulation de handle et Audit de SAM (Security Accounts Manager).

  • Informations supplémentaires à partir des événements d’ouverture de session utilisateur. Avec la stratégie d’audit appropriée en place, les systèmes d’exploitation Windows génèrent un événement d’audit chaque fois qu’un utilisateur se connecte à un ordinateur en local ou à distance. Dans Windows Server 2012 ou Windows 8, vous pouvez également surveiller les revendications d’utilisateur et de périphérique associées au jeton de sécurité d’un utilisateur. Parmi les exemples peuvent figurer des habilitations sécuritaires relatives au service, à la société, au projet et à la sécurité. L’événement 4626 contient des informations sur ces revendications d’utilisateur et de périphérique, qui peuvent être exploitées par des outils de gestion de journal des événements afin de mettre en corrélation les événements d’ouverture de session utilisateur et les événements d’accès aux objets pour permettre le filtrage d’événement en fonction des attributs de fichier et des attributs utilisateur. Pour plus d'informations sur l'audit d'ouverture de session utilisateur, consultez Auditer l'ouverture de session.

  • Suivi des modifications des nouveaux types d’objets sécurisables. Il peut s’avérer important d’effectuer le suivi des modifications des objets sécurisables dans les scénarios suivants :

    • Suivi des modifications dans le cadre des stratégies et des règles d’accès centralisées. Les stratégies et les règles d’accès centralisées définissent la stratégie centrale qui peut être utilisée pour contrôler l’accès aux ressources critiques. Toute modification apportée à ces dernières peut avoir un impact direct sur les autorisations d’accès aux fichiers qui sont accordées aux utilisateurs sur plusieurs ordinateurs. Par conséquent, le suivi des modifications apportées aux stratégies et aux règles d’accès centralisées peuvent revêtir une certaine importance pour votre organisation. Vous pouvez auditer les tentatives de modification à leur égard, notamment les modifications apportées à tout autre objet sécurisable dans Active Directory Domain Services (AD DS) car les stratégies et les règles d’accès centralisées y sont stockées. Pour plus d'informations, consultez Auditer l'accès au service d'annuaire.

    • Suivi des modifications de définitions dans le dictionnaire des revendications. Les définitions des revendications comprennent le nom, la description et les valeurs possibles de la revendication. Toute modification apportée à la définition de la revendication peut avoir des répercussions sur les autorisations d’accès aux ressources critiques. Par conséquent, le suivi des modifications apportées aux définitions des revendications peut s’avérer primordial pour votre organisation. À l’instar des stratégies et des règles d’accès centralisées, les définitions des revendications sont stockées dans AD DS ; c’est pourquoi elles peuvent être auditées comme tout autre objet sécurisable dans AD DS. Pour plus d'informations, consultez Auditer l'accès au service d'annuaire.

    • Suivi des modifications apportées aux attributs de fichier. Les attributs de fichier déterminent la règle d’accès centralisée qui s’applique au fichier. Une seule modification apportée aux attributs du fichier a potentiellement des répercussions sur les autorisations d’accès à ce fichier. Par conséquent, il est important d’effectuer le suivi des modifications apportées aux attributs de fichier. Vous pouvez accomplir cette opération sur tout ordinateur en configurant la stratégie d’audit de modification de la stratégie d’autorisation. Pour plus d'informations, consultez Audit de modification de la stratégie d'autorisation et Audit d'accès aux objets pour les systèmes de fichiers. Dans Windows Server 2012, l’événement 4911 fait la différence entre les modifications apportées à la stratégie d’attribut de fichier et d’autres événements de modifications apportées à la stratégie d’autorisation.

    • Suivi des modifications pour la stratégie d'accès centralisée associée à un fichier. L'événement 4913 affiche les identificateurs de sécurité (SID) des anciennes et nouvelles stratégies d'accès centralisées. Chaque stratégie d’accès centralisée est dotée d’un nom convivial qui peut être recherché à l’aide de cet identificateur de sécurité. Pour plus d'informations, consultez Audit des modifications de la stratégie d'autorisation.

    • Suivi des modifications apportées aux attributs utilisateur et de l’ordinateur. Tout comme les fichiers, les objets utilisateur et d’ordinateur peuvent recevoir des attributs ; les modifications apportées à ces attributs peuvent avoir une incidence sur la capacité de l’utilisateur à accéder aux fichiers. Par conséquent, il est peut-être intéressant d’effectuer le suivi des modifications apportées aux attributs utilisateur ou de fichier. Les objets utilisateur et d’ordinateur sont stockés dans AD DS ; par conséquent, les modifications apportées à leurs attributs peuvent être auditées. Pour plus d'informations, consultez Accès aux services de domaine.

  • Étape intermédiaire des modifications liées à la stratégie. Les modifications apportées aux stratégies d’accès centralisées peuvent avoir des répercussions sur les décisions du contrôle d’accès à tous les ordinateurs sur lesquels les stratégies sont appliquées. Une stratégie laxiste pourrait accorder plus d’accès que souhaité tandis qu’une stratégie exagérément restrictive pourrait générer un nombre excessif d’appels au support technique. Aussi, il peut être extrêmement bénéfique de vérifier les modifications apportées à la stratégie d’accès centralisée avant de mettre en place la modification. À cet effet, Windows Server 2012 introduit le concept de « préproduction ». La préproduction permet aux utilisateurs de vérifier les modifications de stratégie qu’ils proposent avant de les appliquer. Pour utiliser l’étape intermédiaire de la stratégie, les stratégies envisagées sont déployées avec les stratégies mises en application, tandis que les stratégies intermédiaires n’octroient, ni ne refusent des autorisations. À la place, Windows Server 2012 enregistre un événement d’audit (4818) chaque fois que le résultat de la vérification d’accès qui utilise la stratégie intermédiaire diffère du résultat d’une vérification d’accès faisant appel à la stratégie appliquée.