Trabalho em uma empresa de segurana da informao e vez por outra me deparo com casos em que dados de um servidor de arquivos simplesmente somem. Nunca aparece um culpado e se no fosse o backup nossos clientes teriam srios problemas. Ter backup bom, mas descobrir quem fez a maldade de deletar os arquivos melhor ainda. Como diria o ditado bom matar a cobra e mostrar o pau. No post de hoje aprenderemos a ativar a auditoria de arquivos no Windows Server a fim de verificar quem removeu acidentalmente ou no os arquivos do nosso servidor. bem simples, vamos l? J faz algum tempo que o Windows Server oferece o recurso de auditoria de objetos. Este recurso, atravs de logs, permite ao administrador do servidor verificar se um objeto foi criado em determinada pasta, se ele foi modificado, lido ou mesmo removido. No mesmo arquivo de log constam outras informaes de grande valia como o usurio que deletou o arquivo, o horrio, a estao em que o usurio estava logado caso fosse uma pasta remota e outras firulas mais. Pois bem, para ativar esta auditoria e estar munido para correr atrs de algum quando o bicho pegar, voc precisa fazer duas coisas: ativar a auditoria via GPO e configurar a auditoria na pasta ou partio que voc deseja auditar. A auditoria dever ser ativada via GPO no computador onde os arquivos a serem auditados estaro. Por exemplo, se os arquivos esto em uma partio do servidor A, voc ativar a auditoria atravs de GPO no servidor A. Se voc quer ativar a auditoria no computador do presidente da empresa, voc precisar configurar uma GPO ativando a auditoria e aplic-la ao computador do presidente. Para aplicar somente a um computador interessante aplicar um filtro de segurana na GPO, conforme j explicamos em um outro post, ou criar uma unidade organizacional somente para este PC. Entendido? A diretiva que voc precisar alterar para ativar a auditoria est em Configuraes de Computador > Diretivas > Configuraes do Windows > Configuraes de Segurana > Diretivas Locais > Diretiva de Auditoria > Auditoria de acesso a objetos. Na imagem abaixo voc pode notar duas opes: Sucesso e Falha. Se voc escolher sucesso, auditar as excluses de arquivos/pastas que tiveram xito. Se escolher falha, auditar as tentativas fracassadas de excluso. Voc poder escolher ambas simultaneamente, inclusive, mas para o nosso propsito escolha Sucesso. Pronto, a GPO foi configurada. Agora, no servidor onde ela ser aplicada d um gpupdate. Vamos para o segundo passo.
Agora preciso escolher as pastas ou parties que voc deseja monitorar. No nosso exemplo utilizaremos C:Financeiro. Clicamos com o boto direito sobre ela, escolhemos a opo Propriedades, em seguida fomos aba Segurana e depois clicamos no boto Avanadas. Uma nova janela se abrir e voc ver a aba Auditoria, clique nela e em seguida em Editar. Uma terceira janela se abrir e l onde voc vai adicionar que grupos ou usurios devem ter as suas aes monitoradas. Para isso clique em Adicionar e insira o grupo Todos, para que todos os usurios tenham suas aes de deleo de arquivos monitoradas naquela pasta e marque as opes Excluir e Excluir Subpastas e arquivos. Observe que possvel auditar vrias outras aes s marcar, mas para o nosso proposito essas duas so o bastante. Sua configurao dever ficar idntica imagem abaixo:
Pronto. Agora hora de realizar um teste para ver se tudo est funcionando. Para tanto, vou criar um arquivo e uma pasta chamada Nova Pasta dentro de C:Financeiro, delet-la logo em seguida ir at o Visualizador de Eventos. Os logs auditoria encontram-se em Logs do Windows > Segurana. L voc clicar na opo Filtrar Log Atual e definir que somente os logs com ID 4663 devero ser exibidos, conforme a imagem abaixo:
D um OK e agora voc s visualizar os logs de remoo de arquivos. Nas imagens abaixo podemos ver o log que surgiu quando eu removi a pasta C:FinanceiroNova pasta com o usurio administrador. Note os detalhes que constam no log: