Como configurar e gerenciar a auditoria baseada em operação para o Windows Server 2003, Enterprise Edition

Traduções deste artigo Traduções deste artigo
ID do artigo: 325898 - Exibir os produtos aos quais esse artigo se aplica.
Expandir tudo | Recolher tudo

Neste artigo

Sumário

Este artigo descreve como configurar e gerenciar a auditoria baseada em operações no Windows Server 2003 Enterprise Edition. Quando você usa a operação baseada em auditoria, você pode auditar operações em arquivos e pastas. Isso significa que você pode auditar certas operações (por exemplo, gravar operações) e auditoria de acesso a objetos. A operação baseada em auditoria é configurada quando você ativar auditoria de acesso a objeto em um arquivo ou pasta. Eventos de acesso a objetos e operações, como operações de gravação são registradas no log de segurança.

As auditorias com base em operações são categorizadas como auditorias de objetos e estiverem conectados como um evento ID 567 no log de segurança. As auditorias forem geradas na primeira vez que uma operação é executada. Você pode configurar somente arquivos e pastas para gerar auditorias de operação.

Como definir ou modificar configurações de diretiva de auditoria para uma categoria de evento

Para o computador local

  1. Clique em Iniciar , clique em Painel de controle , clique duas vezes em Ferramentas administrativas e, em seguida, clique duas vezes Local Security Policy .
  2. Na árvore de console, vá para o seguinte local e, em seguida, clique em Diretiva de auditoria :
    Diretivas de segurança\Diretivas de segurança \Audit diretiva
  3. No painel de detalhes, clique duas vezes em uma categoria de evento para o qual você deseja alterar as configurações de diretiva de auditoria.
  4. Executar uma ou ambas as seguintes tarefas e, em seguida, clique em OK .
    • Para fazer auditoria em tentativas bem-sucedidas, clique para selecionar a caixa de seleção êxito .
    • Para fazer auditoria em tentativas sem êxito, clique para selecionar a caixa de seleção Falha .
anotações
  • Para executar este procedimento, você deve ser um membro do grupo Administradores no computador local.
  • Se o computador tiver ingressado em um domínio, os membros do grupo Admins. do domínio poderá executar este procedimento.
  • Para certificar-se de que manter um ambiente seguro, considere usar o comando Executar como para executar este procedimento.
  • Se você estiver no controlador de domínio, talvez seja necessário editar a diretiva de domínio padrão no domínio.

Para controladores de domínio ou uma estação de trabalho que tem o pacote de ferramentas administrativas instalado

  1. Clique em Iniciar , aponte para programas , aponte para Ferramentas administrativas e, em seguida, clique em Domain Controller Security Policy .
  2. Na árvore de console, vá para o seguinte local e, em seguida, clique em Diretiva de auditoria :
    Computador configuração/Windows Settings/Security Settings/diretivas locais/Diretiva de auditoria
  3. No painel de detalhes, clique duas vezes em uma categoria de evento para o qual você deseja alterar as configurações de diretiva de auditoria.
  4. Se você estiver definindo configurações de diretiva auditoria para esta categoria de evento pela primeira vez, clique para selecionar a caixa de seleção Definir estas configurações de diretiva .
  5. Executar uma ou ambas as seguintes tarefas e, em seguida, clique em OK .
    • Para fazer auditoria em tentativas bem-sucedidas, clique para selecionar a caixa de seleção êxito .
    • Para fazer auditoria em tentativas sem êxito, clique para selecionar a caixa de seleção Falha .
anotações
  • Para executar este procedimento, você deve ser um membro do grupo Administradores no computador local.
  • Se o computador tiver ingressado em um domínio, os membros do grupo Admins. do domínio poderá executar este procedimento.
  • Para certificar-se de que manter um ambiente seguro, considere usar o comando Executar como para executar este procedimento.

Para um domínio ou unidade organizacional em um controlador de domínio ou uma estação de trabalho que tenha o pacote de ferramentas administrativas instalado

  1. Clique em Iniciar , aponte para programas , aponte para Ferramentas administrativas e, em seguida, clique em Active Directory Users and Computers .
  2. Na árvore de console, clique com o botão direito do mouse no domínio ou unidade organizacional para o qual você deseja definir a diretiva de grupo.
  3. Clique em Propriedades e clique em guia Diretiva de grupo .
  4. Clique em Editar para abrir o objeto de diretiva de grupo (GPO) que você deseja editar.

    Como alternativa, clique em novo para criar um novo GPO e, em seguida, clique em Editar .
  5. Na árvore de console, vá para o seguinte local e, em seguida, clique em Diretiva de auditoria :
    Computador configuração/Windows Settings/Security Settings/diretivas locais/Diretiva de auditoria
  6. No painel de detalhes, clique duas vezes em uma categoria de evento para o qual você deseja alterar as configurações de diretiva de auditoria.
  7. Se você estiver definindo configurações de diretiva auditoria para esta categoria de evento pela primeira vez, clique para selecionar a caixa de seleção Definir estas configurações de diretiva .
  8. Executar um destes procedimentos ou ambos e, em seguida, clique em OK .
    • Para fazer auditoria em tentativas bem-sucedidas, clique para escolher a caixa de seleção êxito .
    • Para fazer auditoria em tentativas sem êxito, clique para selecionar a caixa de seleção Falha .
anotações
  • Para executar este procedimento, você deve ser um membro do grupo Administradores no computador local.
  • Se o computador tiver ingressado em um domínio, os membros do grupo Admins. do domínio poderá executar este procedimento.
  • Para certificar-se de que manter um ambiente seguro, considere usar o comando Executar como para executar este procedimento.
  • Se você estiver no controlador de domínio, talvez seja necessário editar a diretiva de domínio padrão no domínio.

Para um domínio ou unidade organizacional em um servidor membro ou em uma estação de trabalho que ingressou em um domínio

  1. Clique em Iniciar , clique em Executar , digite mmc e, em seguida, clique em OK .
  2. No menu arquivo , clique em Adicionar/remover Snap-in e, em seguida, clique em Adicionar .
  3. Clique em Editor de objeto de diretiva de grupo e, em seguida, clique em Adicionar .
  4. Na página Selecionar objeto de diretiva de grupo no Assistente de diretiva de grupo, clique em Procurar .
  5. Selecione um GPO no domínio apropriado, site ou unidade organizacional ou criar um novo, clique em OK e em seguida, clique em Concluir .
  6. Clique em Fechar e, em seguida, clique em OK .
  7. Na árvore de console, vá para o seguinte local e, em seguida, clique em Diretiva de auditoria :
    Computador configuração/Windows Settings/Security Settings/diretivas locais/Diretiva de auditoria
  8. No painel de detalhes, clique duas vezes em uma categoria de evento para o qual você deseja alterar as configurações de diretiva de auditoria.
  9. Se você estiver definindo configurações de diretiva auditoria para esta categoria de evento pela primeira vez, clique para selecionar a caixa de seleção Definir estas configurações de diretiva .
  10. Executar uma ou ambas as seguintes tarefas e, em seguida, clique em OK .
    • Para fazer auditoria em tentativas bem-sucedidas, clique para selecionar a caixa de seleção êxito .
    • Para fazer auditoria em tentativas sem êxito, clique para selecionar a caixa de seleção Falha .
anotações
  • Para executar este procedimento, você deve ser um membro do grupo Administradores no computador local.
  • Se o computador tiver ingressado em um domínio, os membros do grupo Admins. do domínio poderá executar este procedimento.
  • Para certificar-se de que manter um ambiente seguro, considere usar o comando Executar como para executar este procedimento.
  • Se você estiver no controlador de domínio, talvez seja necessário editar a diretiva de domínio padrão no domínio.
  • Para fazer auditoria de acesso a objetos, siga as etapas acima para ativar a auditoria da categoria de evento de acesso do objeto de e, em seguida, ative a auditoria no objeto especificado.
  • Depois de configurar a diretiva de auditoria, eventos são registrados no log de segurança. Abra o log de segurança para exibir esses eventos.
  • Você deve fazer logon como um membro de administradores do grupo ou você deve ter recebido o direito Gerenciar auditoria e log de segurança na diretiva de grupo para executar este procedimento.
  • A configuração de diretiva de controladores de domínio de auditoria padrão é Sem auditoria . Essa configuração significa que, mesmo se a auditoria estiver ativada no domínio, os controladores de domínio não herdam a diretiva de auditoria localmente. Se você desejar diretiva de auditoria do domínio seja aplicada a controladores de domínio, você deve modificar essa configuração de diretiva.

Como aplicar ou modificar configurações de diretiva de auditoria para um arquivo ou pasta local

  1. Clique em Iniciar , aponte para Todos os programas , aponte para Acessórios e, em seguida, clique em Windows Explorer .
  2. Localize o arquivo ou pasta que você deseja auditar.
  3. Clique com o botão direito do mouse no arquivo ou pasta, clique em Propriedades e, em seguida, clique na guia segurança .
  4. Clique em Avançado e, em seguida, clique na guia auditoria .
  5. Execute uma das seguintes tarefas:
    • Para configurar a auditoria para um novo usuário ou grupo, clique em Adicionar , digite o nome do usuário ou grupo que você deseja configurar na caixa Digite o nome do objeto a ser selecionado e, em seguida, clique em OK .
    • Para remover a auditoria de um grupo ou usuário existente, clique no nome do grupo ou usuário, clique em Remover , clique em OK e, em seguida, ignore o restante deste procedimento.
    • Para exibir ou alterar a auditoria de um grupo ou usuário existente, clique no nome do grupo ou usuário e, em seguida, clique em Editar .
  6. Na caixa Aplicar em , clique no local onde você deseja auditoria ocorra.
  7. Na caixa acesso , selecione as caixas de seleção apropriadas para indicar as ações que você deseja fazer auditoria:
    • Para fazer auditoria em eventos bem-sucedidos, clique para selecionar a caixa de seleção êxito .
    • Para interromper a auditoria em eventos bem-sucedidos, clique para limpar a caixa de seleção êxito .
    • Para fazer auditoria em eventos malsucedidos, clique para selecionar a caixa de seleção Falha .
    • Para interromper a auditoria em eventos malsucedidos, clique para limpar a caixa de seleção Falha .
    • Para interromper a auditoria em todos os eventos, clique em Limpar tudo .
  8. Se desejar impedir que os arquivos subseqüentes e subpastas do objeto original herdem essas configurações de auditoria, clique para marcar a caixa de seleção Aplicar essas entradas para objetos e/ou recipientes somente dentro deste recipiente de auditoria .
importante Antes de configurar auditoria de arquivos e pastas, você deve ativar a auditoria, definindo configurações de diretiva de auditoria para categoria de evento de acesso a objetos de acesso a objetos. Se você não ative a auditoria de acesso a objetos, você receberá uma mensagem de erro quando você configurar a auditoria de arquivos e pastas e arquivos ou pastas não forem auditadas.

anotações
  • Você deve fazer logon como um membro de administradores do grupo ou você deve ter recebido o direito Gerenciar auditoria e log de segurança na diretiva de grupo para executar este procedimento.
  • Você pode configurar o arquivo e pasta auditoria apenas no NTFS unidades.
  • Depois de ativar auditoria de acesso a objetos, exiba o log de segurança em Visualizar eventos para analisar os resultados das suas alterações.
  • Se você vir as configurações a seguir, auditoria terá sido herdada da pasta pai:
    • Na caixa de diálogo Entrada de auditoria para arquivo ou pasta , as caixas de seleção não estão disponíveis na caixa de acesso .
    • Na caixa de diálogo Configurações de segurança avançadas para arquivo ou pasta , o botão Remover não estiver disponível
  • Já que o log de segurança é limitado em tamanho, selecione cuidadosamente os arquivos e pastas que você deseja ser auditadas. Além disso, considere o espaço em disco que você deseja destinar ao log de segurança. O tamanho máximo para o log de segurança é definido em Visualizar eventos.

Como aplicar ou modificar configurações de diretiva para um objeto de auditoria usando a diretiva de grupo

  1. Clique em Iniciar , clique em Executar , digite mmc e, em seguida, clique em OK .
  2. No menu arquivo , clique em Adicionar/remover Snap-in e, em seguida, clique em Adicionar .
  3. Clique em Editor de objeto de diretiva de grupo e, em seguida, clique em Adicionar .
  4. Na página Selecionar objeto de diretiva de grupo no Assistente de diretiva de grupo, clique em Procurar .
  5. Selecione um GPO no domínio apropriado, site ou unidade organizacional ou criar um novo, clique em OK e em seguida, clique em Concluir .
  6. Clique em Fechar e, em seguida, clique em OK .
  7. Execute uma ou mais das seguintes tarefas:
    • Serviços do sistema:
      1. Na árvore de console, vá no seguinte local e, em seguida, clique em serviços do sistema :
        Serviços de configuração/Windows Settings/Security configurações/sistema de computador
      2. No painel de detalhes, clique com o botão direito do mouse no serviço que você deseja aplicar ou modificar as configurações da diretiva de auditoria de e, em seguida, clique em Propriedades .
      3. Se ele não ainda estiver selecionado, selecione a caixa de seleção definir esta configuração de diretiva e, em seguida, selecione a configuração apropriada.
      4. Clique em Editar segurança .
    • Chaves do Registro:
      1. Na árvore de console, vá para o seguinte local e, em seguida, clique em registro :
        Computador configuração/Windows Settings/Security sistema/configurações de serviços/registro
      2. Se você quiser adicionar uma chave do registro à auditoria, clique com o botão direito do mouse em registro , clique em Adicionar chave deste GPO, vá para a chave que você deseja configurar e, em seguida, clique em OK .
      3. Se você quiser aplicar ou modificar configurações de auditoria de uma chave do registro que já tenha sido adicionado a esse GPO, clique com o botão direito na chave do registro no painel de detalhes, clique em Propriedades e, em seguida, clique em Editar segurança .
    • Arquivos ou pastas:
      1. Na árvore de console, vá para o seguinte local e, em seguida, clique em File System :
        Computador configuração/Windows Settings/Security Settings/File System
      2. Se você deseja adicionar um arquivo ou pasta à auditoria, clique Sistema de arquivos com o botão direito do mouse, clique em Adicionar arquivo deste GPO, ou vá para o arquivo que você deseja adicionar ou criar uma nova pasta e, em seguida, clique em OK .
      3. Se você quiser aplicar ou modificar as configurações em um arquivo ou pasta que já foi adicionada a esse GPO, auditoria clique com o botão direito do mouse no arquivo ou pasta no painel de detalhes, clique em Propriedades e, em seguida, clique em Editar segurança .
  8. Clique em Avançado e, em seguida, clique na guia auditoria .
  9. Execute uma das seguintes tarefas:
    • Para configurar a auditoria para um novo usuário ou grupo, clique em Adicionar , digite o nome do usuário ou grupo que você deseja adicionar na caixa Digite o nome do objeto a ser selecionado e, em seguida, clique em OK .
    • Para exibir ou alterar a auditoria de um grupo ou usuário existente, clique no nome que você deseja exibir e, em seguida, clique em Editar .
    • Para remover a auditoria de um grupo ou usuário existente, clique no nome que você deseja remover, clique em Remover , clique em OK e, em seguida, ignore o restante deste procedimento.
  10. Selecione a entrada adequada na lista Aplicar em .
  11. Na caixa acesso , execute as seguintes tarefas:
    • Para fazer auditoria em eventos bem-sucedidos, clique para selecionar a caixa de seleção êxito .
    • Para interromper a auditoria em eventos bem-sucedidos, clique para limpar a caixa de seleção êxito .
    • Para fazer auditoria em eventos malsucedidos, clique para selecionar a caixa de seleção Falha .
    • Para interromper a auditoria em eventos malsucedidos, desmarque a caixa de seleção Falha .
    • Para interromper a auditoria em todos os eventos, clique em Limpar tudo .
  12. Se você quiser impedir que arquivos e subpastas na árvore herdem essas entradas de auditoria, clique para selecionar a caixa de seleção Aplicar essas entradas de auditoria a objetos e/ou recipientes somente dentro deste recipiente .
importante Antes de configurar auditoria de arquivos e pastas, você deve ativar a auditoria, definindo configurações de diretiva de auditoria para categoria de evento de acesso a objetos de acesso a objetos. Se você não ative a auditoria de acesso a objetos, você receberá uma mensagem de erro quando você configurar a auditoria de arquivos e pastas e arquivos ou pastas não forem auditadas.

anotações
  • Você deve fazer logon como um membro de administradores do grupo ou você deve ter recebido o direito Gerenciar auditoria e log de segurança na diretiva de grupo para executar este procedimento.
  • Você pode configurar o arquivo e pasta auditoria apenas no NTFS unidades.
  • Depois de ativar auditoria de acesso a objetos, exiba o log de segurança em Visualizar eventos para analisar os resultados das suas alterações.
  • Se você vir as configurações a seguir, auditoria terá sido herdada da pasta pai:
    • Na caixa de diálogo Entrada de auditoria para arquivo ou pasta , as caixas de seleção não estão disponíveis na caixa de acesso .
    • Na caixa de diálogo Configurações de segurança avançadas para arquivo ou pasta , o botão Remover não estiver disponível
  • Já que o log de segurança é limitado em tamanho, selecione cuidadosamente os arquivos e pastas que você deseja ser auditadas. Além disso, considere o espaço em disco que você deseja destinar ao log de segurança. O tamanho máximo para o log de segurança é definido em Visualizar eventos.

Propriedades

ID do artigo: 325898 - Última revisão: segunda-feira, 30 de outubro de 2006 - Revisão: 8.3
A informação contida neste artigo aplica-se a:
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
Palavras-chave: 
kbmt kbmgmtservices kbsecurity kbhowtomaster KB325898 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine Translation ou MT), não tendo sido portanto traduzido ou revisto por pessoas. A Microsoft possui artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais, com o objetivo de oferecer em português a totalidade dos artigos existentes na base de dados de suporte. No entanto, a tradução automática não é sempre perfeita, podendo conter erros de vocabulário, sintaxe ou gramática. A Microsoft não é responsável por incoerências, erros ou prejuízos ocorridos em decorrência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza atualizações freqüentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 325898

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com