locked
Descobrir quem deletou uma pasta na rede RRS feed

  • Pergunta

  • Boa tarde a todos...

     

    Explicando:

     

    Aqui na empresa temos vários servidores. Um deles é o de arquivos. São dois compartilhamentos, Home e Site

     

    o Home (H:\) é o particular, onde existem as pastas do usuário e só ele e os admins da rede têm acesso.

     

    o Site (S:\) é "Público", onde todos têm acesso para deixar planilhas, apresentações, e outros tipos de documentos. Acontece que no S:\ não posso atribuir restrições para uns e privilégios à outros pois é de uso geral.

     

    Infelizmente, ultimamente algum usuário ou mais de 1 está deletando pastas no S: e eu tenho que restaurar sempre as pastas. Pra nossa sorte, o backup é diário (Domingo a Domingo) e quase sempre resgatamos os arquivos o mais atualizado possível.

     

    Estou sofrendo uma pressão para descobrir qual usuário está deletando estas pastas e infelizmente não sei como descobri. No livro do windows 2000 server que tem aqui na empresa não tem algo sobre isso e agora estou sem resposta aos meus superiores.

     

    Há possibilidade de descobrir quem deletou/deleta algum arquivo na rede?

     

    Obrigado pela atenção! Smile

    sexta-feira, 4 de maio de 2007 17:01

Respostas

  • Você pode criar uma GPO de auditoria no dominio

    de acesso a objetos e depois da diretiva habilitada você deve ir nas propriedades das pasta

    onde que que seja realizado auditorias de acesso...

     

    criar gpo ... configurações do computador >> configurações do windows >> configurações de segurança >> diretivas locais >> diretivas de auditoria

    verifica de acordo com a necessida da sua empresa

     

    e nas pastas ... propriedades da pasta >> segurança >> botão avançado >> guia auditoria >> adicionar ... adicona usuário , grupos ou máquinas para serem auditados..

     

     

    abs,

     

     

    caso tenha ajudado

    favor avaliar pois estamos tentanto ajudar

    da melhor maneira possivel...

    sexta-feira, 4 de maio de 2007 17:42
    Moderador
  • Visualizador de eventos...

    iniciar >> executar >> eventvwr.msc

     

     

    caso tenha ajudado

    favor avaliar como respondido..

     

     

    abs,

     

    sexta-feira, 4 de maio de 2007 19:47
    Moderador
  • Olá!

    Você pode configurar a auditoria de exclusão de objetos nessa pasta.
    Esse artigo tem o procedimento de configuração:
    Trabalhando com o sistema de arquivos NTFS - Parte 5
    http://www.microsoft.com/brasil/technet/colunas/pedroantonio/trabntfs.mspx

    Uma das principais limitações do mecanismo de auditoria NTFS é a forma como os dados são apresentados. Não há como você facilmente enxergar quem realizou uma operação e em qual objeto, sem entrar nas propriedades de cada evento de segurança gerado. Dependendo das configurações de auditoria, o volume de eventos é grande a ponto de inviabilizar a análise dos dados.

    Para a solução do seu problema, recomendo o uso do FileAudit. É uma ferramenta que automatiza o processo de configuração da auditoria, e permite que você filtre os registros por usuário, operação realizada (leitura, gravação, exclusão) e caminho de arquivo. Não é algo que você não possa fazer manualmente, mas com um gasto de tempo muito maior, especialmente na análise dos dados no log de segurança.
    Há um recurso de geração de relatórios, que pode ser útil depois que você tiver descoberto o malfeitor, para apresentação à gerência.
    O produto tem uma versão de avaliação de 30 dias, que você pode baixar no site do fabricante:
    http://www.isdecisions.com/en/software/fileaudit/


    sábado, 5 de maio de 2007 16:09

Todas as Respostas

  • Você pode criar uma GPO de auditoria no dominio

    de acesso a objetos e depois da diretiva habilitada você deve ir nas propriedades das pasta

    onde que que seja realizado auditorias de acesso...

     

    criar gpo ... configurações do computador >> configurações do windows >> configurações de segurança >> diretivas locais >> diretivas de auditoria

    verifica de acordo com a necessida da sua empresa

     

    e nas pastas ... propriedades da pasta >> segurança >> botão avançado >> guia auditoria >> adicionar ... adicona usuário , grupos ou máquinas para serem auditados..

     

     

    abs,

     

     

    caso tenha ajudado

    favor avaliar pois estamos tentanto ajudar

    da melhor maneira possivel...

    sexta-feira, 4 de maio de 2007 17:42
    Moderador
  • Como eu poderia olhar os logs dos acessos as pastas?

     

    Obrigado

    sexta-feira, 4 de maio de 2007 19:29
  • Visualizador de eventos...

    iniciar >> executar >> eventvwr.msc

     

     

    caso tenha ajudado

    favor avaliar como respondido..

     

     

    abs,

     

    sexta-feira, 4 de maio de 2007 19:47
    Moderador
  • Olá!

    Você pode configurar a auditoria de exclusão de objetos nessa pasta.
    Esse artigo tem o procedimento de configuração:
    Trabalhando com o sistema de arquivos NTFS - Parte 5
    http://www.microsoft.com/brasil/technet/colunas/pedroantonio/trabntfs.mspx

    Uma das principais limitações do mecanismo de auditoria NTFS é a forma como os dados são apresentados. Não há como você facilmente enxergar quem realizou uma operação e em qual objeto, sem entrar nas propriedades de cada evento de segurança gerado. Dependendo das configurações de auditoria, o volume de eventos é grande a ponto de inviabilizar a análise dos dados.

    Para a solução do seu problema, recomendo o uso do FileAudit. É uma ferramenta que automatiza o processo de configuração da auditoria, e permite que você filtre os registros por usuário, operação realizada (leitura, gravação, exclusão) e caminho de arquivo. Não é algo que você não possa fazer manualmente, mas com um gasto de tempo muito maior, especialmente na análise dos dados no log de segurança.
    Há um recurso de geração de relatórios, que pode ser útil depois que você tiver descoberto o malfeitor, para apresentação à gerência.
    O produto tem uma versão de avaliação de 30 dias, que você pode baixar no site do fabricante:
    http://www.isdecisions.com/en/software/fileaudit/


    sábado, 5 de maio de 2007 16:09
  • Muito obrigado à todos do fórum. as respostas foram úteis e já estou "policiando" o diretório para descobrir o usuário que está deletando as pastas.

     

    Um abraço!

    terça-feira, 8 de maio de 2007 14:23