none
Auditoria de copia de arquivos RRS feed

  • Pergunta

  • Boa noite Prezados,

    Tenho por exemplo uma pasta no servidor que se chama FINANCEIRO. Nesta pasta o usuário X tem acesso total. Gostaria de verificar a possibilidade de auditar se o mesmo está copiando arquivos para meios externos sejam eles: Pendrives, CD, DVD, etc. Gostaria de obter um relatório dos arquivos que eles estão copiando do servidor. (Windows Server 2008 R2)

    Atenciosamente,

    MATHEUS LOPES



    Matheus Lopes

    sexta-feira, 1 de julho de 2016 23:13

Respostas

  • MSossai.

    Habilitando a política de auditoria no File Server é possível identificar quando um arquivo é acessado, modificado ou deletado, dentro do próprio volume do sistema ou volumes adicionais onde existe a auditing policy, através da política de Audit Object Access.

    Scenario: File Access Auditing

    https://technet.microsoft.com/en-us/library/hh831476.aspx

    Security Auditing Overview

    https://technet.microsoft.com/en-us/library/dn319078.aspx

    Audit Policy Recommendations

    https://technet.microsoft.com/en-us/library/dn487457.aspx

    No entanto isso não ocorrerá com cópias de arquivos para locais externos pelo seguinte motivo: Uma vez que o usuário possui acesso de leitura e consegue abrir o determinado arquivo (mesmo como leitura), ele também poderá salvar este arquivo com outro nome em qualquer outro local, não sendo necessário realizar uma cópia do arquivo pra isso. Então basicamente o procedimento de cópia nada mais é que uma operação de leitura.Talvez copiando o arquivo para o mesmo volume do sistema ela ainda poderá logar um evento relacionado de acesso ao arquivo mas não especificamente dizendo que o arquivo foi copiado, mas precisaria fazer um lab pra ter certeza disso

    Como o Diego disse, para realizar o que você deseja acho que será efetivo o uso da política que bloqueia o uso de dispositivos externos, como pendrives por exemplo. Veja no artigo abaixo:

    https://technet.microsoft.com/pt-br/library/cc772540%28v=ws.10%29.aspx?f=255&MSPPError=-2147217396

    Qualquer coisa é só perguntar.

    Abraço.



    • Editado Igor S. Araujo sábado, 2 de julho de 2016 18:15
    • Marcado como Resposta MSossai segunda-feira, 4 de julho de 2016 13:50
    sábado, 2 de julho de 2016 18:09
  • Ola,

    Uma solução paga, mas atende a necessidade:

    http://www.cooperati.com.br/2015/02/27/instalando-lepideauditor-for-file-server-no-windows-server/

    Espero que ajude.


    Vinicius Mozart || MVP - Cloud and Datacenter Management || vinicius.mozart@terra.com.br || http://www.wenz.com.br || Skype:vinicius.mozart

    • Marcado como Resposta Thales F Quintas segunda-feira, 4 de julho de 2016 12:29
    segunda-feira, 4 de julho de 2016 12:10
    Moderador

Todas as Respostas

  • MSossai,

    Não conheço uma maneira de auditar os arquivos para saber foram copiados. Pela auditoria, da para saber que o arquivo foi modificado, porém se a ação foi copiar, eu nunca vi. Mas você tem como bloquear o uso de dispositivos externos via GPO, assim, impossibilitando copiar.

    Mas, dar uma olhada aqui neste link, esse software Prevent impede copiar, renomear arquivos, Mas nunca usei. Então ver se funciona e dar uma feedback.
    http://www.thewindowsclub.com/prevent-cut-paste-copy-delete-re-naming-of-files-folders

    Observação: Caso essa resposta seja útil, clique em propor como resposta.
    Blog Pessoal: https://diegogouveiace.wordpress.com
    sexta-feira, 1 de julho de 2016 23:44
  • MSossai.

    Habilitando a política de auditoria no File Server é possível identificar quando um arquivo é acessado, modificado ou deletado, dentro do próprio volume do sistema ou volumes adicionais onde existe a auditing policy, através da política de Audit Object Access.

    Scenario: File Access Auditing

    https://technet.microsoft.com/en-us/library/hh831476.aspx

    Security Auditing Overview

    https://technet.microsoft.com/en-us/library/dn319078.aspx

    Audit Policy Recommendations

    https://technet.microsoft.com/en-us/library/dn487457.aspx

    No entanto isso não ocorrerá com cópias de arquivos para locais externos pelo seguinte motivo: Uma vez que o usuário possui acesso de leitura e consegue abrir o determinado arquivo (mesmo como leitura), ele também poderá salvar este arquivo com outro nome em qualquer outro local, não sendo necessário realizar uma cópia do arquivo pra isso. Então basicamente o procedimento de cópia nada mais é que uma operação de leitura.Talvez copiando o arquivo para o mesmo volume do sistema ela ainda poderá logar um evento relacionado de acesso ao arquivo mas não especificamente dizendo que o arquivo foi copiado, mas precisaria fazer um lab pra ter certeza disso

    Como o Diego disse, para realizar o que você deseja acho que será efetivo o uso da política que bloqueia o uso de dispositivos externos, como pendrives por exemplo. Veja no artigo abaixo:

    https://technet.microsoft.com/pt-br/library/cc772540%28v=ws.10%29.aspx?f=255&MSPPError=-2147217396

    Qualquer coisa é só perguntar.

    Abraço.



    • Editado Igor S. Araujo sábado, 2 de julho de 2016 18:15
    • Marcado como Resposta MSossai segunda-feira, 4 de julho de 2016 13:50
    sábado, 2 de julho de 2016 18:09
  • Ola,

    Uma solução paga, mas atende a necessidade:

    http://www.cooperati.com.br/2015/02/27/instalando-lepideauditor-for-file-server-no-windows-server/

    Espero que ajude.


    Vinicius Mozart || MVP - Cloud and Datacenter Management || vinicius.mozart@terra.com.br || http://www.wenz.com.br || Skype:vinicius.mozart

    • Marcado como Resposta Thales F Quintas segunda-feira, 4 de julho de 2016 12:29
    segunda-feira, 4 de julho de 2016 12:10
    Moderador
  • Bom dia Igor,

    Muito obrigado pelos esclarecimento!

    Abraços e excelente semana.

    Matheus Lopes


    Matheus Lopes

    segunda-feira, 4 de julho de 2016 13:58
  • Bom dia Vinícius,

    Muito obrigado pelo retorno e atenção. Na verdade eu precisava de um log de um evento já ocorrido, mas me ajudou muito também.

    Abraços e tenha uma excelente semana.

    Matheus Lopes


    Matheus Lopes

    segunda-feira, 4 de julho de 2016 14:00
  • Olá,

    Por nada e grande abraço.


    Vinicius Mozart || MVP - Cloud and Datacenter Management || vinicius.mozart@terra.com.br || http://www.wenz.com.br || Skype:vinicius.mozart

    segunda-feira, 4 de julho de 2016 14:02
    Moderador
  • Bom dia Diego,

    Muito obrigado pelo retorno e atenção. Na verdade eu precisava de um log de um evento já ocorrido, a GPO de bloqueio já existe, porém a usuária em questão foi para uma máquina que não havia esse bloqueio e realizou as cópias, por isso precisava ter esse log para tomar as medidas cabíveis. Mas mesmo assim me ajudou muito. Obrigado!

    Abraços e tenha um excelente semana.

    Matheus Lopes


    Matheus Lopes

    segunda-feira, 4 de julho de 2016 14:03