Auditoria de arquivos para unidades de rede compartilhadas

Navegue suas respostas
1

Nós fomos atropelados pela Cryptolocker um mês atrás e nunca tivemos uma auditoria de arquivos configurada, então não havia como identificar de qual usuário ela se originou.

Entrei nas Ferramentas de administração > Política de segurança local > Política local > Política de Auditoria > e ativou Sucesso e Falha no Acesso ao Objeto.

Em seguida, fui para as configurações de auditoria da pasta raiz das unidades compartilhadas e selecionei para "Usuários do Domínio" monitorados para subpastas e arquivos de Atributos de Gravação, Exclusão e Exclusão.

Mas o log de eventos é inundado com o evento "Detalhado Compartilhamento de Arquivos" 5145, "Um objeto de compartilhamento de rede foi verificado para verificar se o cliente pode receber o acesso desejado"

Eu realmente não preciso ver esses eventos, e apenas quero rastrear se um arquivo é modificado, no caso de sermos atingidos pelo cryptolocker novamente. Há algo mais que eu preciso fazer para obter esse tipo de evento?

Existe uma ferramenta que faz um trabalho melhor do que o Log de Eventos do Windows?

    
por Matt Fogleman 01.05.2015 / 15:30

1 resposta

1

Ao usar as configurações de auditoria legadas localizadas em:

Configurações do Windows > Configurações de segurança > Políticas locais > Política de Auditoria > O Object Access, que é muito grosseiro e pode criar muito ruído, dependendo dos objetos que podem ter a auditoria ativada.

Se você definir a auditoria legada como Não configurada e ativar a Auditoria avançada, localizada em:

Configurações do Windows > Configurações de segurança > Políticas locais > Configuração avançada da política de auditoria > Acesso a objetos

Você pode habilitar apenas as subcategorias que você precisa, neste caso, o Sistema de arquivos.

Em seguida, no sistema de arquivos, ative somente o (s) tipo (s) de auditoria que você precisa nas pastas de nível superior:

    
por 01.05.2015 / 15:52

Tags

A proteção interna Anti-Spam e Malware do Exchange 2013 é 'boa o suficiente'? [fechadas] Quais são as diferentes opções de status para o comando show copper-ports da Dell?