Alguma sugestão? Exportar (0) Imprimir
Expandir Tudo
Este artigo foi traduzido por máquina. Coloque o ponteiro do mouse sobre as frases do artigo para ver o texto original. Mais informações.
Tradução
Original

Monitorar o uso de dispositivos de armazenamento removíveis

 

Aplica-se a: Windows 8.1, Windows Server 2012 R2, Windows Server 2012, Windows 8

Este tópico para profissionais de TI descreve como monitorar tentativas de usar dispositivos de armazenamento removível para acessar recursos da rede. Descreve como usar as opções de auditoria de segurança avançadas para monitorar objetos de controle de acesso dinâmico.

Se você definir essa configuração de diretiva, um evento de auditoria é gerado toda vez que um usuário tentar copiar, mover ou salvar um recurso em um dispositivo de armazenamento removível.

System_CAPS_noteObservação

O conteúdo deste tópico se aplicam à lista de sistemas operacionais Windows suportados designado noaplica-se alista no início deste tópico. Nesses sistemas operacionais com suporte, os administradores podem definir a política de acesso de armazenamento removível para limitar ou impedir que os usuários utilizem dispositivos de armazenamento removível. No entanto, em versões anteriores dos sistemas operacionais Windows e Windows Server, os administradores não podiam rastrear o uso de dispositivos de armazenamento removíveis.

Use os procedimentos a seguir para monitorar o uso de dispositivos de armazenamento removíveis e verificar se os dispositivos estão sendo monitorados.

System_CAPS_noteObservação

O servidor pode funcionar de maneira diversa dependendo da versão e da edição do sistema operacional instalado, das permissões de conta e das configurações de menu.

Para definir configurações para monitorar dispositivos de armazenamento removíveis

  1. Entre seu controlador de domínio usando credenciais de administrador de domínio.

  2. No Gerenciador do Servidor, aponte para Ferramentas e clique em Gerenciamento de Política de Grupo.

  3. Na árvore de console, clique com botão direito do objeto de diretiva de grupo acesso flexível no controlador de domínio e, em seguida, clique emEditar.

  4. Clique duas vezes emconfiguração do computadorclique duas vezes emas configurações de segurançaclique duas vezes emConfiguração avançada de diretiva de auditoriaclique duas vezes emacesso ao objetoe, em seguida, clique duas vezes emarmazenamento removível de auditoria.

  5. Selecione oconfigurar estes eventos de auditoriacaixas de seleção desucessocaixa de seleção (e oFalhacaixa de seleção, se desejado) e, em seguida, clique emOK.

  6. Se você tiver selecionado oFalhacaixa de seleção, clique duas vezes emde auditoria de manipulação de identificadorselecione oConfigurar a seguinte caixa de seleção de eventos de auditoriae, em seguida, selecioneFalha.

  7. Clique emOKe, em seguida, feche o Editor de gerenciamento de diretiva de grupo.

Depois de configurar as configurações para monitorar dispositivos de armazenamento removível, use o procedimento a seguir para verificar se as configurações estão ativas.

Para verificar que o armazenamento removível dispositivos monitorados

  1. Faça logon no computador que hospeda os recursos que você deseja monitorar. Pressione a tecla Windows + R e digitecmdpara abrir uma janela de Prompt de comando.

    System_CAPS_noteObservação

    Se a caixa de diálogo controle de conta de usuário for exibida, confirme que a ação exibida é a desejada e, em seguida, clique emSim.

  2. Tipogpupdate /forcee pressione ENTER.

  3. Conectar um dispositivo de armazenamento removível para o computador de destino e tente copiar um arquivo que esteja protegido com a diretiva de auditoria de armazenamento removível.

  4. No Gerenciador do servidor, clique emferramentase, em seguida, clique emeventos.

  5. ExpandaLogs do Windowse, em seguida, clique emsegurança.

  6. Procure o evento 4663, que logs bem-sucedida tenta gravar ou ler a partir de um dispositivo de armazenamento removível. Falhas registrará o evento 4656. Os dois eventos incluemcategoria de tarefa = dispositivo de armazenamento removível.

    Informações importantes para procurar incluem o nome e a conta de domínio do usuário que tentou acessar o arquivo, o objeto que o usuário está tentando acessar atributos de recursos do recurso e o tipo de acesso que foi tentado.

    System_CAPS_noteObservação

    Não recomendamos que você habilite essa categoria em um servidor de arquivos que hospeda os compartilhamentos de arquivos em um dispositivo de armazenamento removível. Quando a auditoria de armazenamento removível for configurada, qualquer tentativa de acessar o dispositivo de armazenamento removível irá gerar um evento de auditoria.

Mostrar:
© 2016 Microsoft