sábado, 20 de julho de 2013

Habilitando Auditoria de Pastas no Windows Server 2008

6 comments
Habilite a auditoria de arquivos no Windows para monitorar os eventos relacionados aos usuários, como: acessar, modificar e apagar arquivos e pastas monitorados em sua rede.
A configuração da Auditoria é feita em duas partes:
1) Habilitar a auditoria na pasta que deseja auditar
2) Habilitar a auditoria por Diretiva de Grupo

Configurando a Pasta que será auditada:
1. Abra o Windows Explorer e navegue até o arquivo (pasta) em questão. 
2. Clique com o botão direito do mouse na pasta e clique em Propriedades, clique na guia Segurança e após Avançado. 
3. Alterne para a guia de Auditoria e clique no botão Editar. 
4. Clique em Adicionar para escolher os usuários e os grupos de monitoramento. A prática comum é adicionar o grupo de usuários autenticados. 

5. Selecione caixas em eventos necessários para tanto Exito e Falha em Entrada de auditoria. Para uma auditoria explícita, selecione todas as caixas.

Aplicando Auditoria via GPO

1. Abra Iniciar -> Executar, digite secpol.msc e tecle Enter. 
2. Edite ou crie a GPO onde deseja aplicar a Auditoria.
3. Navegue até Configuração de Segurança -> Diretivas locais -> Diretiva de auditoria. 
4. Edite a Auditoria de acesso a objetos.


5. Nas Propriedades da Auditoria, marque as opções desejadas, conforme abaixo:
6. Clique em OK, e feche o Editor de GPO

Para aplicar as configurações imediatamente no computador, abra o Prompt de Comando e digite o comando"gpupdate /force"

Agora, todas as tentativas de acesso serão rastreadas no log de segurança do Visualizador de Eventos. Se você quiser verificar quem excluiu determinado diretório, abra o Visualizador de Eventos em Logs do Windows na parte de Segurança. Procure o evento com número de identificação 4663, conforme mostrado abaixo.
Espero ter ajudado!

6 comentários:

  1. Eu consigo apontar esses logs para outro servidor? por exemplo, um servidor próprio de logs?
    Necessito realizar esta operação.

    ResponderExcluir
    Respostas
    1. Olá Rafael,

      Por padrão os logs poderão ser visualizados no Event Viewer do seu Controlador de Domínio, nada lhe impede de encaminhar esses logs para um servidor coletor de eventos, seria até uma boa prática. Ainda não tenho nenhum Post aqui no Blog sobre esse assunto, mas você pode saber mais nesse link no site do Technet.

      http://technet.microsoft.com/pt-br/library/cc748890.aspx

      Nos livros de preparação para o exame 70-642 "Windows Server 2008 - Infraestrutura de Rede" também é abordado esse assunto.

      Espero ter ajudado!

      Excluir
  2. muito bom esse tutorial me ajudou bastante

    ResponderExcluir
  3. nao consigo visualiza logs de dias e mes anterior

    ResponderExcluir
  4. Este comentário foi removido pelo autor.

    ResponderExcluir
  5. Olá! Marquei na auditoria dos diretórios apenas eventos de falha e êxito na exclusão da pasta inteira e de subpastas e arquivos. Queria ter log apenas destes eventos, que é o 4663 (Windows Server 2008 R2) Mas tenho MUITOS logs 5145, pelo que li é um log que mostra se o usuário tem acesso a determinado arquivo ou não... Poderia me dizer como faço para ter apenas os logs referentes a exclusão dos arquivos? Obrigado, um abraço! Hiuri.

    ResponderExcluir