O documento descreve como habilitar a auditoria de arquivos e pastas no Windows Server 2008 para registrar quem exclui arquivos. Ele explica como definir as configurações de auditoria em uma pasta específica e no nível do servidor, e visualizar os registros de auditoria no Visualizador de Eventos do Windows.

1. AUDITORIA EM ARQUIVOS
MICROSOFT WINDOWS SERVER 2008
Joeldson Costa Damasceno

2. Deletaram meus arquivos, dá pra saber quem foi?
TEM
Habilitar a auditoria de pastas e arquivos

3. Auditoria
• Windows Server 2003 (Nas versões anteriores do Windows, as informações
obtidas na auditoria de acesso a objetos não eram tão detalhadas como são, agora, na
auditoria com base em operações.)
• A auditoria permite que você faça a auditoria das
operações em arquivos e pastas.
• A auditoria pode serem feitas em certas operações, como
a gravação e acesso a objetos.
• A auditoria é habilitada quando a auditoria de acesso a
objetos está ativada em um arquivo ou pasta.
• Os eventos de acesso a objetos são registrados, junto
com operações como a Gravação, no log de segurança.

4. Auditoria
• Para ativar a auditoria baseada em operações, é
necessário:
• Habilitar a configuração de diretiva Auditoria de acesso a
objetos.
• Aplicar uma diretiva de auditoria a uma pasta específica.

5. Auditoria
• Crie uma pasta no disco local com alguns arquivos para
simulações.

6. Auditoria – MODO 1
Clique com o botão direito do mouse sobre a pasta com arquivos
Escolha a aba segurança
Opção Avançadas
Selecionar aba auditoria
Selecionar opção editar
Em adicionar... selecione os usuários
Após selecionar os usuários, marque quais serão as entradas
que serão registradas em log.
Definições:
• Acesso: Êxito
• Gera um log, com informações do usuário e arquivo deletado.
• Acesso: Falha
• Gera um log, com informações do usuário com a tentativa de excluir um
arquivo.

7. Auditoria – MODO 1
• Agora você pode observar nos arquivos que a auditoria
está habilitada, e pode visualizar se qualquer um usuário
excluir os arquivos salvo.
• Para visualizar os registros dos arquivos deletados você
irá no visualizador de eventos.
• No visualizador: Logs do Windows => Segurança.

8. Auditoria
• PRONTO, já posso ficar despreocupado? NÃO
• Há muitas pessoas que faz o passo que fizemos anteriormente
pensando que a auditoria já foi habilitada, mais apenas isso não irá
funcionar, pois é preciso habilitar a auditoria de acesso à
objetos.
• Você pode atribuir habilitar a auditoria de acesso à
objetos por meio de diretivas.
• Porém há um erro que muitos cometem ao atribuir a diretiva do
domínio local.
• Qual o problema disso? Se você atribuir a diretiva no domínio
local, TODAS AS MÁQUINAS da rede vão atribuir essa diretiva
local também. Isso funcionará, mas você ficará pegando registros
de arquivos deletados da rede, então, se um usuário deletar um
arquivo de sua área de trabalho, irá registrar.

9. Auditoria
• O interessante a se fazer é atribuir a diretiva apenas ao
servidor de arquivos. Talvez isso é a necessidade maior
da empresa.
• Então o ideal é:
• Criar uma OU para o Servidor de Arquivos
• Abrir o GPMC.msc e criar a diretiva para a Unidade Organizacional
Servidor de Arquivos. Desse modo é mais indicado quando se tem
vários servidores de arquivos. Assim, você irá atribuir de uma só
vez a diretiva a todos.
• Caso tenha só um servidor, você pode habilitar a Auditoria de
Acesso a Objetos Localmente e manualmente no próprio Servidor
de Arquivos. Vamos esse passo à passo agora.

10. Habilitando a Auditoria
• No seu servidor de arquivos, abra o gpedit.mcs.

11. Habilitando a Auditoria
• No gpedit.msc acesse:
Configurações do Computador
Configurações do Windows
Configurações de Segurança
Diretivas Locais
Diretiva de Auditoria
• Observe que as
auditorias estão
Desabilitadas
(Sem auditoria).

12. Habilitando a Auditoria
• Selecione a Auditoria de acesso a objetos.
• OBS: Pastas e arquivos são considerados objetos
• Selecione a opção Êxito.
• Clique em OK.
• Observe que agora a auditoria
Está habilitada.
Agora você já pode ir no
visualizador de eventos, e
visualizar o registro de um
arquivos excluído, para isso
exclua um arquivo.

13. Visualizando os registros
• No visualizador acesse:
Logs do Windows
Segurança
• OBSERVE, que não foi fácil localizar o registro, por isso,
o ideal é criar um Modo de Exibição Personalizado.

14. Modo de Exibição Personalizado
• No visualizador:
• Clique com o botão direito sobre Modos de Exibição
Personalizado => Criar Modo de exibição personalizado.
• Selecione a opção Por log e escolha a opção segurança em logs
de Eventos
• Indique também o ID do evento.
Tente localizar qual foi o evento
De exclusão, e verifique e ID.
OBS. As vezes pode demorar
aparecer um log, você pode usar o
comando gpupdate /force para
atualizar os logs

15. Modo de Exibição Personalizado
• Após achar o ID, adicione um nome a nova exibição de
eventos e ok.

16. Referências
• http://technet.microsoft.com/pt-
br/library/cc738931%28v=ws.10%29.aspx