Cenário: Todas as estações de trabalho deverão registrar no log de segurança do Visualizador de Eventos do servidor o acesso de leitura, criação, gravação e exclusão em uma pasta compartilhada.
Requisitos para configurar computadores do domínio para encaminhar e coletar eventos:
- Faça logon em todos os computadores de coleta e de origem. Use uma conta de domínio com privilégios administrativos.
- Em cada computador de origem digite (prompt de comando elevado): winrm quickconfig
- No computador coletor digite em um prompt de comando elevado: wecutil qc
- Adicione a conta de computador (Tipos de objeto) do servidor ao grupo Administradores local em cada um dos computadores de origem.
Configurando auditoria de acesso a objetos de uma pasta compartilhada
1) No Iniciar do Windows Server digite gerenciamento e clique no Gerenciamento de Políticas de Grupo. Pode ser encontrado também no menu Ferramentas do Gerenciador do Servidor.
2) Navegue até a Unidade Organizacional onde se encontra todos os computadores que você deseja aplicar essa política. Clique com o botão direito sobre ela e selecione "Criar um GPO neste domínio e fornecer um link para ele aqui...".
Utilize a Unidade Organizacional Domain Controller para Servidores de Arquivos que também sejam Controladores de Domínio (DC). Ou utilize a GPO a nível de domínio.
3) Digite o nome da sua nova GPO e clique em OK.
4) Nessa nova GPO selecionada clique com o botão direito e selecione Editar.
5) Nesta nova console expanda as seguintes pastas: "Configuração do Computador/Políticas/Configurações do Windows/Configurações de segurança/Políticas locais/Política de auditoria". Dê um duplo clique em Auditoria de acesso a objetos.
6) Na janela Propriedades de Auditoria de acesso a objetos selecione Definir estas configurações de políticas e marque a opção Êxito. Clique em OK.
7) Feche o Editor de Gerenciamento de Política de Grupo. Na console de Gerenciamento de Política de Grupo selecione a sua nova GPO e clique na aba "Opções"
8) Clique com o botão direito na pasta compartilhada que será auditada. em Propriedades de Pasta selecione a aba Segurança e clique na opção Avançadas.
9) Na janela Configurações de Segurança Avançadas da pasta selecione a aba Auditoria e clique na opção Adicionar.
10) Na janela Entrada de Auditoria para a pasta clique em "Selecionar uma entidade de segurança" e adicione o grupo de usuários que terão o acesso a pasta auditados. Clique em "Mostrar permissões Avançadas" e selecione os tipos de acesso que serão auditados. Clique em OK.
11) Feche a janela Configurações de Segurança Avançadas da pasta e a janela de Propriedades da pasta. Abra o Visualizador de Eventos, expanda a pasta Logs do Windows clique em Segurança. Procure o evento com número de identificação 4663.
Conclusão: A auditoria gera uma grande quantidade de logs. Habilite apenas para os objetos e as pastas que realmente necessite deste recurso.
Esse artigo foi submetido por
Alexandre de Matos
MCSE - MCSA - MCTS
alexandremn@live.estacio.br
Nenhum comentário:
Postar um comentário