Servidor de ficheiros do Windows: registar o acesso a ficheiros e pastas

Windows Server 2022Windows Server 2025

Neste tutorial, vamos descobrir uma funcionalidade incorporada no Windows: auditoria de acesso a ficheiros e pastas.

Esta funcionalidade permite registar todas as tentativas de acesso bem-sucedidas ou malsucedidas a recursos partilhados do sistema, como ficheiros ou diretórios.

Baseia-se num mecanismo de registo de eventos de segurança, que podem ser visualizados no registo de eventos do Windows.

A ativação da auditoria em ficheiros confidenciais da empresa pode ser essencial para detetar comportamentos anormais, identificar os utilizadores por trás do acesso e reforçar a segurança geral da infraestrutura.

Índice

Configurar o registo de acesso a ficheiros e pastas

A configuração é feita em dois passos:

  1. Ative as definições de auditoria nas pastas onde pretende ter vestígios de acesso
  2. Configurar a política de auditoria no Windows Server

Configuração de auditoria na pasta

1.No servidor de ficheiros, abra as Propriedades de Partilha através do Gestor do Servidor, aceda a Permissões 1 e clique em Personalizar Permissões 2.

Sharing Properties

2.º Aceda ao separador Auditoria 1 e clique em Adicionar 2.

Audit tab

3.º Selecione os utilizadores a auditar 1, o tipo (Aprovado, Reprovado ou Todos) 2, assinale os itens a registar 3 e clique em OK 4.

Audit configuration

Para visualizar todas as permissões disponíveis, incluindo exclusões, clique em Mostrar permissões avançadas.

4.º A auditoria é adicionada 1 e visível como uma permissão NTFS, clique em Aplicar 2 e depois em OK 3 e feche a janela de propriedades da partilha.

Audit added

Configurar política de auditoria no servidor

Para funcionar, é necessário ativar a auditoria de acesso a objetos no servidor.

1.º Abra uma janela Executar (crtl+R) e digite gpedit.msc para aceder à consola de políticas local do computador.

2.º Edite a configuração Acesso ao objeto de auditoria 1 localizada no seguinte local: Configuração do computador / Definições do Windows / Definições de segurança / Políticas locais / Política de auditoria.

local group strategy

3.º Configure os tipos de auditoria a activar 1 e clique em Aplicar 2 e depois em OK 3.

Configuration of the strategy

4.º A estratégia está configurada.

Configured policy

5.º Force uma atualização de política abrindo um comando prompt como administrador e executando o comando gpupdate.

Exibir registos do Windows no Visualizador de Eventos

Para gerar registos, aceda a pastas e ficheiros de acordo com os parâmetros de auditoria definidos.

2.No servidor, abra o Visualizador de Eventos e aceda a Registos do Windows 1 / Segurança 2. Procure eventos na categoria Sistemas de Ficheiros.

event observer

3.º Exemplo de logs:

Conclusão

Com as capacidades de auditoria, pode agora ver os utilizadores que estão a navegar nas partilhas e a ser muito intrometidos.

Pessoalmente, aconselho-o a ativar esta funcionalidade em ficheiros sensíveis e a registar apenas as recusas, porque o número de registos pode rapidamente tornar-se significativo e também ter impacto no desempenho do sistema.

Também é possível enviar eventos para um log well (SIEM) como ELK ou Wazuh para facilitar a exploração.

Para proteger melhor o acesso às partilhas, recomendo também ativar a enumeração baseada no acesso.

Também é possível ver em tempo real os ficheiros a serem acedidos numa partilha de rede.

Servidores de ficheiros
Soutenir
LinkedInReddit

📚 Articles similaires

Romain Drouche
Arquiteto de Sistemas | MCSE: Infraestrutura Essencial
Especialista em infraestrutura de TI com mais de 15 anos de experiência na área. Atualmente, como Gerente de Projetos de Sistemas e Redes e especialista em Segurança de Sistemas de Informação (SSI), utilizo minha expertise para garantir a confiabilidade e a segurança de ambientes tecnológicos.

Deixe um comentário