auditoria em arquivos - microsoft windows server 2008

Download Auditoria em Arquivos - Microsoft Windows server 2008

Post on 21-Jun-2015

569 views

Category:

Software

2 download

Embed Size (px)

DESCRIPTION

Auditoria em Arquivos - Microsoft Windows server 2008

TRANSCRIPT

  • 1. AUDITORIA EM ARQUIVOS MICROSOFT WINDOWS SERVER 2008 Joeldson Costa Damasceno

2. Deletaram meus arquivos, d pra saber quem foi? TEM Habilitar a auditoria de pastas e arquivos 3. Auditoria Windows Server 2003 (Nas verses anteriores do Windows, as informaes obtidas na auditoria de acesso a objetos no eram to detalhadas como so, agora, na auditoria com base em operaes.) A auditoria permite que voc faa a auditoria das operaes em arquivos e pastas. A auditoria pode serem feitas em certas operaes, como a gravao e acesso a objetos. A auditoria habilitada quando a auditoria de acesso a objetos est ativada em um arquivo ou pasta. Os eventos de acesso a objetos so registrados, junto com operaes como a Gravao, no log de segurana. 4. Auditoria Para ativar a auditoria baseada em operaes, necessrio: Habilitar a configurao de diretiva Auditoria de acesso a objetos. Aplicar uma diretiva de auditoria a uma pasta especfica. 5. Auditoria Crie uma pasta no disco local com alguns arquivos para simulaes. 6. Auditoria MODO 1 Clique com o boto direito do mouse sobre a pasta com arquivos Escolha a aba segurana Opo Avanadas Selecionar aba auditoria Selecionar opo editar Em adicionar... selecione os usurios Aps selecionar os usurios, marque quais sero as entradas que sero registradas em log. Definies: Acesso: xito Gera um log, com informaes do usurio e arquivo deletado. Acesso: Falha Gera um log, com informaes do usurio com a tentativa de excluir um arquivo. 7. Auditoria MODO 1 Agora voc pode observar nos arquivos que a auditoria est habilitada, e pode visualizar se qualquer um usurio excluir os arquivos salvo. Para visualizar os registros dos arquivos deletados voc ir no visualizador de eventos. No visualizador: Logs do Windows => Segurana. 8. Auditoria PRONTO, j posso ficar despreocupado? NO H muitas pessoas que faz o passo que fizemos anteriormente pensando que a auditoria j foi habilitada, mais apenas isso no ir funcionar, pois preciso habilitar a auditoria de acesso objetos. Voc pode atribuir habilitar a auditoria de acesso objetos por meio de diretivas. Porm h um erro que muitos cometem ao atribuir a diretiva do domnio local. Qual o problema disso? Se voc atribuir a diretiva no domnio local, TODAS AS MQUINAS da rede vo atribuir essa diretiva local tambm. Isso funcionar, mas voc ficar pegando registros de arquivos deletados da rede, ento, se um usurio deletar um arquivo de sua rea de trabalho, ir registrar. 9. Auditoria O interessante a se fazer atribuir a diretiva apenas ao servidor de arquivos. Talvez isso a necessidade maior da empresa. Ento o ideal : Criar uma OU para o Servidor de Arquivos Abrir o GPMC.msc e criar a diretiva para a Unidade Organizacional Servidor de Arquivos. Desse modo mais indicado quando se tem vrios servidores de arquivos. Assim, voc ir atribuir de uma s vez a diretiva a todos. Caso tenha s um servidor, voc pode habilitar a Auditoria de Acesso a Objetos Localmente e manualmente no prprio Servidor de Arquivos. Vamos esse passo passo agora. 10. Habilitando a Auditoria No seu servidor de arquivos, abra o gpedit.mcs. 11. Habilitando a Auditoria No gpedit.msc acesse: Configuraes do Computador Configuraes do Windows Configuraes de Segurana Diretivas Locais Diretiva de Auditoria Observe que as auditorias esto Desabilitadas (Sem auditoria). 12. Habilitando a Auditoria Selecione a Auditoria de acesso a objetos. OBS: Pastas e arquivos so considerados objetos Selecione a opo xito. Clique em OK. Observe que agora a auditoria Est habilitada. Agora voc j pode ir no visualizador de eventos, e visualizar o registro de um arquivos excludo, para isso exclua um arquivo. 13. Visualizando os registros No visualizador acesse: Logs do Windows Segurana OBSERVE, que no foi fcil localizar o registro, por isso, o ideal criar um Modo de Exibio Personalizado. 14. Modo de Exibio Personalizado No visualizador: Clique com o boto direito sobre Modos de Exibio Personalizado => Criar Modo de exibio personalizado. Selecione a opo Por log e escolha a opo segurana em logs de Eventos Indique tambm o ID do evento. Tente localizar qual foi o evento De excluso, e verifique e ID. OBS. As vezes pode demorar aparecer um log, voc pode usar o comando gpupdate /force para atualizar os logs 15. Modo de Exibio Personalizado Aps achar o ID, adicione um nome a nova exibio de eventos e ok. 16. Referncias http://technet.microsoft.com/pt- br/library/cc738931%28v=ws.10%29.aspx