Eu preciso implementar a auditoria de arquivos / pastas para as estações de trabalho do Windows 7-10 para que todos os acessos dos membros dos administradores de domínio (leitura, gravação / modificação, criação, exclusão) sejam registrados.
Eu habilitei "Acesso a objeto de auditoria" na política de grupo e ele está em vigor (rsop.msc):
Emseguida,definoaspropriedadesdeauditoriaparaumapastadeteste:
Cliquecomobotãodireitonapasta>Propriedades>Segurança>Avançado>GuiaAuditoria>cliqueemContinuar>Adicionar>Administradoresdodomínio>Verifiqueseháêxitoefalha:
Euvejoalgumasentradasnologdeeventosdesegurançaparaaconfiguraçãodaspropriedadesdeauditoriaacima(porexemplo,"Configurações de auditoria no objeto foram alteradas"), mas quando modifico ou excluo um arquivo nessa pasta, nenhum evento é gerado no log de segurança. Também tentei usar "Everyone" em vez de "Domain Admins" nas configurações de auditoria, mas isso não fez diferença.
O teste acima está no Windows 7 Pro x64 SP1 com todas as atualizações.
O que estou perdendo? Como posso fazer com que a auditoria funcione conforme desejado?
- Atualização 1 ---
Acabei de testar com um Windows 7 e uma máquina Windows 10 que não são membros do domínio do AD e funcionou como um encanto!
É quase como se o "Acesso ao objeto de auditoria" não estivesse em vigor (mesmo que seja exibido como "Sucesso, Falha" em rsop.msc e "gpresult / z").
Há mais alguma coisa que eu preciso fazer no GPO ou o que pode estar fazendo com que isso não entre em vigor?
Eu finalmente encontrei o que estava acontecendo neste artigo:
as soon as you start applying Advanced Audit Configuration Policy, legacy policies will be completely ignored.
Estou usando a configuração de auditoria avançada no GPO, que tornou o legado "Acesso ao objeto de auditoria" ignorado.
Eu mudei para usar a configuração de auditoria avançada para a auditoria de acesso a objetos e ela funciona bem agora.
Primeiro, você precisará ativar a auditoria, a partir de políticas locais ou políticas de domínio, e aplicá-la à máquina que deseja auditar. Depois que a política estiver definida, você precisará configurar a auditoria em tudo o que deseja auditar e isso começará a adicionar eventos ao log de eventos.
Assim que estiver no lugar, vá para a pasta que você deseja monitorar, clique com o botão direito e vá para propriedades
Clique na guia de segurança - > Avançado - > Guia de Auditoria - > Editar - > Adicionar - > em seguida, adicione o grupo que tem acesso a essa pasta - > Selecione os eventos que você deseja auditar e clique em OK - > Selecione Substituir todas as entradas de auditoria herdáveis existentes, para aplicar a auditoria em todas as subpastas e arquivos e clique em OK
No Windows 7 e no Windows Server 2008 R2, o número de configurações de auditoria para as quais o êxito e a falha podem ser rastreados aumentou para 53. Este guia passo-a-passo demonstra o processo de configuração de um avançado Windows 7 e Windows Server. Infra-estrutura de diretiva de auditoria de segurança 2008 R2 em um ambiente de teste. Ele também o guia pelo processo de configuração de algumas configurações de política de auditoria de segurança avançada representativas: link
Além disso, para receber alertas de e-mail automáticos em eventos de acesso predeterminados, como exclusão de um arquivo, acesso negado, leitura / gravação, acesso de arquivo ou usuário específico, etc., você receberá ajuda deste solução de auditoria .
Obrigado,
Tags windows security audit group-policy