Rastrear cópia de ficheiros em unidades externa
Manuel Miguel
Microsoft Certified Trainer (MCT) | 65x Microsoft Certified | 4x Kaspersky | 3x Alibaba | 3x Yeastar | 2x Vembu | 1x Veeam | 1x Cisco | 1x VMware | 1x AWS | IT Senior Consultant
Todos sabemos como actualmente como é importante a segurança dos nossos ficheiros por isso neste pequeno tutorial irei mostrar com rastrear os ficheiros que são copiados para as unidades externas (Pen Drive, Disco Duro), é útil principalmente para os nossos servidores de arquivo (File Server)
A boa noticia é que o Log de segurança do Windows oferece uma maneira de auditar estas copias de arquivos.
A auditoria de armazenamento removível (Audit Removable Storage) no Windows funciona de maneira semelhante e registra exatamente os mesmos eventos que a auditoria do sistema de arquivos. A diferença está no controle de qual atividade é auditada.
Primeiro ative a subcategoria de auditoria Sistema de arquivos de auditoria (Audit File System) no nível do computador. Em seguida, você escolhe quais pastas deseja auditar e habilita a auditoria no nível do objeto nessas pastas para os usuários ou grupos, permissões e resultados de sucesso/falha que precisam ser monitorados.
Por exemplo, você pode auditar o acesso de leitura em C:\Backup para o grupo ITadmins.
No entanto, auditoria de armazenamento removível (Audit Removable Storage) é muito mais simples de ativar e muito menos flexível. Depois de activar a subcategoria de auditoria de armazenamento removível (Audit Removable Storage), o Windows começa a auditar todas as solicitações de acesso para todo o armazenamento removível.
Uma vez ativado, o Windows registra o evento ID 4663 da auditoria do sistema de arquivos. Por exemplo, o evento abaixo mostra que o usuário shared.admin gravou um arquivo chamado Get-BackupReportAlert.ps1 em um dispositivo de armazenamento removível do Windows chamado arbitrariamente \Device\HarddiskVolume12 com o programa chamado Explorer (a área de trabalho do Windows).
Como sabemos que este é um evento de armazenamento removível e não apenas uma auditoria normal do sistema de arquivos? Afinal, é evento de ID é o mesmo usado para a auditoria normal do sistema de arquivos. Observe a categoria de tarefa acima, que diz Armazenamento removível (Removable Storage).
Se quiseres ir mas além podes sempre associar o evento a uma tarefa (Attach Task To This Event) e criar um script que envie email de alerta sempre for copiado um arquivo do seu servidor de arquivo (File Server).
Até Breve
Microsoft MVP | MCT | Azure Solutions Architect | Azure Administrator | Azure Security Engineer
4 aVery nice
Sr System Engineer | SysAdmin | Cloud Administrator | Solutions Architect | Azure | Office 365 | Critical Systems | Network | Infrastructure | Opinions are my own!
5 aMt bem Manuel Miguel Eu auxílio ao event viewer e como audit costumo implementar Netwrix File Server Monitor give it a try Abc