Ao criar a GPO v\u00e1 at\u00e9 a seguinte configura\u00e7\u00e3o:<\/strong> Computer Configuration (Configura\u00e7\u00e3o de Computador) > Policies (Politicas) > Windows Settings (Configura\u00e7\u00f5es do Windows) > Security Settings (Configura\u00e7\u00e3o de Seguran\u00e7a) > Local Policies (Politicas Locais) > Audit Policies (Politicas de Auditoria) e clique duas vezes em \u201cAudit Object Access\u201d (Auditoria de Acesso a Objetos).<\/p>\n Obs: A politica acima \u00e9 para ser criada no Windows Server 2008, no 2003 o caminho \u00e9 diferente:<\/em><\/p>\n Computer Configuration (Configura\u00e7\u00e3o de Computador) > Windows Settings (Configura\u00e7\u00f5es do Windows) > Security Settings (Configura\u00e7\u00e3o de Seguran\u00e7a) > Local Policies (Politicas Locais) > Audit Policies (Politicas de Auditoria) e clique duas vezes em \u201cAudit Object Access\u201d (Auditoria de Acesso a Objetos).<\/p>\n Na janela que aparecer marque as op\u00e7\u00f5es \u201cSuccess\u201d (Sucesso) e \u201cFailure\u201d (Falha), isso para termos a op\u00e7\u00e3o de selecionar as op\u00e7\u00f5es de falha e sucesso na auditoria, conforme a imagem abaixo:<\/p>\n Pronto j\u00e1 habilitamos o servidor para que ele possa realizar auditorias, mas ele n\u00e3o est\u00e1 auditando nada ainda, para isso precisamos definir o que ser\u00e1 auditado. No nosso caso queremos que ele audite os acessos indevidos a pastas e os arquivos apagados com sucesso. Clique na aba \u201cAuditing\u201d (Auditoria), aparecer\u00e1 uma tela perguntando se voc\u00ea est\u00e1 logado com um usu\u00e1rio com direitos administrativos e pergunta se quer continuar, ent\u00e3o clique em continue.<\/p>\n Obs: No Windows Server 2003, esse passo n\u00e3o existe.<\/em><\/p>\n Na tela seguinte clique em add (adicionar) para definir as regras da auditoria, ou seja, o que deve ser auditado.<\/p>\n A seguir aparecer\u00e1 uma tela pedindo qual usu\u00e1rio ser\u00e1 auditado. No nosso caso queremos que ele fa\u00e7a uma auditoria de todos os usu\u00e1rios, ent\u00e3o digite o \u201ceveryone\u201d (todos) e clique em \u201cCkeck Names\u201d (Checar nomes) e depois em OK<\/p>\n Ap\u00f3s, aparecer\u00e1 uma tela pedindo o que quer ser auditado. No nosso caso os arquivos que s\u00e3o deletados com sucesso e os arquivos com falha de leitura (sem acesso), ent\u00e3o marque a op\u00e7\u00e3o \u201cdelete\u201d na coluna \u201cSuccessfull\u201d (sucesso) e \u201cList Folder\/ Read Data\u201d (Listar Pasta \/ Ler Dados) na coluna \u201cFailed\u201d (Falha).<\/p>\n Dica: N\u00e3o marque todas as op\u00e7\u00f5es, pois a visualiza\u00e7\u00e3o da auditoria ficar\u00e1 comprometida, isso ser\u00e1 explicado mais a frente.<\/em><\/p>\n Pronto agora a auditoria j\u00e1 est\u00e1 habilitada e configurada, o pr\u00f3ximo passo \u00e9 visualizar.<\/p>\n Agora que o seu servidor est\u00e1 preparado para auditar, como podemos visualizar os dados que necessitamos? A ferramenta \u00e9 simples de usar e todos n\u00f3s conhecemos: o Event Viewer ou Visualizador de Eventos. Com ele basta ir nos logs de seguran\u00e7a (security) para verificar o que precisamos, por\u00e9m, \u00e9 uma tarefa dif\u00edcil verificar essas informa\u00e7\u00f5es por ele, por um simples motivo que mostrarei na imagem abaixo:<\/p>\n Notaram que ele gera in\u00fameras informa\u00e7\u00f5es? At\u00e9 voc\u00ea achar o que precisa, tendo que verificar entrada por entrada para descobrir o que quer, \u00e9 chato. Se voc\u00ea j\u00e1 sabe o que procura, voc\u00ea pode fazer um filtro e ele j\u00e1 te retorna os valores desejados. No nosso caso queremos descobrir quem deletou um arquivo e quem tentou acessar um arquivo n\u00e3o permitido.<\/p>\n Nota: Quando foi falado acima para n\u00e3o marcar todas as op\u00e7\u00f5es foi justamente por causa das in\u00fameras informa\u00e7\u00f5es que s\u00e3o gravadas nos logs, se caso deixasse tudo habilitado seu log ia estourar rapidamente.<\/em><\/p>\n Para verificar o arquivo deletado basta filtrar pelo evento 4663 e ele te informar\u00e1 quem deletou o arquivo e que horas, conforme imagem abaixo:<\/p>\n![\"\"](\"http:\/\/www.profissionaisti.com.br\/wp-content\/uploads\/2012\/04\/Defini\u00e7\u00e3oAuditoria1.png\" "\\"Defini\u00e7\u00e3oAuditoria\\"")
<\/a><\/p>\n
\nPara isso, logue com uma conta com direitos administrativos no servidor onde a auditoria foi habilitada, v\u00e1 at\u00e9 a pasta onde ela ser\u00e1 realizada e clique com o bot\u00e3o direito nela e depois em \u201cProperties\u201d (Propriedades) e ap\u00f3s na aba \u201cSecurity\u201d (Seguran\u00e7a), em seguida em Advanced (Avan\u00e7ado).<\/p>\n<\/a><\/p>\n<\/a><\/p>\n<\/a><\/p>\n<\/a><\/p>\n<\/a><\/p>\nVisualizando os logs de auditoria<\/strong><\/h4>\n
<\/a><\/p>\n