Vez por outra me deparo com casos em que dados de um servidor de arquivos simplesmente somem. Nunca aparece um culpado e se não fosse o backup… Ter backup é bom, mas descobrir quem fez a maldade de deletar os arquivos é melhor ainda. Como diria o ditado é bom “matar a cobra e mostrar o pau”. No post de hoje aprenderemos a ativar a auditoria de arquivos no Windows Server a fim de verificar quem removeu – acidentalmente ou não – os arquivos do nosso servidor. É bem simples, vamos lá?

Já faz algum tempo que o Windows Server oferece o recurso de auditoria de objetos. Este recurso, através de logs, permite ao administrador do servidor verificar se um objeto foi criado em determinada pasta, se ele foi modificado, lido ou mesmo removido. No mesmo arquivo de log constam outras informações de grande valia como o usuário que deletou o arquivo, o horário, a estação em que o usuário estava logado – caso fosse uma pasta remota – e outras firulas mais.

Pois bem, para ativar esta auditoria e estar munido para correr atrás de alguém quando o bicho pegar, você precisa fazer duas coisas: ativar a auditoria via GPO e configurar a auditoria na pasta ou partição que você deseja auditar.

A auditoria deverá ser ativada via GPO no computador onde os arquivos a serem auditados estarão. Por exemplo, se os arquivos estão em uma partição do servidor A, você ativará a auditoria através de GPO no servidor A. Se você quer ativar a auditoria no computador do presidente da empresa, você precisará configurar uma GPO ativando a auditoria e aplicá-la ao computador do presidente. Para aplicar somente a um computador é interessante aplicar um filtro de segurança na GPO, conforme já explicamos em um outro post, ou criar uma unidade organizacional somente para este PC. Entendido? A diretiva que você precisar alterar para ativar a auditoria está em Configurações de Computador > Diretivas > Configurações do Windows > Configurações de Segurança > Diretivas Locais > Diretiva de Auditoria > Auditoria de acesso a objetos. Na imagem abaixo você pode notar duas opções: Sucesso e Falha. Se você escolher sucesso, auditará as exclusões de arquivos/pastas que tiveram êxito. Se escolher falha, auditará as tentativas fracassadas de exclusão. Você poderá escolher ambas simultaneamente, inclusive, mas para o nosso propósito escolha Sucesso. Pronto, a GPO foi configurada. Agora, no servidor onde ela será aplicada dê um gpupdate. Vamos para o segundo passo.

Agora é preciso escolher as pastas ou partições que você deseja monitorar. No nosso exemplo utilizaremos C:Financeiro. Clicamos com o botão direito sobre ela, escolhemos a opção Propriedades, em seguida fomos à aba Segurança e depois clicamos no botão Avançadas. Uma nova janela se abrirá e você verá a aba Auditoria, clique nela e em seguida em Editar. Uma terceira janela se abrirá e é lá onde você vai adicionar que grupos ou usuários devem ter as suas ações monitoradas. Para isso clique em Adicionar e insira o grupo Todos, para que todos os usuários tenham suas ações de “deleção” de arquivos monitoradas naquela pasta e marque as opções Excluir e Excluir Subpastas e arquivos. Observe que é possível auditar várias outras ações é só marcar, mas para o nosso proposito essas duas são o bastante. Sua configuração deverá ficar idêntica à imagem abaixo:

Pronto. Agora é hora de realizar um teste para ver se tudo está funcionando. Para tanto, vou criar um arquivo e uma pasta chamada Nova Pasta dentro de C:Financeiro, deletá-la logo em seguida ir até o Visualizador de Eventos. Os logs auditoria encontram-se em Logs do Windows > Segurança. Lá você clicará na opção Filtrar Log Atual e definirá que somente os logs com ID 4663 deverão ser exibidos, conforme a imagem abaixo:

Dê um OK e agora você só visualizará os logs de remoção de arquivos. Nas imagens abaixo podemos ver o log que surgiu quando eu removi a pasta C:FinanceiroNova pasta com o usuário administrador. Note os detalhes que constam no log:

Fonte:IOTecnologia