Journaux d’événements (Audit du stockage amovible)

Rentrons dans le vif du sujet, c’est le cœur de la détection des transferts de fichiers vers un appareil de stockage amovible et malheureusement, les journaux d’audit correspondant ne sont pas activés par défaut. Pour remédier à cette situation, voici les étapes.

Attention: il est important de considérer le volume que pourrait occasionner l’activation de cet audit sur les systèmes de stockage amovible. Si par exemple l’un de vos serveurs partage ses documents via un système de stockage externe, les journaux vont se remplir à une vitesse foudroyante. (Pas de jugement ici sur votre façon de fonctionner, mais je préfère avertir 😉 )

1. Ouvrez la console vous permettant de modifier les « group policy object » (GPO), que ce soit directement sur votre contrôleur de domaine ou préférablement via une console MMC.
2. Suivez ce chemin pour vous rendre au paramètre permettant d’activer l’audit du stockage amovible: Configuration ordinateur -> Stratégies -> Paramètres Windows -> Paramètres de sécurité -> Configuration de stratégie d’audit avancée -> Accès aux objets -> Auditer le stockage amovible (Si vous êtes de type visuel, des captures d’écran sont disponibles ici-bas).
3. Vous aurez le choix d’activer l’audit pour les événements de type « succès » et « échec ». À moins d’un besoin particulier, je vous suggère d’initialement y aller avec le « Succès » qui est primordial pour atteindre notre objectif de déterminer quelles interactions ont eu lieu avec les objets (fichiers) sur les appareils de stockage amovible.

À noter: il est également possible de réaliser cette configuration directement sur les postes de travail via la console de stratégie de sécurité locale (Configuration avancée de la stratégie d’audit -> Stratégies d’audit système – Objet Stratégie de groupe local -> Accès à l’objet -> Auditer le stockage amovible). Ce n’est pas nécessairement optimal considérant que les configurations doivent être gérées à la pièce, mais dépendamment de votre scénario, cela pourrait être utile.

Une fois la configuration en place, l’événement 4663 assigné à la catégorie « Stockage amovible » sera disponible dans vos journaux. Vous avez maintenant une idée des opérations effectuées sur ce stockage.

Rappel: Si vous possédez une solution de centralisation des journaux (ex.: SIEM), n’oubliez pas d’ajouter cet événement dans vos configurations pour être certain qu’ils sont envoyés vers celle-ci.

Information additionnelle

• Surveiller l’utilisation de dispositifs de stockage amovibles – Windows Security | Microsoft Learn