none
Habilitar log Diretiva de Grupo Local: RRS feed

  • Pergunta

  • Olá Pessoal

    Seguinte, estou com uma dificildade de habilitar o log de diretiva de auditoria.

    o que eu preciso é, habilitar no log do windows a auditoria onde seja monitorado quando um usuário remove uma pasta, altera ou move uma pasta compartilhada no servidor.

    já verifiquei tudo lá em Ferramentas Administrativas > Diretivas de Sgurança > Diretivas de Auditoria. Porém nao resolvi meu problema.

    Alguém já precisou ativar essa função? Pois até onde eu sei essa função vem por padrão desabilitada no windows.

    vlw


    Jéssian Bayard B. Pereira MCP, MCTS, MCITP
    segunda-feira, 13 de junho de 2011 18:56

Respostas

  • Amigo,

    Primeiro você habilita a diretiva na GPO mesmo.

    Depois, tem que ir nas propriedades da pasta ou unidade que você quer auditar.

    Vá até as propriedades, segurança, botão avançado.

    Na aba auditoria, selecione os usuários ou grupos que serão auditados e suas recpectivas ações.

    Abs.


    Paul Haro - Microsoft Certified Professional
    segunda-feira, 13 de junho de 2011 19:04
    Moderador
  • Amigo,

    Você deverá habilitar a "Auditoria de acesso a objetos". Você terá duas opções, sucesso e falha.

    Configuração do Computador - Configurações do Windows - Diretivas Locais - Diretiva de Auditoria - Auditoria de acesso a objetos

    Abs.


    Paul Haro - Microsoft Certified Professional
    segunda-feira, 13 de junho de 2011 20:19
    Moderador
  • Olá.

    Tem que ser na diretiva de dominio, Default Domain policy.

    Ou vc cria uma policy especifica pra isso e aplica em cima da OU que desenha auditar os usuários.


    Até...


    MCP/MCDST/MCTS/MCITP/MCSA - www.criptix.com.br


    quinta-feira, 16 de junho de 2011 16:34
    Moderador
  • Consegui Resolver Leandro

    No Windows 2008 ele possui uma nova Features que para se alterar isso deve ir em:

    Configuração do Computador > Configurações do Windows > Configuração Avança de Diretiva de Auditoria 

    * Altere as diretivas: 

    - Auditoria de Sistemas de Arquivos (Mude para EXITO e FALHA)

    - Auditoria de Outros Eventos à Acesso a Dados. (Mude para EXITO e FALHA)

     

    Após isso, você deve alterar nas propriedades da pasta que deseja monitorar na aba "Segurança" em "Avançado" depois em "Auditoria" e adicionar os ususários a ser monitorados.

    Vlw.


     


    Jéssian Bayard B. Pereira MCP, MCTS, MCITP
    • Marcado como Resposta Jéssian Bayard sexta-feira, 17 de junho de 2011 18:28
    sexta-feira, 17 de junho de 2011 18:28

Todas as Respostas

  • Amigo,

    Primeiro você habilita a diretiva na GPO mesmo.

    Depois, tem que ir nas propriedades da pasta ou unidade que você quer auditar.

    Vá até as propriedades, segurança, botão avançado.

    Na aba auditoria, selecione os usuários ou grupos que serão auditados e suas recpectivas ações.

    Abs.


    Paul Haro - Microsoft Certified Professional
    segunda-feira, 13 de junho de 2011 19:04
    Moderador
  • Então...a parte de configuração nas propriedades das pastas eu já fiz...o que eu não lembro como fazer

    é onde altero na GPO, qual diretiva exatamente que eu altero...Sabes me dizer Paulo?

    valeu.


    Jéssian Bayard B. Pereira MCP, MCTS, MCITP
    segunda-feira, 13 de junho de 2011 19:21
  • Pessoal 

    Para que fiquei mais claro minha pergunta:

    Preciso desse tipo de log a fins de auditoria.

    Log que guarda:
    - Pastas criadas / modificadas / exluidas - por usuário e horário/dia.

    Alguém pode me ajudar?

    Att,


    Jéssian Bayard B. Pereira MCP, MCTS, MCITP
    segunda-feira, 13 de junho de 2011 19:41
  • Amigo,

    Você deverá habilitar a "Auditoria de acesso a objetos". Você terá duas opções, sucesso e falha.

    Configuração do Computador - Configurações do Windows - Diretivas Locais - Diretiva de Auditoria - Auditoria de acesso a objetos

    Abs.


    Paul Haro - Microsoft Certified Professional
    segunda-feira, 13 de junho de 2011 20:19
    Moderador
  • Amigo

    Olha só..eu fiz todas as configurações como: alterar na pastas que eu quero que seja monitorada em Auditoria e alterei a diretiva conforme você mencionou acima. porém ele não me traz todas as informações que desejo como: usuário e nome da pasta excluida ou adicionada.

    olha só o que ele me traz:

    A diretiva de auditoria do sistema foi alterada.

     

    Requerente:

    Identificação de segurança: SISTEMA

    Nome da conta: ZILVETI-SERVER2$

    Domínio da conta: ZILVETISP

    Identificação de logon: 0x3e7

     

    Alteração na diretiva de auditoria:

    Categoria: Acesso DS

    Subcategoria: Replicação detalhada do serviço de diretório

    Subcategory GUID: {0cce923e-69ae-11d9-bed3-505054503030}

    Alterações: Sucesso removido, Falha removida

     

    Ele só me mostra que foi removida mais sem nome de usuário.

    sabes o que mais preciso fazer?

    att,


    Jéssian Bayard B. Pereira MCP, MCTS, MCITP
    quinta-feira, 16 de junho de 2011 13:57
  • Olá.

    Nas diretivas ativei a opcao Auditoria de acesso a objetos,  EXITO e FALHA.

    Depois vc tem que ir nas propriedades da pasta que quer por auditoria na guia SEGURANÇA em AVANÇADO  na guia Auditoria, vc tem que incluir os usuários que vao ser auditados, se quiser para qualquer pesso, adicione o TODOS lá e marque todas as colunas EXITO e FALHA.

    Gerei auditoria em uma pasta aqui, veja como ficou:

     

    Nome do Log:   Security
    Fonte:         Microsoft-Windows-Security-Auditing
    Data:          16/06/2011 11:28:06
    Identificação do Evento:4663
    Categoria da Tarefa:Sistema de arquivos
    Nível:         Informações
    Palavras-chave:Sucesso da Auditoria
    Usuário:       N/D
    Computador:    WIN-EIIY8QQMP0W.empresa.com.br.com.br
    Descrição:
    Houve a tentativa de acessar um objeto.

    Requerente:
     Identificação de segurança:  EMPRESA\leandro
     Nome da conta:  leandro
     Domínio da conta:  EMPRESA
     Identificação de logon:  0x10b959

    Objeto:
     Servidor de objetos: Security
     Tipo de objeto: File
     Nome do objeto: C:\dns\Novo Documento de Texto.txt
     ID do identificador: 0x72c

    Informações do processo:
     Identificação do processo: 0xde0
     Nome do processo: C:\Windows\explorer.exe

    Informações da solicitação de acesso:
     Acessos: DELETE

     

    Até..


    MCP/MCDST/MCTS/MCITP/MCSA - www.criptix.com.br
    quinta-feira, 16 de junho de 2011 14:33
    Moderador
  • Certo...Outrao coisa

    Esse meu servidor é um servidor de AD. onde eu tenho alterar a diretiva? nas diretivas de grupo local?

    ou nas diretivas de grupo do dominio?

    vlw!!!


    Jéssian Bayard B. Pereira MCP, MCTS, MCITP
    quinta-feira, 16 de junho de 2011 16:26
  • Olá.

    Tem que ser na diretiva de dominio, Default Domain policy.

    Ou vc cria uma policy especifica pra isso e aplica em cima da OU que desenha auditar os usuários.


    Até...


    MCP/MCDST/MCTS/MCITP/MCSA - www.criptix.com.br


    quinta-feira, 16 de junho de 2011 16:34
    Moderador
  • Existe duas: Default Domain policy e Default Domain Controlers policy

    Sabes dizer em qual delas?

    vlw


    Jéssian Bayard B. Pereira MCP, MCTS, MCITP
    quinta-feira, 16 de junho de 2011 16:40
  • Consegui Resolver Leandro

    No Windows 2008 ele possui uma nova Features que para se alterar isso deve ir em:

    Configuração do Computador > Configurações do Windows > Configuração Avança de Diretiva de Auditoria 

    * Altere as diretivas: 

    - Auditoria de Sistemas de Arquivos (Mude para EXITO e FALHA)

    - Auditoria de Outros Eventos à Acesso a Dados. (Mude para EXITO e FALHA)

     

    Após isso, você deve alterar nas propriedades da pasta que deseja monitorar na aba "Segurança" em "Avançado" depois em "Auditoria" e adicionar os ususários a ser monitorados.

    Vlw.


     


    Jéssian Bayard B. Pereira MCP, MCTS, MCITP
    • Marcado como Resposta Jéssian Bayard sexta-feira, 17 de junho de 2011 18:28
    sexta-feira, 17 de junho de 2011 18:28
  • Onde fica este "Configurações do computador"? Ja procurei e nada!
    quinta-feira, 29 de dezembro de 2011 00:59
  • Marco, fica em:

    gpmc.msc 

    Default Domain Policy


    Gustavo Valle | http://grvalle.com
     
    LinkedInWordPressTwitter
    quinta-feira, 29 de dezembro de 2011 10:38
    Moderador