Audit accès objet

Audit accès objet - Windows & Software

Marsh Posté le 22-11-2005 à 14:45:43    

Bonjour je dispose un serveur de domaine W2000 et je souhaite pouvoir auditer la supression des fichiers d'un de mes répertoires sur un de mes serveur.
 
Après plusieures recherches j'ai mis en place ce que je voulais:
J'ai activé via la stratégie de sécurité du domaine l'audit d'accès aux objetx puis j'ai activé l'audit sur le repertoire voulu, avec comme options suppression.  
 
Et là j'ai bien les évènements de sécurité voulu et même un peu trop...
En fait toutes les actions accès à un objet sont répertoriés en plus pour toutes les actions qui sont effectués sur le serveur lui même!
Je m'explique: par exemple j'ouvre la console mmc sur le servveur je vois even560 et 562 comme quoi j'ai ouvert la console. Pareil pour les fichiers.  
 
Je ne sais pas d'ou ça peu venir quelq'un à une idée?

Reply

Marsh Posté le 22-11-2005 à 14:45:43   

Reply

Marsh Posté le 23-11-2005 à 09:02:23    

up

Reply

Marsh Posté le 23-11-2005 à 16:10:59    

Bon je commence à voir un peu plus clair dans mes problèmes:  
En fait dès que j'active la possibilité de faire de l'audit sur des accès aux objets, je commence à avoir des fichiers audités alors que je n'ai établi aucune règle d'audit sur aucun répertoire.  
J'ai vérifié chaque fichier qui a été audité et je ne trouve aucune trace d'audit...  
Exemple de fichiers auditer mmc.exe vnc.exe svchost.exe.  
 
Es ce que quelqu'un connait un moyen de lister toutes les différentes règles d'audit ou de réinitiliser toutes les règles ?

Reply

Marsh Posté le 24-11-2005 à 11:12:21    

up

Reply

Marsh Posté le 11-01-2008 à 12:13:02    

je remonte le problème car j'ai exactement le meme soucis sous 2003 serveur.
 
En fait lorsque j'active l'audit (succes, echec, ou les deux) sur la GPO de mon default domain (ou bien dans celle de mon DC directement), j'ai bien les logs pour les SACL que j'ai crée sur tel ou tel repertoire (par exemple E:\partage\users pour qui j'ai crée un audit specifique me remontant la liste des actions de modifications ou de suppressions par tel ou tel user) qui apparaissent dans l'observateur, mais j'ai également tout les acces que fait le serveur sur des fichiers pour lesquels je n'ai défini aucun audit (par exemple tout ce que contient system32 en l'occurence ...)
 
Ce qui me donne un journal énorme et ingérable.
 
Quelle est la solution pour n'avoir des remontées que des audit que l'on a crée sur tel ou tel repertoire et uniquement pour les users du domaine ?
 
merci d'avance.


Message édité par Scrypt le 11-01-2008 à 12:14:53
Reply

Marsh Posté le 14-01-2008 à 11:47:16    

[:hurle] up

Reply

Marsh Posté le 17-01-2008 à 09:04:50    

up.
 
J'aurais du poster dans la section pro :/

Reply

Marsh Posté le 02-10-2008 à 10:35:34    

Même chose :'(
 
:bounce:


---------------
www.aurora-maniacs.com - Tout sur les aurores boréales : prévisions aurores, explications, infos pour organiser un voyage en Laponie, photos..
Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed