Existe-t-il un moyen de surveiller toutes les opérations de lecture et d'écriture sur un répertoire et ses fichiers dans SBS 2011 (Windows Server 2008 R2) ?
Réponses
Trop de publicités?
Samat Jain
Points
165
L'outil Process Monitor de SysInternals est capable d'enregistrer tous les accès au disque.
Pour en retirer des informations utiles, il faut cependant savoir ce que l'on recherche. Le journal d'accès brut est un peu comme un tuyau d'incendie. :)
Vous pouvez également utiliser les paramètres de stratégie de groupe d'audit intégrés sur Server 2008 (http://technet.microsoft.com/en-us/library/dd772630(WS.10).aspx).
Dans l'Éditeur de stratégie de groupe, accédez à Configuration de l'ordinateur | Paramètres Windows | Paramètres de sécurité | Stratégies d'audit avancées - Objet de stratégie de groupe local | Accès aux objets et activez les événements du système de fichiers (Réussite et Échec).
Ensuite, accédez au dossier que vous souhaitez surveiller avec l'Explorateur Windows, Propriétés - Sécurité - Avancé - Audit et ajoutez Tout le monde \ Contrôle total pour surveiller tout l'accès.
Toute tentative d'accéder au dossier spécifié entraînera des messages de journal d'événements de sécurité comme celui-ci :
Une tentative d'accès à un objet a été effectuée.
Sujet :
ID de sécurité : VOTREDOMAINE\IDUTILISATEUR
Nom du compte : IDUTILISATEUR
Domaine du compte : VOTREDOMAINE
ID de connexion : 0x5057c
Objet :
Serveur objet : Sécurité
Type d'objet : Fichier
Nom de l'objet : C:\temp\partage
ID de poignée : 0xbf8
Informations sur le processus :
ID de processus : 0x12fc
Nom du processus : C:\Windows\explorer.exe
Informations sur la demande d'accès :
Accès : CONTROLE_LECTURE
Masque d'accès : 0x20000Vous pourriez même automatiser les alertes en attachant une tâche à l'événement spécifique dans l'Observateur d'événements pour envoyer un e-mail, lancer un programme, etc. lorsque l'événement se produit.
