Auditoria - Como saber quem apagou ou fez alterações nos arquivos.

Para identificar quem está apagando os arquivos em uma pasta da rede, precisamos ativar a auditoria no servidor.

Como ativar o recurso de auditoria no servidor, neste caso, no Windows Server 2008 R2.

1 – No servidor de arquivos:

  • Clicar com botão direito na partição a ser auditada e depois em “Propriedades”
  • Selecione a aba “Segurança” e então clique em “Avançadas”
  • Selecione a aba “Auditoria”
  • Clique em “Editar” e na nova janela em “Adicionar”
  • Escolha para quais usuários a auditoria deverá funcionar. Geralmente é selecionado o grupo padrão “Usuários Autenticados” ou “Usuários do Domínio”
  • Quando o grupo for selecionado, abrirá a caixa de opções de auditoria. Nesta etapa, escolhi fazer auditoria apenas para eventos de exclusão dos arquivos que são concluídas com “Êxito”. Caso precise registrar também as tentativas de exclusão que falharam, por conta das configurações de restrição de acesso, marque também “Falha”.

 

 

2 – Habilitar Auditoria via Editor de Diretivas:

  • Execute gpedit.msc
  • Configurações do Computador > Configurações do Windows > Configurações de Segurança > Diretivas Locais > Diretiva de Auditoria
  • Abra a opção Auditoria de Acesso a Objetos
  • Particularmente, utilizo apenas a opção Êxito, registrando assim apenas os arquivos excluídos. Caso precise registrar também as tentativas de exclusão que falharam por conta das configurações de restrição de acesso, marque também

3 – Como visualizar o log da auditoria

Agora sim já podemos auditar os arquivos excluídos. Para isso, acesse o Visualizador de Eventos através das Ferramentas Administrativas ou executando o comando eventvwr e navegue até Logs do Windows > Segurança. Neste local, poderemos verificar TODA a auditoria de segurança feita no servidor e nos eventos de exclusão de arquivos poderemos saber “Quem deletou”, “Quando deletou” e “O que deletou”. Porém, não é exatamente isso que queremos, já que existem diversos eventos de segurança misturados e teremos dificuldade de encontrar os eventos em questão.

4 – Para ter uma visualização melhor, apenas com os eventos da auditoria de exclusão, devemos criar um filtro

Antes da criação do filtro, realize algumas exclusões de arquivos de teste e busque pelo evento no visualizador. Para isso, pode realizar busca pelo nome do arquivo utilizando a opção localizar. À medida que for encontrando os eventos relacionados à exclusão (Repare na linha Acessos: DELETE ), anote o ID do evento.

Aqui, um dos IDS dos eventos de exclusão foi identificado por 4663:

 

Agora, prosseguiremos com a criação do filtro:

  • Ainda em Logs do Windows > Segurança, clique em Criar Modo de Exibição Personalizado, localizado ao lado direito da janela
  • Onde temos a frase “Todas as identificações de evento”, clique e escreva os IDs, anotados anteriormente, separados por vírgula
  • Clique em OK e, na janela que abrirá, escreva o nome e onde o filtro ficará disponível

Os eventos gravados são de apenas 2 ou 3 dias atrás. Algumas vezes, uma auditoria é necessária para um evento ocorrido uma ou duas semanas passadas, porém, a configuração padrão do Windows para a quantidade de eventos registrados é bem pequena e pode ocorrer de você não encontrar a informação que busca. Isso é configurável, veja abaixo como resolver isso:

  • Ainda em Logs do Windows > Segurança, clique com o botão direito em Segurança e clique em Propriedades
  • Repare e altere como desejar, as opções “Tamanho Máximo do Log (KB)” e a ação para “Quando o Tamanho máximo do log de eventos é atingido”.

Tudo Pronto. 

 


Essa resposta te ajudou?

Categorias

Mais visualizados