Preciso habilitar a auditoria de ações de exclusão em uma pasta compartilhada de rede específica (e todos os seus filhos) em uma máquina Windows Server 2008 r2. O mais próximo que consegui encontrar foi este artigo -http://www.intelliadmin.com/index.php/2008/03/use-auditing-to-track-who-deleted-your-files/mas refere-se a 2003.
Nos comentários, uma pessoa observa que os EventID 560 e 564 não são relevantes para o Win 2003. Eles sugerem que uma exclusão no Win 2008 seja EventID 4656, mas não encontro nenhum desses eventos em meu log de segurança. Ativei a auditoria na pasta por meio da opção da guia segurança após clicar com o botão direito na pasta. Outro comentário no link citado sugere que a auditoria deve ser habilitada tanto no sistema de arquivos local quanto no servidor, e também que as políticas de grupo podem substituir quaisquer políticas locais.
Tentei habilitar a auditoria nas Políticas de Segurança Locais em Políticas Locais\Política de Auditoria\Acesso ao objeto de auditoria, mas ela parece ser removida sempre que fecho o console de políticas. Sou um administrador local no servidor, mas não um administrador de domínio e estou um pouco preso neste momento. Quaisquer sugestões serão muito apreciadas.
Responder1
Habilite a Lixeira do Active Directory nesse compartilhamento e depois da auditoria, exclua as alterações no seu Active Directory. (Guia passo a passo da lixeira do Active Directory)
Usando o mecanismo de auditoria
No Windows Server 2008 R2, assim como no Windows Server 2008, você pode usar o mecanismo de auditoria dos Serviços de Domínio Active Directory (AD DS) com a política de auditoria Alterações no Serviço de Diretório para registrar valores novos e antigos quando são feitas alterações em objetos do Active Directory e seus atributos . Recomendamos que você implemente a auditoria em seu ambiente do Active Directory para rastrear todas as exclusões de objetos, os tempos de exclusão de objetos e os nomes das contas que executam essas exclusões de objetos. Para obter mais informações, consulte o Guia passo a passo de auditoria do AD DS (http://go.microsoft.com/fwlink/?LinkID=125458).
De;Apêndice A: Tarefas Adicionais da Lixeira do Active Directory
Nota: você precisa ser mais do que um administrador local para essa solução.
Responder2
Primeiro configure o acesso ao objeto de auditoria na Política de Grupo do AD ou no GPO local do servidor. A configuração está em Configuração do computador -> Configurações do Windows -> Configurações de segurança -> Políticas locais -> Políticas de auditoria. Habilite a auditoria de sucesso/falha para "Auditoria de acesso ao objeto".
Depois disso, configure uma entrada de auditoria na pasta específica que você deseja auditar. Clique com o botão direito na pasta -> Propriedades -> Avançado. Na guia auditoria, clique em Adicionar e insira os usuários/grupos que você deseja auditar e quais ações você deseja auditar - a auditoria Full Control criará uma entrada de auditoria sempre que alguém abrir/alterar/fechar/excluir um arquivo, ou você pode apenas auditar operações de exclusão.
Depois de seguir essas etapas, qualquer exclusão de arquivo aparecerá no log de segurança do servidor de arquivos:https://technet.microsoft.com/en-us/library/dd772690%28WS.10%29.aspx
Responder3
Eu sei que esta é uma pergunta antiga, mas eu tive a mesma pergunta e nunca encontrei uma resposta, então espero que isso ajude outra pessoa. Acabei encontrando o evento delete com Event ID: 4663. Aqui está um exemplo:
An attempt was made to access an object.
Subject:
Security ID: xxx\administrator
Account Name: administrator
Account Domain: xxx
Logon ID: 0x64ba61
Object:
Object Server: Security
Object Type: File
Object Name: D:\xxx\New folder
Handle ID: 0xca8
Process Information:
Process ID: 0xc80
Process Name: C:\Windows\explorer.exe
Access Request Information:
Accesses: DELETE
Access Mask: 0x10000