Este artigo foi traduzido por máquina. Para visualizar o arquivo em inglês, marque a caixa de seleção Inglês. Você também pode exibir o texto Em inglês em uma janela pop-up, movendo o ponteiro do mouse sobre o texto.
Tradução
Inglês

Monitorar o uso de dispositivos de armazenamento removíveis

 

Aplica-se a: Windows 8.1, Windows Server 2012 R2, Windows Server 2012, Windows 8

Este tópico para profissionais de TI descreve como monitorar tentativas de usar dispositivos de armazenamento removíveis para acessar recursos da rede. Descreve como usar as opções de auditoria de segurança avançada para monitorar objetos de controle de acesso dinâmico.

Se você definir essa configuração de diretiva, um evento de auditoria é gerado sempre que um usuário tentar copiar, mover ou salvar um recurso em um dispositivo de armazenamento removível.

System_CAPS_noteObservação

O conteúdo deste tópico se aplicam à lista de sistemas operacionais Windows suportados designado para o aplica-se a lista no início deste tópico. Nesses sistemas operacionais com suporte, os administradores podem definir a política de acesso de armazenamento removível para limitar ou negar aos usuários a capacidade de usar dispositivos de armazenamento removíveis. No entanto, nas versões anteriores dos sistemas operacionais Windows e Windows Server, os administradores não podem controlar o uso de dispositivos de armazenamento removíveis.

Use os procedimentos a seguir para monitorar o uso de dispositivos de armazenamento removíveis e verificar se os dispositivos estão sendo monitorados.

System_CAPS_noteObservação

O servidor pode funcionar de maneira diversa dependendo da versão e da edição do sistema operacional instalado, das permissões de conta e das configurações de menu.

Para definir configurações para monitorar dispositivos de armazenamento removível

  1. Entrar no seu controlador de domínio usando credenciais de administrador de domínio.

  2. No Gerenciador do Servidor, aponte para Ferramentas e clique em Gerenciamento de Política de Grupo.

  3. Na árvore de console, clique com botão direito do objeto de diretiva de grupo acesso flexível no controlador de domínio e, em seguida, clique em Editar.

  4. Clique duas vezes em configuração do computador, clique duas vezes em as configurações de segurança, clique duas vezes em Configuração avançada de diretiva de auditoria, clique duas vezes em acesso ao objeto, e, em seguida, clique duas vezes em armazenamento removível de auditoria.

  5. Selecione o configurar estes eventos de auditoria caixa de seleção, selecione o sucesso caixa de seleção (e o Falha caixa de seleção, se desejado) e, em seguida, clique em OK.

  6. Se você tiver selecionado o Falha caixa de seleção, clique duas vezes em de auditoria de manipulação de identificador, selecione o Configurar a seguinte caixa de seleção de eventos de auditoria, e, em seguida, selecione Falha.

  7. Clique em OK, e, em seguida, feche o Editor de gerenciamento de diretiva de grupo.

Depois de configurar as definições para monitorar dispositivos de armazenamento removível, use o procedimento a seguir para verificar se as configurações estão ativas.

Para verificar que o armazenamento removível dispositivos monitorados

  1. Entrar no computador que hospeda os recursos que você deseja monitorar. Pressione a tecla Windows + R e digite cmd para abrir uma janela de Prompt de comando.

    System_CAPS_noteObservação

    Se a caixa de diálogo controle de conta de usuário aparecer, confirme que a ação exibida é a desejada e, em seguida, clique em Sim.

  2. Tipo de gpupdate /force, e pressione ENTER.

  3. Conectar um dispositivo de armazenamento removível para o computador de destino e tentar copiar um arquivo protegido com a política de auditoria de armazenamento removível.

  4. No Gerenciador do servidor, clique em ferramentas, e, em seguida, clique em eventos.

  5. Expanda Logs do Windows, e, em seguida, clique em segurança.

  6. Procure pelo evento 4663, que logs bem-sucedida tenta gravar ou ler a partir de um dispositivo de armazenamento removível. Falhas registrará o evento 4656. Ambos os eventos incluem categoria de tarefa = dispositivo de armazenamento removível.

    Para procurar informações de chave incluem o domínio e o nome do usuário que tentou acessar o arquivo, o objeto que o usuário está tentando acessar, atributos de recursos do recurso e o tipo de acesso que foi tentado.

    System_CAPS_noteObservação

    Não recomendamos que você habilite essa categoria em um servidor de arquivos que hospeda os compartilhamentos de arquivos em um dispositivo de armazenamento removível. Quando a auditoria de armazenamento removível for configurada, qualquer tentativa de acessar o dispositivo de armazenamento removível gerará um evento de auditoria.

Mostrar: