Fui solicitado a descobrir se há auditoria habilitada para um de nossos servidores Windows para acessar arquivos hash de senha ou outros arquivos usados para autenticação.
Alguém sabe se existe uma funcionalidade de registro ou auditoria para acesso bem-sucedido/malsucedido a arquivos hash de senha e outros arquivos usados na autenticação no Windows Server 2008 R2?
Responder1
Através de um GPO você pode ativar a auditoria de muitas coisas. Para isso, acesse:
Computer Configuration / Policies / Windows Settings / Security Settings / Local Policies / Audit Policy
Depois, você poderá acessar as propriedades dos arquivos de interesse e configurar a auditoria. Os resultados aparecerão nos logs do Windows.