Windows – EFS activer les logs

Lorsque l’on utilise EFS (Encrypting File System), il est quelques fois nécessaire d’actu ver les logs, ou plutôt les audits à des fins de troubleshooting. Nativement, aucun jounal d’événement n’est disponible pour cette fonctionnalité.

Initialement dans la liste des journaux disponible dans l’eventviewer, aucun ne s’appelle EFS et ne permettent de comprendre ce qui se passe lorsque l’on rencontre une erreur.

avant de mettre en place le journal, il est important d’identifier quel machine est susceptible de générer des logs. Cette machine est celle qui héberge la donnée à protéger.

Donc si je protège un fichier sur un lecteur local (c:\temp), ce sera ma machine local qui réalisera l’encryption et donc les logs. Par contre, si j’encrypte sur un partage réseau, l’encryption sera déléguée à mon serveur de fichier et les logs seront générés par ce serveur aussi.

Event viewer, sans journal EFS

Sommaire

Activer l'audit EFS

Les instruction EFS sont géré par l’API « DPAPI » Data Protection API de la machine hébergeant les fichiers à encrypter. Dans un premier temps, il est nécessaire d’activer les audit de cette API.

Toutes les information concernant DPAPI sont disponible à l’adresse :

https://docs.microsoft.com/en-us/previous-versions/ms995355(v=msdn.10)

La ligne e commande ci-dessous permet de lister les audits disponible et vérifier le status de l’API DPAPI.

auditpol /get /caegory:*

Liste des catégories d'audit

Pour activer l’audit de l’API, utiliser la commande ci-dessous. Il est possible de n’auditer que les erreur ou les succès. Cette commande est sensible à la langue de l’OS sur laquelle elle exécutée.

#En anglais :

auditpol /set /subcategory: »DPAPI Activity » /success:enable /failure:enable

 

#En français :

auditpol /set /subcategory: »Activité DPAPI » /success:enable /failure:enable

Activer les audits DPAPI

Les catégories et sous catégories sont liais à la langue de l’OS.

Les audits sur DPAPI sont désormais activés, vous pouvez vérifier la configuration avec la commande :

auditpol /get /caegory:*

Les audits DPAPI sont activés

L’event 4719 dans le journal de sécurité log le changement de la politique d’audit.

Event 4719 de sécurité
Afficher le journal EFS dans l'eventviewer

Maintenant que les audits de l’API sont disponible, il faut afficher le journal EFS dans l’enventviewer. Il agit d’un fichier .etl donc de débogage et non vraiment de log à proprement parler.

Afficher les journaux d'analyse et de débogage
Le journal EFS est désormais disponible
Activer le journal EFS
Le journal trace bien les logs de débug EFS

Pour afficher le log et l’actualiser, utiliser le boutons « Suivant » et « Début ».

Liens annexes

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *