Como rastrear quem excluiu um arquivo dos seus servidores de arquivos Windows

Netwrix Auditor for Windows File Servers

1. Execute o Netwrix Auditor. Navegue até “Reports” → Clique em “File Servers” → Selecione “File Servers Activity” → Clique em “Files and Folders Deleted” → Clique em “View”.
2. Digite o nome do servidor no campo “Where”. Você também pode especificar o caminho para uma pasta específica, usando % como caractere curinga.
3. Revise o relatório:

Configurando a auditoria do sistema de arquivos

1. Navegue até o compartilhamento de arquivo, clique com o botão direito e selecione "Propriedades" → Selecione a aba "Segurança" → Clique no botão "Avançado" → Vá para a aba "Auditoria" → Clique no botão "Adicionar" → Selecione o seguinte:
   • Principal: "Todos"
   • Tipo: "Todos"
   • Aplica-se a: "Esta pasta, subpastas e arquivos"
   • Permissões Avançadas: "Excluir subpastas e arquivos" e "Excluir"
2. Execute o editor de Política de Grupo (gpedit.msc) e crie e edite um novo GPO. Especificamente, vá até → Configuração do Computador → Políticas → Configurações do Windows → Configurações de Segurança → Políticas Locais → Política de Auditoria, e configure da seguinte forma:
   • Audite o acesso a objetos → Defina → Sucessos e Falhas.
3. Vá até "Advanced Audit Policy Configuration" → Audit Policies → Object Access, e configure da seguinte forma:
   • Auditar Sistema de Arquivos → Definir → Sucessos e Falhas
   • Auditoria de Manipulação de Handle → Definir → Sucessos e Falhas
4. Vincule a nova GPO ao seu servidor de arquivos.
5. Aplique sua alteração forçando uma atualização da Política de Grupo: Vá para "Gerenciamento de Política de Grupo" → Clique com o botão direito na OU → Clique em "Atualização da Política de Grupo".

Revisando eventos

1. Abra o Visualizador de Eventos e pesquise no log de segurança pelo ID de evento 4656 com uma categoria de tarefa de "Sistema de Arquivos" ou "Armazenamento Removível" e a string "Acessos: DELETE".
2. Revise o relatório. O campo "Assunto: ID de Segurança" mostrará quem deletou cada arquivo.

Saiba mais sobre Netwrix Auditor for Windows File Servers

Audite regularmente a exclusão de arquivos para prevenir interrupções nos negócios

Se um arquivo em um servidor no seu domínio for excluído, seja de forma maliciosa ou por engano, os usuários podem ficar incapazes de acessar informações críticas de que precisam, fazendo com que processos de negócios importantes parem. Além disso, sem a devida auditoria de exclusão de arquivos e auditoria de alteração de permissão de acesso, é impossível responsabilizar os usuários por suas ações e prevenir futuras exclusões não autorizadas.

A Microsoft oferece um método nativo para auditar exclusões de arquivos em servidores de arquivos Windows. No entanto, você deve ter habilitado a auditoria previamente, e o processo de busca no log de eventos do Windows por arquivos excluídos pode ser bastante trabalhoso: Você terá que abrir cada evento na lista para encontrar os detalhes, como o nome da pessoa que excluiu o arquivo e o horário do evento.

Netwrix Auditor permite que você detecte e investigue facilmente exclusões maliciosas ou errôneas de arquivos em seus servidores de arquivos Windows, dispositivos de armazenamento EMC e NetApp filers. Em apenas alguns passos simples, você pode obter um relatório claro que mostra todas as alterações e eventos de acesso, incluindo detalhes de quem/o quê/onde/quando de fácil leitura. Você pode até receber os relatórios por e-mail automaticamente conforme programado, e obter alertas sobre tipos específicos de ações para que possa responder imediatamente. A pesquisa interativa simplificará e agilizará o processo de investigação. Netwrix Auditor também oferece monitoramento avançado de user behavior monitoring que mantém você informado sobre atividades anômalas, como um aumento nos eventos de acesso ou exclusões em massa de dados, para que você possa agir antes de sofrer uma violação, perda de dados ou inatividade.