Páginas

Auditoria de arquivos - Windows Server 2008

A auditoria de arquivos é uma solução muito boa em situações em que algum arquivo do seu File Server foi excluido por acidente (ou não), onde você irá poder descobrir quem foi o usuário repsonsável pela ação.
Para habilitar a auditoria no Windows Server 2008, faça o seguinte:

1 - No servidor de arquivos clique com botão direito na partição a ser auditada e depois em “Propriedades”
2 -Selecione a aba “Segurança” e então clique em “Avançadas”
3 - Selecione a aba “Auditoria”
4 - Clique em “Editar” e na nova janela em “Adicionar”
5 - Escolha para quais usuários a auditoria deverá funcionar. Geralmente é selecionado o grupo padrão “Usuários Autenticados
6 - Quando o grupo for selecionado, abrirá a caixa de opções de auditoria. Nesta etapa, escolhi fazer auditoria apenas para eventos de exclusão dos arquivos que são concluídas com “Êxito”. Caso precise registrar também as tentativas de exclusão que falharam, por conta das configurações de restrição de acesso, marque também “Falha”.
config_audit_exclusao
Após executar os passos anteriores execute o gpedit.msc e faça o seguinte:

- Configurações do Computador > Configurações do Windows > Configurações de Segurança > Diretivas Locais > Diretiva de Auditoria
- Abra a opção Auditoria de Acesso a Objetos
- Marque a opção Êxito que registra apenas os arquivos excluídos.

Feito isso os arquivos já podem ser auditados. Para visualizar acesse o Visualizador de Eventos através das Ferramentas Administrativas e navegue até Logs do Windows > Segurança. É no Visualizador de Eventos que iremos verificar quem excluiu determinado arquivo e quando. Mas para isso é necessário aplicar um filtro.

Antes de criar o filtro, exclua alguns arquivos para testar se o evento está sendo registrado. Após realize uma busca pelo nome do arquivo utilizando a opção localizar. Verifique se o Acesso está como DELETE.
Normalmente o ID dos eventos de exclusão é identificado por 4663:
DI_evento_audit 


Para criar o filtro:
  • Ainda em Logs do Windows > Segurança, clique em Criar Modo de Exibição Personalizado, localizado ao lado direito da janela
  • Onde temos a frase “Todas as identificações de evento”, clique e escreva os IDs, anotados anteriormente, separados por vírgula
  • Clique em OK e, na janela que abrirá, escreva o nome e onde o filtro ficará disponível
DICA 1: A ID 4663 identifica outros eventos além de exclusão, quando for necessário buscar algum evento clique no filtro criado e após clica em Localizar... pesquise pela palavra DELETE, asism só serão exibidos eventos com o tipo de acesso DELETE.

DICA 2: Por padrão o tamanho de aramazenamento de eventos do Windows Server é baixo, para mudar faça o seguinte:
  • Em Logs do Windows > Segurança, clique com o botão direito em Segurança e clique em Propriedades
  • Altere como desejar, as opções “Tamanho Máximo do Log (KB)” e a ação para “Quando o Tamanho máximo do log de eventos é atingido”.
Marcadores: , ,

Nenhum comentário:

Postar um comentário

Assinar: Postar comentários (Atom)