AUDITORIA EM ARQUIVOSMICROSOFT WINDOWS SERVER 2008
Joeldson Costa Damasceno
Deletaram meus arquivos, dá pra saber quem foi?
TEM
Habilitar a auditoria de pastas e arquivos
Auditoria• Windows Server 2003 (Nas versões anteriores do Windows, as informações
obtidas na auditoria de acesso a objetos não eram tão detalhadas como são, agora, na
auditoria com base em operações.)• A auditoria permite que você faça a auditoria das
operações em arquivos e pastas.• A auditoria pode serem feitas em certas operações, como
a gravação e acesso a objetos.• A auditoria é habilitada quando a auditoria de acesso a
objetos está ativada em um arquivo ou pasta. • Os eventos de acesso a objetos são registrados, junto
com operações como a Gravação, no log de segurança.
Auditoria• Para ativar a auditoria baseada em operações, é
necessário:• Habilitar a configuração de diretiva Auditoria de acesso a
objetos.• Aplicar uma diretiva de auditoria a uma pasta específica.
Auditoria• Crie uma pasta no disco local com alguns arquivos para
simulações.
Auditoria – MODO 1Clique com o botão direito do mouse sobre a pasta com arquivos
Escolha a aba segurançaOpção Avançadas
Selecionar aba auditoriaSelecionar opção editarEm adicionar... selecione os usuários
Após selecionar os usuários, marque quais serão as entradas que serão registradas em log.
Definições:• Acesso: Êxito
• Gera um log, com informações do usuário e arquivo deletado.
• Acesso: Falha• Gera um log, com informações do usuário com a tentativa de excluir um
arquivo.
Auditoria – MODO 1• Agora você pode observar nos arquivos que a auditoria
está habilitada, e pode visualizar se qualquer um usuário excluir os arquivos salvo.
• Para visualizar os registros dos arquivos deletados você irá no visualizador de eventos.• No visualizador: Logs do Windows => Segurança.
Auditoria• PRONTO, já posso ficar despreocupado? NÃO
• Há muitas pessoas que faz o passo que fizemos anteriormente pensando que a auditoria já foi habilitada, mais apenas isso não irá funcionar, pois é preciso habilitar a auditoria de acesso à objetos.
• Você pode atribuir habilitar a auditoria de acesso à objetos por meio de diretivas.• Porém há um erro que muitos cometem ao atribuir a diretiva do
domínio local.• Qual o problema disso? Se você atribuir a diretiva no domínio
local, TODAS AS MÁQUINAS da rede vão atribuir essa diretiva local também. Isso funcionará, mas você ficará pegando registros de arquivos deletados da rede, então, se um usuário deletar um arquivo de sua área de trabalho, irá registrar.
Auditoria• O interessante a se fazer é atribuir a diretiva apenas ao
servidor de arquivos. Talvez isso é a necessidade maior da empresa.
• Então o ideal é:• Criar uma OU para o Servidor de Arquivos• Abrir o GPMC.msc e criar a diretiva para a Unidade Organizacional
Servidor de Arquivos. Desse modo é mais indicado quando se tem vários servidores de arquivos. Assim, você irá atribuir de uma só vez a diretiva a todos.
• Caso tenha só um servidor, você pode habilitar a Auditoria de Acesso a Objetos Localmente e manualmente no próprio Servidor de Arquivos. Vamos esse passo à passo agora.
Habilitando a Auditoria• No seu servidor de arquivos, abra o gpedit.mcs.
Habilitando a Auditoria• No gpedit.msc acesse:Configurações do Computador
Configurações do WindowsConfigurações de Segurança
Diretivas LocaisDiretiva de Auditoria
• Observe que as
auditorias estão
Desabilitadas
(Sem auditoria).
Habilitando a Auditoria• Selecione a Auditoria de acesso a objetos.
• OBS: Pastas e arquivos são considerados objetos
• Selecione a opção Êxito.• Clique em OK.• Observe que agora a auditoria
Está habilitada.
Agora você já pode ir no visualizador de eventos, e visualizar o registro de um arquivos excluído, para isso exclua um arquivo.
Visualizando os registros• No visualizador acesse:
Logs do WindowsSegurança
• OBSERVE, que não foi fácil localizar o registro, por isso, o ideal é criar um Modo de Exibição Personalizado.
Modo de Exibição Personalizado• No visualizador:
• Clique com o botão direito sobre Modos de Exibição Personalizado => Criar Modo de exibição personalizado.
• Selecione a opção Por log e escolha a opção segurança em logs de Eventos
• Indique também o ID do evento.
Tente localizar qual foi o eventoDe exclusão, e verifique e ID.OBS. As vezes pode demorar aparecer um log, você pode usar o comando gpupdate /force para atualizar os logs
Modo de Exibição Personalizado• Após achar o ID, adicione um nome a nova exibição de
eventos e ok.
Referências• http://technet.microsoft.com/pt-br/library/
cc738931%28v=ws.10%29.aspx
