Você pode aplicar diretivas de auditoria a arquivos e pastas individuais do computador definindo o tipo de permissão para registrar no log de segurança as tentativas de acesso que foram bem-sucedidas ou falharam.

A associação ao grupo Administradores local é o mínimo necessário para executar este procedimento. Veja os detalhes em "Considerações adicionais", neste tópico.

Aplicar ou modificar configurações de diretiva de auditoria de um arquivo ou pasta local

  1. Abra o Windows Explorer.

  2. Clique com o botão direito do mouse no arquivo ou na pasta em que deseja fazer a auditoria, clique em Propriedades e, em seguida, clique na guia Segurança.

  3. Clique em Editar e em Avançado.

    Observação

    Se não estiver conectado como membro do grupo Administradores no computador, você deverá fornecer credenciais administrativas para prosseguir.

  4. Na caixa de diálogo Configurações de Segurança Avançadas para <objeto>, clique na guia Auditoria.

  5. Siga um destes procedimentos:

    • Para configurar a auditoria para um novo grupo ou usuário, clique em Adicionar. Em Digite o nome do objeto a ser selecionado, digite o nome do usuário ou grupo desejado e clique em OK.

    • Para remover a auditoria de um grupo ou usuário existente, clique no nome do grupo ou usuário, clique em Remover e em OK e ignore o restante deste procedimento.

    • Para exibir ou alterar a auditoria de um grupo ou usuário existente, clique no nome e em Editar.

  6. Na caixa Aplicar em, clique no local onde a auditoria deve acontecer.

  7. Na caixa Acesso, indique as ações nas quais você deseja fazer auditoria marcando as caixas de seleção adequadas:

    • Para fazer auditoria em eventos bem-sucedidos, marque a caixa de seleção Êxito.

    • Para interromper a auditoria em eventos bem-sucedidos, desmarque a caixa de seleção Êxito.

    • Para fazer auditoria em eventos que falharam, marque a caixa de seleção Falha.

    • Para interromper a auditoria em eventos que falharam, desmarque a caixa de seleção Falha.

    • Para interromper a auditoria em todos os eventos, clique em Limpar Tudo.

  8. Se você quiser impedir que arquivos e subpastas subsequentes do objeto original herdem essas entradas de auditoria, marque a caixa de seleção Aplicar essas entradas de auditoria apenas a objetos e/ou contêineres dentro deste contêiner.
Importante

Antes de configurar a auditoria de arquivos e pastas, você deve habilitar a auditoria de acesso a objetos definindo as configurações de diretiva de auditoria da categoria de evento de acesso ao objeto. Se você não habilitar a auditoria de acesso a objetos, será exibida uma mensagem de erro quando você configurar a auditoria de arquivos e pastas e nenhum arquivo ou pasta será submetido à auditoria.

Considerações adicionais

  • Você deve estar conectado como um membro do grupo Administradores ou deve ter recebido o direito Gerenciar auditoria e log de segurança na Diretiva de Grupo para executar esse procedimento.

  • Para abrir o Windows Explorer, clique em Iniciar, aponte para Todos os Programas, clique em Acessórios e em Windows Explorer.

  • Uma vez habilitada a auditoria de acesso a objetos, abra o log de segurança no recurso Visualizador de Eventos para analisar os resultados das suas alterações.

  • Você pode configurar a auditoria de arquivos e pastas somente em unidades NTFS.

  • Caso você veja uma das seguintes opções, a auditoria foi herdada da pasta pai:

    • Na caixa de diálogo Entrada de Auditoria para <Arquivo ou Pasta>, na caixa Acesso, as caixas de seleção não estão disponíveis.

    • Na caixa de diálogo Configurações de Segurança Avançadas para <Arquivo ou Pasta>, o botão Remover não está disponível.

  • Como o tamanho do log de segurança é limitado, selecione cuidadosamente os arquivos e pastas a serem auditados. Além disso, considere a quantidade de espaço em disco que você deseja destinar ao log de segurança. O tamanho máximo do log de segurança é definido em Visualizador de Eventos.

Referências adicionais

Sumário