20 julho, 2013

Habilitando Auditoria de Pastas no Windows Server 2008

Por: Danilo M Monteiro , , , , 6 comments
Habilite a auditoria de arquivos no Windows para monitorar os eventos relacionados aos usuários, como: acessar, modificar e apagar arquivos e pastas monitorados em sua rede.
A configuração da Auditoria é feita em duas partes:
1) Habilitar a auditoria na pasta que deseja auditar
2) Habilitar a auditoria por Diretiva de Grupo

Configurando a Pasta que será auditada:
1. Abra o Windows Explorer e navegue até o arquivo (pasta) em questão. 
2. Clique com o botão direito do mouse na pasta e clique em Propriedades, clique na guia Segurança e após Avançado. 
3. Alterne para a guia de Auditoria e clique no botão Editar. 
4. Clique em Adicionar para escolher os usuários e os grupos de monitoramento. A prática comum é adicionar o grupo de usuários autenticados. 

5. Selecione caixas em eventos necessários para tanto Exito e Falha em Entrada de auditoria. Para uma auditoria explícita, selecione todas as caixas.

 Aplicando Auditoria via GPO

 1. Abra Iniciar -> Executar, digite secpol.msc e tecle Enter. 
2. Edite ou crie a GPO onde deseja aplicar a Auditoria.
3. Navegue até Configuração de Segurança -> Diretivas locais -> Diretiva de auditoria. 
4. Edite a Auditoria de acesso a objetos.

5. Nas Propriedades da Auditoria, marque as opções desejadas, conforme abaixo:
6. Clique em OK, e feche o Editor de GPO

 Para aplicar as configurações imediatamente no computador, abra o Prompt de Comando e digite o comando"gpupdate /force"

 Agora, todas as tentativas de acesso serão rastreadas no log de segurança do Visualizador de Eventos. Se você quiser verificar quem excluiu determinado diretório, abra o Visualizador de Eventos em Logs do Windows na parte de Segurança. Procure o evento com número de identificação 4663, conforme mostrado abaixo.
Espero ter ajudado!

6 comentários:

  1. Unknown16 de dezembro de 2013 10:30

    Eu consigo apontar esses logs para outro servidor? por exemplo, um servidor próprio de logs?
    Necessito realizar esta operação.

    ResponderExcluir
    Respostas
    1. Danilo M Monteiro17 de dezembro de 2013 21:31

      Olá Rafael,

      Por padrão os logs poderão ser visualizados no Event Viewer do seu Controlador de Domínio, nada lhe impede de encaminhar esses logs para um servidor coletor de eventos, seria até uma boa prática. Ainda não tenho nenhum Post aqui no Blog sobre esse assunto, mas você pode saber mais nesse link no site do Technet.

      http://technet.microsoft.com/pt-br/library/cc748890.aspx

      Nos livros de preparação para o exame 70-642 "Windows Server 2008 - Infraestrutura de Rede" também é abordado esse assunto.

      Espero ter ajudado!

      Excluir
  2. Unknown31 de julho de 2014 11:25

    muito bom esse tutorial me ajudou bastante

    ResponderExcluir
  3. Unknown24 de abril de 2015 13:49

    nao consigo visualiza logs de dias e mes anterior

    ResponderExcluir
  4. Unknown21 de agosto de 2015 15:40

    Este comentário foi removido pelo autor.

    ResponderExcluir
  5. Unknown21 de agosto de 2015 15:41

    Olá! Marquei na auditoria dos diretórios apenas eventos de falha e êxito na exclusão da pasta inteira e de subpastas e arquivos. Queria ter log apenas destes eventos, que é o 4663 (Windows Server 2008 R2) Mas tenho MUITOS logs 5145, pelo que li é um log que mostra se o usuário tem acesso a determinado arquivo ou não... Poderia me dizer como faço para ter apenas os logs referentes a exclusão dos arquivos? Obrigado, um abraço! Hiuri.

    ResponderExcluir