Recursos de Auditoria do Windows Server

1

Eu estava curioso para saber se era possível auditar um compartilhamento de arquivos no windows server 2012 para uma cópia. Como se pode diferenciar um arquivo copiado em vez de um arquivo de leitura com base nos eventos que eles enviam para o log de eventos? Existe algum padrão que um arquivo copiado usa em termos de leitura e escrita?

Obrigado pela ajuda!

    
por Osmium USA 23.03.2014 / 17:12

1 resposta

4

No nível de compartilhamento, não. Isso ocorre porque os compartilhamentos não possuem o sistema acl. Mas você pode ativar a auditoria no nível do sistema de arquivos para acesso de gravação à pasta compartilhada. Consulte o seguinte texto de ajuda para a Configuração avançada da política de auditoria > Acesso a objetos:

Sistema de arquivos

Esta configuração de política permite auditar as tentativas do usuário de acessar os objetos do sistema de arquivos. Um evento de auditoria de segurança é gerado apenas para objetos que possuem listas de controle de acesso do sistema (SACL) especificadas e somente se o tipo de acesso solicitado, como Gravar, Ler ou Modificar e a conta que faz a solicitação corresponder às configurações da SACL. Para obter mais informações sobre como ativar a auditoria de acesso a objetos, consulte o link .

Se você definir essa configuração de política, um evento de auditoria será gerado sempre que uma conta acessar um objeto do sistema de arquivos com uma SACL correspondente. As auditorias de sucesso registram tentativas bem-sucedidas e as auditorias de falha registram tentativas malsucedidas. Se você não definir essa configuração de política, nenhum evento de auditoria será gerado quando uma conta acessar um objeto do sistema de arquivos com uma SACL correspondente.

Observação: você pode definir uma SACL em um objeto do sistema de arquivos usando a guia Segurança na caixa de diálogo Propriedades desse objeto.

Volume: depende de como as SACLs do sistema de arquivos estão configuradas.

    
por 23.03.2014 / 17:21