Auditoria

Este serviço do Windows Server, possibilita a visualização dos eventos, quando um usuário modificar/alterar um ou mais arquivos, o Servidor será notificado e poderá visualizar detalhadamente as informações do que o usuário fez, seja deletar uma pasta, criar uma pasta ou simplesmente seu login.

Para que possa ser realizada a Auditoria, precisa-se configurar uma GPO e seus usuários, para que se possa aplicar a visualização de eventos e ter relatórios das ações dos usuários.

Na opção “Add roles and features” seguir os passos até chegar na lista de serviços para adicionar e abrir as abas:
-File and storage services -File and iSCSI services -File server resource manager e adiciona-lo para poder configurar a Auditoria.

Ao término da instalação, abrir o serviço, criar a pasta com o nome do serviço, clicar em editar e para configurá-lo e entrar em:
-Computer configuration -Windows settings -Security Settings -Audit policy

Em Audit policy, clicar em “Audit object acces” e ativar as opções “success” e “failure” para poder saber quando o usuário modificar os arquivos.

Depois de concluída, clique em seu domínio e vincule-a para poder aplicar o serviço.

Abrir o “Prompt de comando” e dar o comando “ gpupdate /force “ para atualizar as modificações feitas e depois, “ gpresult /r “ para verificar as alterações feitas.

Selecionar a pasta em que deseja-se aplicar o monitoramento, clicar em propriedades e:
-segurança
-avançado
Na nova aba aberta, clicar em auditing e adicionar o grupo ou o usuário desejado e selecionar as opções que deseja monitorar.

Nas propriedades da pasta escolhida, compartilhar a pasta com o grupo ou usuário desejado e em segurança, dar-lhe os controles desejados(leitura, modificação e/ou controle total).

Agora, para teste, criar arquivos na pasta e mapear a unidade para facilitar sua visualização e deletar algum arquivo e no Windows Server, entrar no serviço Event