3. Auditoria
• Windows Server 2003 (Nas versões anteriores do Windows, as informações
obtidas na auditoria de acesso a objetos não eram tão detalhadas como são, agora, na
auditoria com base em operações.)
• A auditoria permite que você faça a auditoria das
operações em arquivos e pastas.
• A auditoria pode serem feitas em certas operações, como
a gravação e acesso a objetos.
• A auditoria é habilitada quando a auditoria de acesso a
objetos está ativada em um arquivo ou pasta.
• Os eventos de acesso a objetos são registrados, junto
com operações como a Gravação, no log de segurança.
4. Auditoria
• Para ativar a auditoria baseada em operações, é
necessário:
• Habilitar a configuração de diretiva Auditoria de acesso a
objetos.
• Aplicar uma diretiva de auditoria a uma pasta específica.
6. Auditoria – MODO 1
Clique com o botão direito do mouse sobre a pasta com arquivos
Escolha a aba segurança
Opção Avançadas
Selecionar aba auditoria
Selecionar opção editar
Em adicionar... selecione os usuários
Após selecionar os usuários, marque quais serão as entradas
que serão registradas em log.
Definições:
• Acesso: Êxito
• Gera um log, com informações do usuário e arquivo deletado.
• Acesso: Falha
• Gera um log, com informações do usuário com a tentativa de excluir um
arquivo.
7. Auditoria – MODO 1
• Agora você pode observar nos arquivos que a auditoria
está habilitada, e pode visualizar se qualquer um usuário
excluir os arquivos salvo.
• Para visualizar os registros dos arquivos deletados você
irá no visualizador de eventos.
• No visualizador: Logs do Windows => Segurança.
8. Auditoria
• PRONTO, já posso ficar despreocupado? NÃO
• Há muitas pessoas que faz o passo que fizemos anteriormente
pensando que a auditoria já foi habilitada, mais apenas isso não irá
funcionar, pois é preciso habilitar a auditoria de acesso à
objetos.
• Você pode atribuir habilitar a auditoria de acesso à
objetos por meio de diretivas.
• Porém há um erro que muitos cometem ao atribuir a diretiva do
domínio local.
• Qual o problema disso? Se você atribuir a diretiva no domínio
local, TODAS AS MÁQUINAS da rede vão atribuir essa diretiva
local também. Isso funcionará, mas você ficará pegando registros
de arquivos deletados da rede, então, se um usuário deletar um
arquivo de sua área de trabalho, irá registrar.
9. Auditoria
• O interessante a se fazer é atribuir a diretiva apenas ao
servidor de arquivos. Talvez isso é a necessidade maior
da empresa.
• Então o ideal é:
• Criar uma OU para o Servidor de Arquivos
• Abrir o GPMC.msc e criar a diretiva para a Unidade Organizacional
Servidor de Arquivos. Desse modo é mais indicado quando se tem
vários servidores de arquivos. Assim, você irá atribuir de uma só
vez a diretiva a todos.
• Caso tenha só um servidor, você pode habilitar a Auditoria de
Acesso a Objetos Localmente e manualmente no próprio Servidor
de Arquivos. Vamos esse passo à passo agora.
11. Habilitando a Auditoria
• No gpedit.msc acesse:
Configurações do Computador
Configurações do Windows
Configurações de Segurança
Diretivas Locais
Diretiva de Auditoria
• Observe que as
auditorias estão
Desabilitadas
(Sem auditoria).
12. Habilitando a Auditoria
• Selecione a Auditoria de acesso a objetos.
• OBS: Pastas e arquivos são considerados objetos
• Selecione a opção Êxito.
• Clique em OK.
• Observe que agora a auditoria
Está habilitada.
Agora você já pode ir no
visualizador de eventos, e
visualizar o registro de um
arquivos excluído, para isso
exclua um arquivo.
13. Visualizando os registros
• No visualizador acesse:
Logs do Windows
Segurança
• OBSERVE, que não foi fácil localizar o registro, por isso,
o ideal é criar um Modo de Exibição Personalizado.
14. Modo de Exibição Personalizado
• No visualizador:
• Clique com o botão direito sobre Modos de Exibição
Personalizado => Criar Modo de exibição personalizado.
• Selecione a opção Por log e escolha a opção segurança em logs
de Eventos
• Indique também o ID do evento.
Tente localizar qual foi o evento
De exclusão, e verifique e ID.
OBS. As vezes pode demorar
aparecer um log, você pode usar o
comando gpupdate /force para
atualizar os logs
15. Modo de Exibição Personalizado
• Após achar o ID, adicione um nome a nova exibição de
eventos e ok.