Como auditar exclusões de arquivos e pastas no Windows Server 2008 r2

Navegue suas respostas
3

Eu preciso ativar a auditoria de ações de exclusão em uma pasta compartilhada de rede específica (e todos os seus filhos) em uma máquina Windows Server 2008 r2. O mais perto que pude encontrar foi este artigo - link mas diz respeito a 2003.

Nos comentários, uma pessoa observa que os 560 e 564 do EventID não são relevantes para o Win 2003. Eles sugerem que uma exclusão no Win 2008 é EventID 4656, mas não encontro nenhum desses eventos no meu log de segurança. Eu habilitei a auditoria na pasta via opção de guia de segurança depois de clicar com o botão direito na pasta. Outro comentário no link entre aspas sugere que a auditoria deve estar ativada no sistema de arquivos local e no servidor, e também que as políticas de grupo podem sobrescrever qualquer política local.

Tentei ativar a auditoria nas Políticas de Segurança Local em Políticas Locais \ Audit Policy \ Audit, mas ela parece ser removida toda vez que eu fechar o console de políticas. Eu sou um administrador local no servidor, mas não um administrador de domínio e um pouco preso neste momento. Quaisquer ponteiros serão mais apreciados.

    
por Neville 29.09.2015 / 16:48

3 respostas

2

Ative a Lixeira do Active Directory nesse compartilhamento e depois de auditar a alteração de exclusão no seu Active Directory. ( Guia passo a passo da Lixeira do Active Directory )

Using the auditing mechanism

In Windows Server 2008 R2, as in Windows Server 2008, you can use the Active Directory Domain Services (AD DS) auditing mechanism with the Directory Service Changes audit policy to log old and new values when changes are made to Active Directory objects and their attributes. We recommend that you implement auditing in your Active Directory environment to track all object deletions, object deletion times, and the account names that perform these object deletions. For more information, see the AD DS Auditing Step-by-Step Guide (http://go.microsoft.com/fwlink/?LinkID=125458).

De; Apêndice A: Tarefas adicionais da Lixeira do Active Directory

nb, você precisa ser mais do que um administrador local para essa solução.

    
por 29.09.2015 / 18:23
2

Primeiro, configure o acesso ao objeto de auditoria na Diretiva de Grupo do AD ou no GPO local do servidor. A configuração está em Configuração do computador - > Configurações do Windows - > Configurações de segurança - > Políticas locais - > Políticas de auditoria. Ativar auditoria de sucesso / falha para "Acesso ao objeto de auditoria".

Depois disso, configure uma entrada de auditoria na pasta específica que você deseja auditar. Clique com o botão direito do mouse na pasta - > Propriedades - > Avançado. Na guia de auditoria, clique em Adicionar e insira os usuários / grupos que você deseja auditar e quais ações você deseja auditar - auditar Controle Total criará uma entrada de auditoria sempre que alguém abrir / alterar / fechar / excluir um arquivo ou você pode apenas auditar para operações de exclusão.

Depois de seguir essas etapas, qualquer exclusão de arquivos será exibida no log de segurança do servidor de arquivos: link

    
por 30.09.2015 / 14:57
2

Eu sei que esta é uma pergunta antiga, mas eu tive essa mesma pergunta e nunca encontrei uma resposta, então espero que isso ajude alguém. Acabei encontrando o evento delete com o Event ID: 4663. Aqui está um exemplo: 

An attempt was made to access an object.

Subject:
    Security ID:        xxx\administrator
    Account Name:       administrator
    Account Domain:     xxx
    Logon ID:       0x64ba61

Object:
    Object Server:  Security
    Object Type:    File
    Object Name:    D:\xxx\New folder
    Handle ID:  0xca8

Process Information:
    Process ID: 0xc80
    Process Name:   C:\Windows\explorer.exe

Access Request Information:
    Accesses:   DELETE

    Access Mask:    0x10000
    
por 17.05.2017 / 03:34

Tags

Descobrir qual programa está substituindo meu arquivo resolv.conf free reports quantidade falsa de swap usada