Bonjour,
 
Je sollicite votre aide pour un domaine que je ne maîtrise pas. Je sais que je trouverai plusieurs sympathiques experts ici.
Je travaille pour une société qui a une centaine d'utilisateurs en RDP qui accèdent notamment à 1 serveur de fichier. Il n'y a qu'un domaine, c'est plutôt simple.
Ils souhaiteraient savoir quels utilisateurs accèdent aux données.  
 
Exemple :
Est-ce que les comptables accèdent aux fichiers du dossier comptable, à quel fréquence? Vont-ils dans des dossiers où ils n'ont rien à faire comme le dossier comptable d'une société qui ne les concerne pas?
Vont-ils parfois essayer de lire le répertoire du service fabrication auquel ils n'ont pas accès ?
 
Je souhaiterais donc récupérer les réussites et échecs d'accès aux fichiers sur ce serveur avec les noms des comptes AD qui ont tenté d'accéder à la donnée.
 
Pour le moment, je n'ai créé aucune GPO sur les DC. J'ai activé en local sur le serveur de fichier:
Dans la stratégie avancée d'audit système :
- Auditer le partage de fichier détaillé
- Auditer la fermeture de session / Auditer l'ouverture de session
 
Dans Stratégie locales/Stratégie d'audit:
- Auditer l'accès aux objets
 
Puis, dans l'onglet sécurité, paramètres avancés, onglet Audit du dossier partagé, j'ai activé les entrée d'audit en réussite et échec.
 
Actuellement, je vois mes remontées dans l'observateur d’événement mais c'est peu pratique à analyser. Je ne connais pas PowerShell, je pense que c'est une piste à explorer pour créer des rapports csv par exemple. Le but final est de fournir un Excel hebdomadaire de tout ça.  
Je cherche. Si certains d'entres-vous souhaite m'apporter leur aide ou simplement me fournir des liens pour apprendre plus vite le powershell ou comprendre un peu mieux le fonctionnement de ces audits windows, je les remercie chaleureusement.
Merci!

Je précise que les serveurs sont en 2012R2, ça peut être utile.

Je ne suis pas expert dans ce domaine, mais y'a peut-être aussi un volet juridique en plus du volet technique de faire de genre de surveillance aussi fine

honnetement, avec le simple audit windows, t'arriveras a rien
Il faut des outils tiers pour pouvoir l'analyser, faire des rapports sur qui accede a quoi, qui se fait refuser, créer des alertes etc
Ceux ci analysent les logs Windows, et en font une vraie base de données interrogeable en temps réel.
 
Jettes un oeil du côté de Netwrix, Solarwinds, Varonis ou autres mais ce ne sera pas gratuit
 
 

Bonjour,
 
Merci pour vos réponses. Côté juridique, je pense que la charte est là pour ça. Ces logiciels font beaucoup plus de choses et ce n'est pas le besoin pour le moment. Ou plutôt, le coût dépasse le curseur du besoin.
 
Pour être honnête Unarcher, j'ai commencé par la recherche de logiciels en effet mais je ne connaissais pas Netwrix. Je me renseigne, merci !

Sinon, codage d'un outil en internet pour répondre pile-poil au besoin. Eventuellement via un stage... Récupérer certains logs windows et les mettre en BD + faire une petite IHM de recherche, c'est pas la mort.

C'est l'audit legacy ça, utilize plutôt l'audit avancé (Vista et +) , il faut l'activer dans les options de sécurité.

Bon.
J'ai activé une autre option d'audit pour avoir les 4663 qui semblent être les logs qui m'intéressent. J'ai trouvé un script sur le net et en le simplifiant, ça m'a pris du temps comme je suis débutant en powershell, j'ai fait un csv qui contient tous mes logs.
 J'ai donc l'heure, la personne, le chemin du fichier. Il me manque encore le type (Lecture, écriture, effacement...) mais j'avance doucement.  
 
Je ferai une interface pour importer ça en base chaque soir, je sais pas encore. On verra.

Merci nebulios, c'est ce que j'ai compris en parcourant le web mais c'est pourtant ce que j'ai de mieux pour le moment.  
 
Les stratégies avancées me ramènent beaucoup d'infos et je ne sais pas encore lesquels traiter dans le lot. Mon objectif est d'arriver à mes fins par le moyen que je trouve. Ensuite, je chercherai à faire mieux..
Car effectivement, baser mon affaire sur des clés abandonnées, ce n'est pas acceptable. On est d'accord.

Justement, l'audit avancé a pour particularité d'être beaucoup plus granulaire que l'audit legacy, donc ça te facilitera les choses.
 
Ensuite il faut que niveau delegation de groups et ACL tout soit OK aussi, sinon tu n'iras pas très loin.

En terme de temps passé, ca risque de couter plus cher que de prendre un outil du marché.  
Et avec un résultat qui sera beaucoup moins évolué et utilisable  
 
Réinventer la roue, j'ai jamais trouvé ça génial. Le developpement ca devrait être reservé à des besoins spécifiques, pas a des besoins génériques qui existent partout dans le monde.

Ca dépend du coût des outils du marcher et de leur adéquation avec le besoin. S'ils coûtent chers parce qu'ils font énormément de choses alors que l'entreprise a besoin juste d'une toute petite portion du logiciel, ça peut coûter moins cher de développer soi-même cette petite portion, en particulier si c'est pas dur à faire et que ça peut être fait par un stagiaire.
 
Par contre, si un truc coûte pas trop cher et colle au besoin, oui, pas besoin de réinventer la roue.