Como Detectar Quem Tentou Modificar um Arquivo ou uma Pasta no Seu Servidor de Arquivos Windows

Auditoria Nativa

1. Navegue até o compartilhamento de arquivo necessário → Clique com o botão direito nele e selecione "Propriedades".
2. Vá para a aba "Segurança" → Clique no botão "Avançado" → Mude para a aba "Auditoria" → Clique no botão "Adicionar" e defina a auditoria:
   • Principal é igual a "Everyone"
   • Tipo é igual a "All"
   • Aplica-se a: "Esta pasta, subpastas e arquivos".
3. Selecione as seguintes "Permissões Avançadas":
   • Atravessar pasta / executar arquivo
   • Listar pasta / ler dados
   • Criar arquivos /escrever dados
   • Criar pastas / anexar dados
   • Escreva atributos.
4. Execute gpedit.msc → Acesse o menu "Editar".
5. Crie uma nova política → Editar → Configuração do Computador → Políticas → Configurações do Windows → Configurações de Segurança → Políticas Locais → Política de Auditoria:
   • Auditar acesso a objetos → Definir → Sucessos e Falhas
6. Vá para "Configuração de Política de Auditoria Avançada" → Políticas de Auditoria → Acesso a Objetos:
   • Auditar Sistema de Arquivos → Definir → Sucessos e Falhas
   • Auditoria de Manipulação de Handle → Definir → Sucessos e Falhas
7. Vá para Event Log → Definir:
   • Tamanho máximo do log de segurança para 4gb
   • Método de retenção para o log de segurança para "Sobrescrever eventos conforme necessário"
8. Para vincular a nova GPO à OU com servidores de arquivos, vá para "Gerenciamento de Política de Grupo" → Clique com o botão direito na OU definida → Escolha "Vincular um GPO Existente" → Selecione o GPO que você criou.
9. Para forçar a atualização da política de grupo, vá para "Group Policy Management" → Clique com o botão direito na OU definida → Clique em "Group Policy Update".
10. Abra o Visualizador de Eventos → Pesquise nos Registros de Segurança do Windows pelo ID de evento 4656 com a palavra-chave "Falha na Auditoria", a categoria de tarefa "Servidor de Arquivos" ou "Armazenamento Removível" e com as strings "Acessos: READ_CONTROL" e Razões de Acesso: "WriteData (ou AddFile) Não concedido". "Sujeito: ID de Segurança" mostrará quem tentou alterar um arquivo.

Netwrix Auditor for Windows File Servers

• Execute o Netwrix Auditor → Vá para “Pesquisa” → Clique em “Modo avançado” se não estiver selecionado → Configure os seguintes filtros:
  • Filtro = “Fonte de dados”
    Operador = “Igual a”
    Valor = “Servidores de Arquivos”
  • Filter = “Ação”
    Operator = “Igual a”
    Value = “Modificar (Tentativa Falhada)”
• Clique no botão “Pesquisar” e revise quem tentou modificar arquivos e pastas no seu servidor de arquivos.

Para criar um alerta sobre tentativas falhas de modificar um arquivo ou uma pasta, faça o seguinte:

• A partir dos resultados da pesquisa, navegue até “Ferramentas” → Clique em “Criar alerta” → Especifique o nome do novo alerta.
• Acesse a aba “Destinatários” → Clique em "Adicionar Destinatário" → Especifique o endereço de e-mail para onde deseja que o alerta seja entregue.
• Clique em “Adicionar” para salvar o alerta.