terça-feira, 5 de julho de 2011

Usando auditoria do Windows Server 2008 R2

A auditoria do Windows Server 2008 R2 é um recurso muito importante onde podemos auditar acesso a objetos, logons, gerenciamento de contas, uso de privilégios e muitos outros.

Para exemplificar, vamos imaginar que queremos verificar qual usuário está tentando se logar usando a conta de outros usuário, ou então queremos verificar que deletou um arquivo na pasta X.

Para verificar quem deletou o arquivo Y na pasta X, vamos aos passos:

1) Clique com o botão direito do mouse sobre a pasta > selecione Propriedados

clip_image002

2) Clique na Guia Segurança > em seguida clique no botão Avançadas

clip_image004

3) Clique na Guia Auditoria > clique em Editar e coloque o Grupo ou usuários que desejar auditar.

clip_image006

clip_image008

4) Marque êxito e Falha

clip_image010

5) Acesse as Ferramentas Administrativas > Gerenciamento de Diretiva de Grupo

clip_image011

6) Crie um GPO > Clique em Editar

clip_image013

7) Acesse Configurações do Computador> Diretivas > Configurações do Windows > Configurações de Segurança > Diretivas locais > Diretiva de auditoria

clip_image015

8) Dê um duplo clique sobre Auditoria de acesso a objetos

clip_image016

clip_image018

9) Selecione Êxito e Falha

10) Acesse Ferramentas Administrativas > Visualizador de Eventos

clip_image020

11) Clique em Localizar > digite DELETE que ele irá procurar todos os eventos que contenham DELETE. Outra dica é o ID do evento que é o 4663.

clip_image022

12) Observe que o usuário Ana > acessou a pasta Office 2010 Beta e deletou a pasta Paraguai as 19:35 horas

clip_image024

2 comentários:

Paulo Luiz P. A. Fernandes disse...

Funcionou perfeito com usuarios que usam windows 7, porem com usuarios com XP não mostra o nome do usuario que efetuou a ação no log.

Sabe me dizer o porque disso?

Paulo Luiz P. A. Fernandes disse...

Funcionou perfeito com usuarios usando windows 7, porem quando a ação é feita por uma estação windows XP ele faz o log, mais nao mostra o nome do usuario quem executou.

Tem como resolver isso?