Auditoria de Exclusão de Arquivos – Windows File Server

QUEM DELETOU?

Existe uma questão entre os profissionais de infra que os deixam loucos: para onde vão os arquivos excluídos através do mapeamento? Incrivelmente, até hoje, a Microsoft não fez com que esses arquivos sejam enviados para a lixeira. Diferente dos arquivos deletados localmente que vão para a lixeira, arquivos deletados via rede são excluídos “definitivamente”, igual quando utilizamos a combinação Shift + Del.

Para recuperar estes arquivos, devemos utilizar nossos backups (rotinas ou shadow copy) ou utilizar algum software de recuperação. De qualquer forma, isto sempre nos dará trabalho. Porém, mesmo que consigamos recuperar facilmente os arquivos deletados, muitas vezes é necessário alertar o usuário sobre sua falta de atenção e ainda mais importante quando os dados excluídos são estratégicos para a empresa e precisamos apontar um “culpado”, quando solicitado pela diretoria. Seja qual for o motivo, proposital ou não, precisamos saber quem fez a exclusão.

Imagem via Shutterstock

Imagem via Shutterstock

Pensando nisso (e em um pouco de psicologia) resolvi fazer um procedimento que obrigasse os usuários a se atentar mais em suas ações: ativei a auditoria e os avisei. Depois de enviar para os usuários uma mensagem que se resume em “Agora saberei quem excluiu”, eles se atentaram um pouco mais. Incrível, funciona! :)

Abaixo, descrevo o procedimento, realizado no Windows Server 2008, para ativar este recurso:

1 – No servidor de arquivos:

  • Clicar com botão direito na partição a ser auditada e depois em “Propriedades”
  • Selecione a aba “Segurança” e então clique em “Avançadas”
  • Selecione a aba “Auditoria”
  • Clique em “Editar” e na nova janela em “Adicionar”
  • Escolha para quais usuários a auditoria deverá funcionar. Geralmente é selecionado o grupo padrão “Usuários Autenticados” ou “Usuários do Domínio”
  • Quando o grupo for selecionado, abrirá a caixa de opções de auditoria. Nesta etapa, escolhi fazer auditoria apenas para eventos de exclusão dos arquivos que são concluídas com “Êxito”. Caso precise registrar também as tentativas de exclusão que falharam, por conta das configurações de restrição de acesso, marque também “Falha”.

config_audit_exclusao

Agora já podemos auditar as exclusões? Não. Na etapa acima, apenas configuramos a unidade onde queremos que a auditoria funcione, mas ainda não ativamos a auditoria em si, que se faz com os seguintes passos:

2 – Habilitar Auditoria via Editor de Diretivas:

  • Execute gpedit.msc
  • Configurações do Computador > Configurações do Windows > Configurações de Segurança > Diretivas Locais > Diretiva de Auditoria
  • Abra a opção Auditoria de Acesso a Objetos
  • Particularmente, utilizo apenas a opção Êxito, registrando assim apenas os arquivos excluídos. Caso precise registrar também as tentativas de exclusão que falharam por conta das configurações de restrição de acesso, marque também

(Caso este procedimento precise ser realizado em diversos servidores, aplique uma GPO com as mesmas configurações numa OU com seus File Servers)

Agora sim já podemos auditar os arquivos excluídos. Para isso, acesse o Visualizador de Eventos através das Ferramentas Administrativas ou executando o comando eventvwr e navegue até Logs do Windows > Segurança. Neste local, poderemos verificar TODA a auditoria de segurança feita no servidor e nos eventos de exclusão de arquivos poderemos saber “Quem deletou”, “Quando deletou” e “O que deletou”. Porém, não é exatamente isso que queremos, já que existem diversos eventos de segurança misturados e teremos dificuldade de encontrar os eventos em questão.

3 – Para ter uma visualização melhor, apenas com os eventos da auditoria de exclusão, devemos criar um filtro:

Antes da criação do filtro, realize algumas exclusões de arquivos de teste e busque pelo evento no visualizador. Para isso, pode realizar busca pelo nome do arquivo utilizando a opção localizar. À medida que for encontrando os eventos relacionados à exclusão (Repare na linha Acessos: DELETE ), anote o ID do evento.

Aqui, um dos IDS dos eventos de exclusão foi identificado por 4663:

DI_evento_audit

Agora, prosseguiremos com a criação do filtro:

  • Ainda em Logs do Windows > Segurança, clique em Criar Modo de Exibição Personalizado, localizado ao lado direito da janela
  • Onde temos a frase “Todas as identificações de evento”, clique e escreva os IDs, anotados anteriormente, separados por vírgula
  • Clique em OK e, na janela que abrirá, escreva o nome e onde o filtro ficará disponível

Pronto, agora configuramos a Unidade a ser auditada, ativamos a auditoria e configuramos uma melhor visualização destes eventos. Está tudo pronto, porém, tenho uma dica a dar:

Não adianta ter um log de auditoria se os eventos gravados são de apenas 2 ou 3 dias atrás. Algumas vezes, uma auditoria é necessária para um evento ocorrido uma ou duas semanas passadas, porém, a configuração padrão do Windows para a quantidade de eventos registrados é bem pequena e pode ocorrer de você não encontrar a informação que busca. Mas, isso é configurável, como vou descrever rapidamente abaixo:

  • Ainda em Logs do Windows > Segurança, clique com o botão direito em Segurança e clique em Propriedades
  • Repare e altere como desejar, as opções “Tamanho Máximo do Log (KB)” e a ação para “Quando o Tamanho máximo do log de eventos é atingido”.

Fica mais uma experiência compartilhada com os colegas. Não esqueçam de comentar, sugerir e criticar!

Grande abraço :)

Fonte: Profissionais TI

Nenhum comentário

Comentários Facebook