Magic Quadrant™ para gerenciamento de acesso privilegiado 2025: Netwrix reconhecida pelo quarto ano consecutivo. Baixe o relatório.

Fale conoscoSuporteCommunity
English Español Italiano Français Deutsch Português
Plataforma
Soluções

Data Security Posture Management

Descubra e classifique dados em ambientes híbridos. Avalie, priorize e mitigue riscos aos dados sensíveis.

Directory Management

Simplifique e proteja a administração de diretórios reduzindo a complexidade, o risco e o esforço manual.

Endpoint Management

Proteja endpoints e previna a perda de dados enquanto mantém as equipes produtivas — não importa onde trabalhem.

Identity Management

Proteja cada identidade, simplifique cada processo e mantenha-se à frente da conformidade — sem adicionar complexidade.

Identity Threat Detection & Response

Mantenha-se à frente de ameaças baseadas em identidade — remediação proativa de riscos, bloqueio de ataques e garantia de recuperação rápida.

Privileged Access Management

Reduza sua superfície de ataque eliminando privilégios permanentes, protegendo credenciais e monitorando sessões privilegiadas.
Produtos em destaque Ver todos os produtos
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

A plataforma Netwrix 1Secure™

Explore
Netwrix AI Ambientes que protegemos Integrações MSPs Riscos de segurança do Active Directory Conformidade Preços
Resource Center Ver Todos
BlogAttack CatalogConformidadeHistórias de ClientesFrameworks de CibersegurançaGlossário de CibersegurançaEventsFreewareGuiasIdeas PortalNotíciasPodcastsPublicaçõesAnúncios de ProdutosPesquisaWebinars
Asset not found

História em Destaque de Cliente

A DXC Technology possibilita que clientes alcancem a conformidade com PCI DSS e se concentrem em iniciativas estratégicas
Parceiros
Programa de ParceirosTorne-se um ParceiroMSPsLocalizador de parceirosWebinars
Asset not found

História em Destaque de Cliente

AppRiver aprimora o controle sobre o Active Directory enquanto reduz significativamente o tempo de auditoria
Asset not found

História em Destaque de Cliente

MSP Ajuda Cliente a Recuperar de Ransomware em 6 Horas
Por que a Netwrix
Sobre NósLiderançaNetwrix AIHistórias de clientesReconhecimentoNoticiasCarreiras
Asset not found

História em Destaque de Cliente

Horizon Leisure Centres acelera a classificação de dados para cumprir o RGPD e economiza £80.000 por ano
Asset not found

História em Destaque de Cliente

Samsung R&D Institute garante a segurança dos dados com uso multiplataforma e implantação rápida no macOS usando Netwrix Endpoint Protector
Centro de recursosBlog
Monitoramento de Acesso a Arquivos do Windows

Monitoramento de Acesso a Arquivos do Windows

Dec 9, 2022

Neste post, vamos mergulhar em como configurar a auditoria de acesso a arquivos em um servidor de arquivos Windows e explorar os desafios ao interpretar eventos críticos de acesso.

Contexto

O primeiro passo no desenvolvimento de uma estratégia de auditoria eficaz é obter um bom entendimento dos seus sistemas, casos de uso e necessidades empresariais, para que você possa evitar o impacto de configurar um escopo de auditoria mais amplo do que o realmente necessário. Quanto mais configurações de audit policy você escolher e mais arquivos e pastas você auditar, mais trabalho o servidor de arquivos terá que fazer para registrar os eventos, mais armazenamento será necessário para acomodar o volume de eventos e mais dados os administradores terão que analisar para entender quem está acessando o quê.

Portanto, antes de habilitar uma política de auditoria, certifique-se de:

  • Determine onde os dados mais críticos da sua organização estão armazenados e priorize quais arquivos e pastas precisam ser auditados.
  • Determine a quantidade de armazenamento que será necessária para suportar as configurações de auditoria escolhidas.

Conteúdo relacionado selecionado:

Configurando Auditoria de Acesso a Arquivos em um Servidor de Arquivos Windows

Neste post do blog, mostrarei como habilitar uma política de auditoria avançada por meio da Group Policy em um controlador de domínio executando o Windows Server 2016 R2. (Se você tem apenas um único servidor de arquivos, poderia usar a Security Policy em vez disso.)

A política de auditoria avançada permite que os administradores sejam mais seletivos nos tipos e quantidade de eventos a serem retornados do que podem com as configurações de política de auditoria básica. Em particular, quando se trata de auditoria de acesso a arquivos, a política de auditoria básica fornece uma única configuração, enquanto a política avançada fornece 14 subcategorias. Neste exemplo, vamos habilitar as seguintes opções:

  • Auditoria do Sistema de Arquivos — Auditorias de tentativas de usuários para acessar objetos do sistema de arquivos.
  • Auditoria de Manipulação de Handle — Adiciona visibilidade às tentativas de acesso falhadas.
  • Crie um novo objeto de Política de Grupo (GPO) através do Group Policy Management e insira um nome adequado.
Image
  • Clique com o botão direito do mouse no novo GPO para abrir a janela do Editor de Gerenciamento de Política de Grupo.
Image
  • Navegue até Configuração do Computador –> Configurações do Windows –> Configuração de Política de Auditoria Avançada –> Políticas de Auditoria –> Acesso a Objetos.
Image
  • Dê um duplo clique em Audit File System. Em seguida, selecione Configure the following audit events e escolha tanto Success quanto Failure. Salve suas alterações clicando em Apply e depois clique em OK.
Image
  • Clique duas vezes em Audit Handle Manipulation. Selecione Configure os seguintes eventos de auditoria e escolha tanto Sucesso quanto Falha. Em seguida, clique em Aplicar e depois em OK.
Image
  • Agora precisamos vincular a nova GPO com a OU que contém os servidores de arquivos. No Gerenciamento de Política de Grupo, clique com o botão direito na OU, selecione Vincular um GPO existente…, selecione o GPO que criamos (Política de Acesso ao Sistema de Arquivos) e clique em OK para aplicá-lo à OU selecionada. Em seguida, force os servidores de arquivos a verificar a nova política de grupo: Clique com o botão direito na OU no Gerenciamento de Política de Grupo novamente, clique em Atualização de Política de Grupo e siga os passos do assistente.
Image
  • Navegue até as propriedades do log de Segurança no servidor de arquivos Windows alvo. Em seguida, configure o Maximum log size (KB) e a ação a ser tomada se o tamanho máximo do log de eventos for atingido.
Image
  • Navegue até a aba de segurança nas propriedades de cada pasta de destino –> clique em Advanced –> navegue até a aba Auditing –> clique em Add –> configure as configurações de auditoria. Supondo que essas pastas contenham os ativos mais críticos da sua organização, você provavelmente vai querer monitorar eventos de acesso de todos os usuários selecionando o principal “Todos”.
Image

Desafios com a Auditoria de Acesso a Arquivos

Agora, vamos revisar alguns dos principais desafios na auditoria de acesso a arquivos.

Alto Volume de Eventos

Os administradores muitas vezes têm dificuldades para gerenciar eficazmente o grande volume de dados de auditoria que é produzido. Por exemplo, vamos examinar os eventos criados pelo seguinte cenário comum:

  1. Um usuário abre um documento do Microsoft Word em um compartilhamento de arquivo.
  2. O usuário edita o documento.
  3. O usuário salva e fecha o documento.

Este comportamento comum resultaria em mais de 200 eventos sendo registrados no log de eventos, conforme mostrado abaixo. Multiplique isso pelo número de vezes que essa atividade será realizada pelos usuários todos os dias, e é fácil perceber como rapidamente a tarefa de monitorar o acesso a arquivos se torna difícil de gerenciar!

Image

Aqui estão mais detalhes sobre os eventos que podem ser retornados no nosso cenário simples:

ID do Evento

Descrição


Detalhes

4656

Foi solicitado um identificador para um objeto

Este é o primeiro evento registrado quando um usuário tenta acessar um arquivo; inclui o tipo de acesso que está sendo solicitado.

4658

O identificador de um objeto foi fechado

Este evento registra quando um identificador de um objeto foi fechado. É útil para determinar por quanto tempo um arquivo esteve aberto.

4660

Um objeto foi excluído

Este evento é registrado quando um objeto é excluído. Para descobrir qual objeto foi, você deve relacioná-lo a um evento 4656 correspondente.

4663

Foi feita uma tentativa de acesso a um objeto

Este evento identifica a operação tentada contra um arquivo ou pasta, como ReadData, WriteData ou Delete.

4670

As permissões em um objeto foram alteradas

Este evento é registrado quando as permissões de um arquivo ou pasta são alteradas. Ele mostra quem fez a alteração e os valores de antes e depois.

Ruído de Arquivos Temporários

O exemplo acima retornou 230 eventos — mas quase metade deles foram registrados contra arquivos temporários que existiram apenas por um curto período de tempo.

O Microsoft Office utiliza arquivos temporários para múltiplos propósitos, incluindo para auto-salvar dados durante a edição, liberar memória e prevenir perda de dados. Embora isso proporcione aos usuários uma experiência melhor, é uma enorme dor de cabeça para o administrador encarregado de gerenciar o rastro de auditoria: Para fazer sentido de quais objetos estão sendo acessados, eles não só precisam correlacionar vários IDs de Evento diferentes, como também têm que identificar e descartar os eventos relacionados a arquivos temporários.

Dificuldade em Compreender Alterações às Permissões

O evento 4670 é registrado quando uma permissão em um arquivo ou pasta é alterada. É vital monitorar esses eventos, pois eles podem colocar informações sensíveis em risco, como quando uma permissão de pasta é adicionada ao grupo de Usuários do Domínio. Aqui está um exemplo de evento:

Image

O evento 4670 pode ser difícil de trabalhar por várias razões:

  • O descritor de segurança é representado usando a Linguagem de Definição de Descritor de Segurança (SDDL), então o administrador precisa traduzi-lo para um formato legível.
  • Uma vez traduzido, o administrador precisa comparar cuidadosamente os descritores de segurança originais e novos para identificar a permissão alterada.

Correlacionando eventos para entender o movimento de arquivos

Compreender o movimento de arquivos de um local para outro pode ser crítico, por exemplo, quando os documentos de um usuário estão desaparecidos e precisam ser encontrados. Mas mover um arquivo, seja através de arrastar-e-soltar ou cortar-e-colar, gera múltiplos eventos, muitos dos quais são eventos 4663. Para determinar para onde um arquivo foi movido, os administradores têm que filtrar manualmente os eventos irrelevantes e correlacionar os eventos 4663 que possuem um Handle ID correspondente.

Image

Como a Netwrix pode ajudar?

Como vimos, a auditoria nativa de acesso a arquivos sobrecarrega os administradores com tantos dados de eventos e esforço manual de filtragem e correlação que não é uma forma viável de responder a perguntas cruciais sobre acesso a arquivos, alterações de permissões e movimentação de arquivos.

O software de governança de acesso a dados da Netwrix oferece uma abordagem eficaz e escalável para o monitoramento de atividades de arquivos. Além disso, ajudará você a reduzir o risco de incidentes de cibersegurança, permitindo que você entenda quem tem acesso ao quê e limite estritamente o acesso a dados sensíveis. Você pode:

  • Audite atividades em todo o seu ecossistema de TI.
  • Reduza o acesso a dados sensíveis ao mínimo necessário para diminuir o risco de ameaças internas e minimizar os danos causados por ransomware e outros ataques.
  • Otimize as comprovações regulares de privilégios pelos proprietários dos dados.
  • Proteja dados sensíveis onde quer que eles estejam com a marcação precisa e consistente de conteúdo.

FAQ

Como monitorar o acesso a arquivos no Windows?

O monitoramento de acesso a arquivos do Windows requer a ativação da política de auditoria para acesso a objetos e a configuração de pastas específicas para auditoria. Comece abrindo o Gerenciamento de Política de Grupo (gpedit.msc) e navegue até Configuração do Computador > Configurações do Windows > Configurações de Segurança > Políticas Locais > Política de Auditoria. Ative a opção “Auditar acesso a objetos” para eventos de sucesso e falha. Em seguida, clique com o botão direito nas pastas que deseja monitorar, selecione Propriedades > Segurança > Avançado > Auditoria e adicione usuários ou grupos com os tipos de acesso específicos que deseja rastrear.

O desafio com o monitoramento nativo do Windows é que ele gera enormes quantidades de dados de log sem contexto. Você verá quem acessou qual arquivo, mas conectar essa atividade a um risco empresarial real exige análise manual. Data Security That Starts with Identity significa entender não apenas o acesso a arquivos, mas se esse acesso está alinhado com as responsabilidades do trabalho e as necessidades empresariais. As organizações precisam de soluções que correlacionem automaticamente os padrões de acesso a arquivos com os papéis dos usuários, a sensibilidade dos dados e os requisitos de conformidade para identificar comportamentos arriscados antes que se transformem em violações.

Como habilitar a auditoria de arquivos no Windows Server 2016?

Windows Server 2016 a auditoria de arquivos segue um processo de dois passos: habilitar a política de auditoria e configurar a auditoria no nível de pasta. Abra o Console de Gerenciamento de Política de Grupo e navegue até Configuração do Computador > Políticas > Configurações do Windows > Configurações de Segurança > Configuração de Política de Auditoria Avançada > Acesso a Objetos. Habilite “Auditar Sistema de Arquivos” para eventos de sucesso e falha. Aplique a política usando gpupdate /force.

Para auditoria específica de pastas, acesse as Propriedades da pasta alvo > aba Segurança > Avançado > aba Auditoria. Clique em Adicionar para criar novas entradas de auditoria, especificando quais usuários ou grupos monitorar e quais ações disparam eventos de auditoria (Ler, Escrever, Excluir, Alterar Permissões). O Windows Server 2016 introduziu capacidades de filtragem aprimoradas, mas você ainda precisará gerenciar o fluxo de dados de auditoria manualmente. O segredo é focar em repositórios de dados de alto valor e entender que o monitoramento eficaz conecta o acesso aos arquivos ao contexto de identidade – não apenas registrando tudo que acontece.

Como habilitar a auditoria de arquivos no Windows Server 2019?

O Windows Server 2019 simplifica a auditoria de arquivos com opções aprimoradas de Política de Grupo e filtragem de eventos melhorada. Acesse a Configuração de Política de Auditoria Avançada através do Gerenciamento de Política de Grupo > Configuração do Computador > Políticas > Configurações do Windows > Configurações de Segurança > Configuração de Política de Auditoria Avançada > Acesso a Objetos. Ative a “Auditoria do Sistema de Arquivos” e considere habilitar a “Auditoria de Compartilhamento de Arquivos” para monitoramento de acesso à rede.

Configure a auditoria de pastas através da aba Segurança > Avançado > Auditoria, onde o Server 2019 oferece um controle mais granular sobre quais operações de arquivo geram eventos. A plataforma inclui melhores filtros para arquivos temporários e processos do sistema, reduzindo o ruído nos registros de auditoria. No entanto, o desafio fundamental permanece: dados brutos de auditoria não se traduzem automaticamente em percepções de segurança. Você pode registrar cada interação com arquivos, mas sem um contexto baseado em identidade, você está coletando dados em vez de inteligência acionável. As organizações se concentram em conectar padrões de acesso a arquivos à análise de comportamento do usuário e Data Classification para identificar ameaças genuínas em vez de se afogarem em entradas de registro.

Onde são registrados os eventos de auditoria do sistema de arquivos do Windows?

Os eventos de auditoria do sistema de arquivos do Windows são registrados no Log de Eventos de Segurança do Windows, acessíveis através do Visualizador de Eventos em Logs do Windows > Segurança. Esses eventos geralmente aparecem com os IDs de Evento 4656 (solicitação de handle), 4658 (handle fechado), 4663 (tentativa de acesso) e 4660 (objeto excluído). Você pode filtrar o log de Segurança por esses IDs de Evento específicos para se concentrar na atividade de acesso a arquivos.

O Log de Eventos de Segurança possui limitações para o monitoramento de arquivos em empresas. Ele se enche rapidamente, os eventos carecem de contexto empresarial e correlacionar padrões de acesso entre vários servidores torna-se um processo manual. Cada evento mostra detalhes técnicos como SIDs de usuários e caminhos de arquivos, mas não indica se o acesso representa uma atividade comercial normal ou uma potencial ameaça interna. Monitoramento de arquivos de nível empresarial requer coleta centralizada de logs, correlação automatizada com informações de identidade e filtragem inteligente baseada na sensibilidade dos dados e nos papéis dos usuários. O objetivo não é apenas capturar cada interação com arquivos – é entender quais padrões de acesso representam um risco real para a sua Data Security Posture.

Compartilhar em

Saiba Mais

Sobre o autor

Asset Not Found

Joe Dibley

Pesquisador de Segurança

Pesquisador de Segurança na Netwrix e membro da Equipe de Pesquisa de Segurança da Netwrix. Joe é um especialista em Active Directory, Windows e uma ampla variedade de plataformas de software empresarial e tecnologias, Joe pesquisa novos riscos de segurança, técnicas de ataque complexas e as respectivas mitigações e detecções.

Saiba mais sobre este assunto

Leis de Privacidade de Dados por Estado: Abordagens Diferentes para a Proteção da Privacidade

Exemplo de Análise de Risco: Como Avaliar Riscos

O Triângulo da CIA e Sua Aplicação no Mundo Real

O que é Gerenciamento de Registros Eletrônicos?

Análise de Risco Quantitativa: Expectativa de Perda Anual

Últimos blogs

Os próximos cinco minutos de conformidade: construindo segurança de dados com foco em identidade em toda a APAC

Gerenciamento de configuração para controle seguro de endpoint

Classificação de dados e DLP: Previna a perda de dados, comprove a conformidade

Conformidade com CMMC e o papel crítico do controle de USB estilo MDM na proteção de CUI

DSPM, ASM e ITDR: Construindo uma Estratégia de Segurança Consciente da Exposição e Orientada por Dados

De ruído a ação: transformando risco de dados em resultados mensuráveis

IA no Trabalho: Velocidade, Risco e Por Que a Simplicidade Vence

Leis de Privacidade de Dados por Estado: Abordagens Diferentes para a Proteção da Privacidade

Exemplo de Análise de Risco: Como Avaliar Riscos

O Triângulo da CIA e Sua Aplicação no Mundo Real

Nossos principais artigos

Tipos Comuns de Dispositivos de Rede e Suas Funções

Como Executar um Script do PowerShell a partir do Agendador de Tarefas

Como instalar e usar o Active Directory Users and Computers (ADUC)?

Baixe e instale o PowerShell 7

Os Maiores e Mais Notórios Ataques Cibernéticos da História

Comandos Essenciais do PowerShell: Um Guia de Consulta Rápida para Iniciantes

Uma visão geral do ataque cibernético da MGM

Extração de Hashes de Senha do arquivo Ntds.dit

Guia para Montar Compartilhamentos Unix com um Cliente NFS do Windows

Como Portas Abertas Inseguras e Vulneráveis Representam Sérios Riscos de Segurança