Saiba como habilitar a auditoria do

Windows Server para descobrir quem anda

apagando os seus arquivos

Trabalho em uma empresa de segurana da informao e vez por outra me deparo
com casos em que dados de um servidor de arquivos simplesmente somem. Nunca
aparece um culpado e se no fosse o backup nossos clientes teriam srios problemas.
Ter backup bom, mas descobrir quem fez a maldade de deletar os arquivos melhor
ainda. Como diria o ditado bom matar a cobra e mostrar o pau. No post de hoje
aprenderemos a ativar a auditoria de arquivos no Windows Server a fim de verificar
quem removeu acidentalmente ou no os arquivos do nosso servidor. bem
simples, vamos l?
J faz algum tempo que o Windows Server oferece o recurso de auditoria de objetos.
Este recurso, atravs de logs, permite ao administrador do servidor verificar se um
objeto foi criado em determinada pasta, se ele foi modificado, lido ou mesmo
removido. No mesmo arquivo de log constam outras informaes de grande valia
como o usurio que deletou o arquivo, o horrio, a estao em que o usurio estava
logado caso fosse uma pasta remota e outras firulas mais.
Pois bem, para ativar esta auditoria e estar munido para correr atrs de algum
quando o bicho pegar, voc precisa fazer duas coisas: ativar a auditoria via GPO e
configurar a auditoria na pasta ou partio que voc deseja auditar.
A auditoria dever ser ativada via GPO no computador onde os arquivos a serem
auditados estaro. Por exemplo, se os arquivos esto em uma partio do servidor
A, voc ativar a auditoria atravs de GPO no servidor A. Se voc quer ativar a
auditoria no computador do presidente da empresa, voc precisar configurar uma
GPO ativando a auditoria e aplic-la ao computador do presidente. Para aplicar
somente a um computador interessante aplicar um filtro de segurana na GPO,
conforme j explicamos em um outro post, ou criar uma unidade organizacional
somente para este PC. Entendido? A diretiva que voc precisar alterar para ativar a
auditoria est em Configuraes de Computador > Diretivas > Configuraes
do Windows > Configuraes de Segurana > Diretivas Locais > Diretiva de
Auditoria > Auditoria de acesso a objetos. Na imagem abaixo voc pode notar
duas opes: Sucesso e Falha. Se voc escolher sucesso, auditar as excluses de
arquivos/pastas que tiveram xito. Se escolher falha, auditar as tentativas
fracassadas de excluso. Voc poder escolher ambas simultaneamente, inclusive,
mas para o nosso propsito escolha Sucesso. Pronto, a GPO foi configurada. Agora,
no servidor onde ela ser aplicada d um gpupdate. Vamos para o segundo passo.

Agora preciso escolher as pastas ou parties que voc deseja monitorar. No nosso
exemplo utilizaremos C:Financeiro. Clicamos com o boto direito sobre ela,
escolhemos a opo Propriedades, em seguida fomos aba Segurana e depois
clicamos no boto Avanadas. Uma nova janela se abrir e voc ver a aba Auditoria,
clique nela e em seguida em Editar. Uma terceira janela se abrir e l onde voc
vai adicionar que grupos ou usurios devem ter as suas aes monitoradas. Para isso
clique em Adicionar e insira o grupo Todos, para que todos os usurios tenham suas
aes de deleo de arquivos monitoradas naquela pasta e marque as opes
Excluir e Excluir Subpastas e arquivos. Observe que possvel auditar vrias outras
aes s marcar, mas para o nosso proposito essas duas so o bastante. Sua
configurao dever ficar idntica imagem abaixo:


Pronto. Agora hora de realizar um teste para ver se tudo est funcionando. Para
tanto, vou criar um arquivo e uma pasta chamada Nova Pasta dentro de C:Financeiro,
delet-la logo em seguida ir at o Visualizador de Eventos. Os logs auditoria
encontram-se em Logs do Windows > Segurana. L voc clicar na opo Filtrar Log
Atual e definir que somente os logs com ID 4663 devero ser exibidos, conforme a
imagem abaixo:


D um OK e agora voc s visualizar os logs de remoo de arquivos. Nas imagens
abaixo podemos ver o log que surgiu quando eu removi a pasta C:FinanceiroNova
pasta com o usurio administrador. Note os detalhes que constam no log: