Este tutorial mostrará como auditar quem apagou um arquivo em um computador com o Windows.

Nosso tutorial ensinará todas as etapas necessárias para ativar o recurso de auditoria de objetos em um computador que executa o Windows 2012.

O controlador de domínio está executando o Windows 2012 R2.

• Os computadores do domínio estão executando o Windows 7 e o Windows 10.

Lista de Hardware:

A seção a seguir apresenta a lista de equipamentos usados para criar este tutorial do Windows.

Cada peça de hardware listada acima pode ser encontrada no site da Amazon.

Windows Playlist:

Nesta página, oferecemos acesso rápido a uma lista de vídeos relacionados ao Windows.

Não se esqueça de se inscrever em nosso canal do youtube chamado FKIT.

Tutoriais Relacionados ao Windows:

Nesta página, oferecemos acesso rápido a uma lista de tutoriais relacionados ao Windows.

Tutorial – Configurar o GPO de Auditoria de Objeto

Primeiro, precisamos ativar o recurso de auditoria de objeto para todo o domínio.

As seguintes tarefas foram executadas em um controlador de domínio executando o Windows 2012 R2 com o Active Directory.

Clique no menu Iniciar, localize e abra a ferramenta Gerenciamento de Diretiva de Grupo.

Na tela Gerenciamento de Diretiva de Grupo, localize a pasta denominada Objetos de Diretiva de Grupo.

Clique com o botão direito do mouse no Objeto de Diretiva de Grupo denominado Diretiva de Domínio Padrão e selecione a opção Editar.

Default Domain Policy

Na tela do editor de política de grupo, você será apresentado para Configurações do usuário e Configurações do computador.

Vamos mudar apenas as configurações do computador.

Não precisamos alterar nenhuma configuração do usuário.

Na tela do editor de política de grupo, expanda a pasta Configuração do computador e localize o item a seguir.

• Configuração do Computador> Políticas> Configurações do Windows> Configurações de Segurança> Políticas Locais> Política de Auditoria

GPO Audit Policy

À direita, a lista de opções de configuração disponíveis será apresentada.

Windows 2012 audit deleted objects

Clique duas vezes no item de configuração denominado: Auditar acesso ao objeto.

Ative as seguintes configurações de segurança:

• Definir essas configurações de política
• sucesso
• Falha

Audit Object Access Properties

Para finalizar a criação da política de grupo, você precisa fechar a janela do editor de política de grupo.

Somente quando você fechar a janela da política de grupo, o sistema salvará sua configuração.

Tutorial – Ativar a GPO de Auditoria de Objeto

Agora, precisamos ativar o recurso de auditoria de objeto nos arquivos e pastas desejados.

Em nosso exemplo, vamos ativar a auditoria de objetos em uma pasta denominada TECHEXPERT.

Primeiro, crie uma pasta chamada TECHEXPERT.

Segundo, clique com o botão direito na pasta e selecione a opção Propriedades.

Windows Object Audit folder

Na tela Propriedades, acesse a guia Segurança e clique no botão Avançado.

Windows audit deleted files- Security advanced

Na tela Configurações avançadas de segurança, acesse a guia Auditoria e clique no botão Adicionar.

Windows object add auditing

Na nova tela, clique na opção Select a principal.

Auditing entry file object

Digite o grupo chamado Todos e clique no botão OK.

Add group everyone

Execute a seguinte configuração:

• Tipo – Todos

• Aplica-se a – Esta pasta, subpastas e arquivos

Audit deleted files windows

Na área Permissões avançadas, clique na opção Mostrar permissões avançadas.

Windows Audit object basic permissions

Na área de permissão avançada, ative somente as seguintes opções:

• Exclua subpastas e arquivos.
• Excluir.

Windows audit deleted file and folders

Clique no botão OK para fechar o Windows.

Clique no botão Ok.

Clique no botão Ok.

Reinicialize o computador para ativar a política do grupo de auditoria do objeto.

Em nosso exemplo, ativamos a auditoria de objetos para uma pasta denominada TECHEXPERT.

Você concluiu a configuração de auditoria de objeto necessária.

Tutorial – Quem Apagou Meu Arquivo?

Você terminou a criação do GPO.

Mas você ainda precisa aprender a descobrir quem excluiu seus arquivos.

Em nosso exemplo, mostraremos todas as etapas necessárias para detectar quem excluiu seus arquivos.

Primeiro, vamos criar um arquivo de texto chamado TEST.TXT dentro da pasta TECHEXPERT.

Windows audit deleted file

Agora, exclua o arquivo TEST.TXT.

Abra o aplicativo Windows Event Viewer.

Na tela do Visualizador de Eventos, expanda os Logs do Windows e selecione a opção Segurança.

Event Viewer

Clique com o botão direito do mouse no log de segurança e selecione a opção Localizar.

Digite o nome do arquivo excluído e clique no botão Find.

Windows log find deleted files

Você encontrará uma identificação do visualizador de eventos 4663 com os detalhes do arquivo excluído.

Windows who deleted my file

No nosso exemplo, detectamos que o arquivo TEST.TXT foi excluído pelo administrador.