Como Detectar Quem Alterou o Proprietário de um Arquivo ou Pasta

Netwrix Auditor for Windows File Servers

1. Execute o Netwrix Auditor → Vá para “Pesquisa” → Clique em “Modo avançado” se não estiver selecionado → Configure os seguintes filtros:
   • Filtro = “Fonte de dados”
     Operador = “Igual a”
     Valor = “Servidores de Arquivos”
   • Filter = “Detalhes”
     Operator = “Contém”
     Value = “Proprietário alterado"
2. Clique no botão “Pesquisar” e revise quem alterou os proprietários de arquivos ou pastas.

Para criar um alerta sobre mudanças no proprietário de arquivos ou pastas:

1. A partir dos resultados da pesquisa, navegue até “Ferramentas” → Clique em “Criar alerta” → Especifique o nome do novo alerta.
2. Mude para a aba “Destinatários” → Clique em "Adicionar Destinatário" → Especifique o endereço de e-mail para onde deseja que o alerta seja entregue.
3. Clique em “Adicionar” para salvar o alerta.

Auditoria Nativa

1. Navegue até o compartilhamento de arquivo desejado → Clique com o botão direito e selecione "Propriedades" → Mude para a aba "Segurança" → Clique no botão "Avançado" → Vá para a aba "Auditoria" → Clique no botão "Adicionar" → Selecione Principal: "Todos"; Selecione Tipo: "Todos"; Selecione Aplica-se a: "Esta pasta, subpastas e arquivos"; Selecione as seguintes "Permissões Avançadas": "Alterar permissões e "Assumir propriedade".
2. Execute gpmc.msc → Edite a "Política de Domínio Padrão" → Configuração do Computador → Políticas → Configurações do Windows → Configurações de Segurança.
3. Vá para Políticas Locais → Política de Auditoria:
   • Auditar acesso a objetos → Definir → Sucessos e Falhas
4. Vá para "Configuração de Política de Auditoria Avançada" → Políticas de Auditoria → Acesso a Objetos:
   • Auditar Sistema de Arquivos → Definir → Sucessos e Falhas
   • Auditoria de Manipulação de Handle → Definir → Sucessos e Falhas
5. Vá para Event Log → Definir:
   • Tamanho máximo do log de segurança para 1 GB
   • Método de retenção para o log de segurança para “Sobrescrever eventos conforme necessário”
6. Abra o Visualizador de Eventos → Pesquise nos Registros de Segurança do Windows pelo ID de evento 4663 com a categoria de tarefa "Servidor de Arquivos" ou "Armazenamento Removível" e com a string "Acessos: WRITE_OWNER". "ID de Segurança do Sujeito" mostrará quem alterou o proprietário de um arquivo ou pasta.
   

Saiba mais sobre Netwrix Auditor for Windows File Servers

Detecte rapidamente alterações na propriedade de arquivos/pastas para mitigar o risco de violações de dados

Todo objeto em um compartilhamento de arquivo tem um proprietário. O proprietário de um arquivo controla quem tem permissions para o objeto; permissões de acesso total são particularmente importantes porque permitem ao usuário ler, copiar, excluir e realocar o arquivo. Portanto, qualquer alteração do proprietário de um arquivo aumenta o risco de acesso não autorizado que pode resultar na perda ou vazamento de dados sensíveis. Os administradores de TI devem monitorar continuamente toda mudança no proprietário de um arquivo e detectar alterações impróprias a fim de mitigar o risco de violações de dados e falhas de conformidade.

Netwrix Auditor for Windows File Servers oferece total visibilidade sobre o que está acontecendo nos seus servidores de arquivos Windows e fornece dados de auditoria acionáveis sobre todas as alterações feitas em arquivos e pastas, incluindo a mudança de proprietário de um arquivo. O aplicativo também fornece os valores atuais e anteriores para cada alteração. Esses valores ajudam você a detectar rapidamente qual proprietário de arquivo foi alterado, o nome antigo e o novo do proprietário do arquivo, quando e onde a alteração foi feita e — o mais importante — quem alterou o proprietário de um arquivo.