Accès aux fichiers

object-access events dans le
journal de sécurité, bien que vous
n’ayez pas activé spécifiquement l’audit
sur des objets. Pour auditer un fichier
ou un dossier, trouvez-le dans
Windows Explorer et ouvrez sa page
Properties. Sélectionnez l’onglet
Security et cliquez sur Advanced. Dans
la fenêtre Access Control Settings, sélectionnez
l’onglet Auditing, comme le
montre la figure 5. Au début, la liste des
entrées d’audit sera vide. Cliquez sur
Add, choisissez un utilisateur ou un
groupe dont vous voulez contrôler
l’accès puis cliquez sur OK pour ouvrir
la fenêtre Auditing Entry. Vous pouvez
ajouter toute combinaison d’utilisateurs
ou de groupes, mais je conseille
d’utiliser simplement Everyone.
Sélectionnez les types d’accès à  soumettre
à  l’audit puis cliquez sur OK.
Attention à  ne pas activer l’audit
pour tous les types d’accès, particulièrement
l’accès en lecture réussi. Si elle
est trop large, la stratégie d’audit peut
engendrer un nombre excessif d’événements
de sécurité présentant le
double inconvénient de ralentir considérablement
le système et d’encombrer
le journal de renseignements inutiles.
Pour la même raison, limitez le
nombre de dossiers pour lesquels vous
activez l’audit. Vous l’aurez deviné, activer
l’audit sur la racine du lecteur système
pour tous les types d’accès
conduira droit à  la catastrophe.
Selon le type d’information que
vous essayez de protéger, vous souhaiterez
peut-être détecter des tentatives
non autorisées de lire un fichier, ou savoir
qui a modifié un fichier. Pour détecter
les tentatives de lecture non autorisées,
activez l’audit pour des tentatives
Read data infructueuses. Pour détecter
les modifications de fichiers,
activez l’audit pour des tentatives Write
data et Append data infructueuses.
Sachez toutefois que Win2K ne
contrôle que les changements potentiels.
Ainsi, si Bob ouvre un document
Microsoft Word pour l’accès en écriture
mais ferme immédiatement le fichier
sans apporter aucune modification,
Win2K n’enregistrera que le fait
que Bob a correctement ouvert le fichier
pour l’accès en écriture.
Windows 2003 résout ce problème en
enregistrant un événement spécifique
la première fois qu’un utilisateur écrit
dans un fichier ouvert. On peut aussi
savoir quand un administrateur change
des permissions de fichier en surveillant
les tentatives Change permission
réussies. Quand un utilisateur accède
à  un fichier par un type d’accès
dont vous avez activé l’audit, Win2K génère
event ID 560 (Object Open), qui
identifie l’utilisateur, le fichier, et le
type d’accès accordé ou refusé. Par
exemple, le code d’erreur de la figure 6
signifie que Bob a essayé d’ouvrir un fichier
pour l’accès en lecture alors qu’il
n’avait pas accès à  ce fichier. Vous pouvez
en déduire qu’il n’avait pas d’accès
parce que l’événement est un objectaccess
event défaillant. Et vous savez
qu’il a essayé d’ouvrir le fichier pour
l’accès en lecture parce que ReadData
se trouve sous Accesses.