Usando auditoria do Windows Server 2008 R2

A auditoria do Windows Server 2008 R2 é um recurso muito importante onde podemos auditar acesso a objetos, logons, gerenciamento de contas, uso de privilégios e muitos outros.

Para exemplificar, vamos imaginar que queremos verificar qual usuário está tentando se logar usando a conta de outros usuário, ou então queremos verificar que deletou um arquivo na pasta X.

Para verificar quem deletou o arquivo Y na pasta X, vamos aos passos:

1) Clique com o botão direito do mouse sobre a pasta > selecione Propriedados

clip_image002

2) Clique na Guia Segurança > em seguida clique no botão Avançadas

clip_image004

3) Clique na Guia Auditoria > clique em Editar e coloque o Grupo ou usuários que desejar auditar.

clip_image006

clip_image008

4) Marque êxito e Falha

clip_image010

5) Acesse as Ferramentas Administrativas > Gerenciamento de Diretiva de Grupo

clip_image011

6) Crie um GPO > Clique em Editar

clip_image013

7) Acesse Configurações do Computador> Diretivas > Configurações do Windows > Configurações de Segurança > Diretivas locais > Diretiva de auditoria

clip_image015

8) Dê um duplo clique sobre Auditoria de acesso a objetos

clip_image016

clip_image018

9) Selecione Êxito e Falha

10) Acesse Ferramentas Administrativas > Visualizador de Eventos

clip_image020

11) Clique em Localizar > digite DELETE que ele irá procurar todos os eventos que contenham DELETE. Outra dica é o ID do evento que é o 4663.

clip_image022

12) Observe que o usuário Ana > acessou a pasta Office 2010 Beta e deletou a pasta Paraguai as 19:35 horas

clip_image024

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

5 + treze =