Monitorar as tentativas de acesso e alteração de configurações no seu computador

Você deve estar com logon de administrador para realizar essas etapas.

Você pode monitorar (também conhecido como auditoria) o que está acontecendo no seu computador, para ajudar a torná-lo mais seguro. Com a auditoria do computador, você sabe se alguém efetuou logon, criou uma nova conta de usuário, alterou uma diretiva de segurança ou abriu um documento.A auditoria não impede que um hacker ou um proprietário de uma conta no computador faça alterações, só informa quando essa alteração foi feita e por quem.

A tabela a seguir descreve os tipos diferentes de eventos que você pode monitorar.Se você decidir monitorar todos esses tipos de eventos, o Windows registra os eventos em um log exibido em Visualizador de Eventos.

Evento Descrição
Evento

Gerenciamento de conta

Descrição

Monitore para ver quando alguém alterou um nome de conta, habilitou/desabilitou, criou/excluiu uma conta ou alterou uma senha ou um grupo de usuários.

Evento

Eventos de logon

Descrição

Monitore para ver quando alguém efetuou o logon e o logoff no computador (fisicamente no seu computador ou por meio de uma rede).

Evento

Acesso ao serviço de diretório

Descrição

Monitore para ver quando alguém acessa um objeto do Active Directory que tem sua própria lista de controle de acesso do sistema (SACL).

Evento

Acesso a objetos

Descrição

Monitore para ver quando alguém usou um arquivo, pasta, impressora ou outro objeto.Embora você também possa auditorar as chaves do Registro, isso não é recomendável a menos que você tenha um conhecimento avançado de informática e saiba como usar o Registro.

Evento

Alteração de diretiva

Descrição

Monitore para ver as tentativas de alterações nas diretivas de segurança local e se alguém alterou as atribuições de direitos de usuário, diretivas de auditoria ou diretivas de confiança.

Evento

Uso de privilégios

Descrição

Monitore para ver quando algum usuário realiza uma tarefa permitida no computador.

Evento

Controle de processos

Descrição

Monitore para ver quando ocorrem eventos, como ativação de programa ou encerramento de processo.

Evento

Eventos do sistema

Descrição

Monitore para ver quando alguém desligou ou reiniciou o computador, ou quando um processo ou programa tenta fazer algo para o qual não possui permissão. Por exemplo, se um spyware tentou alterar uma configuração no seu computador sem a sua permissão, a monitoração de eventos do sistema registra o fato.

Mostrar tudo

Para ativar a auditoria

  1. Para abrir Diretiva de Segurança Local, clique no botão IniciarImagem do botão Iniciar, digite secpol.msc na caixa de pesquisa e clique em secpol. É necessário ter permissão do administradorSe você for solicitado a informar uma senha de administrador ou sua confirmação, digite a senha ou forneça a confirmação.

  2. No painel esquerdo, clique duas vezes em Diretivas Locais e em Diretiva de Auditoria.

  3. Clique duas vezes no tipo de evento que deseja alterar.

  4. Clique na caixa de seleção Êxito ou Falha, ou em ambas, e clique em OK.

    • Se você selecionar Êxito, o Windows registra qualquer tentativa bem-sucedida de concluir o tipo de evento monitorado. Por exemplo, se a auditoria envolver os eventos de logon, sempre que alguém fizer logon no seu computador será considerado um evento bem-sucedido de logon.

    • Se você selecionar Falha, qualquer tentativa malsucedida de efetuar o logon no computador será registrada.

    • Se você selecionar Êxito e Falha o Windows registrará todas as tentativas.

    Existe um limite para quantos eventos podem ser registrados e, se o log da auditoria tornar-se muito cheio, o computador pode ficar mais lento.Para liberar mais espaço, você pode excluir eventos do log enquanto os analisa no Visualizador de Eventos.

Para monitorar quem abre os documentos

  1. Clique com o botão direito do mouse no documento que deseja rastrear e, em seguida, clique em Propriedades.

  2. Clique na guia Segurança, em Avançado e, em seguida, clique na guia Auditoria.

  3. Clique em Continuar. É necessário ter permissão do administradorSe você for solicitado a informar uma senha de administrador ou sua confirmação, digite a senha ou forneça a confirmação.

  4. Clique em Adicionar.

  5. Na caixa Digite o nome do objeto a ser selecionado, digite o nome do usuário ou grupo cujas ações você deseja rastrear e clique em OK em cada uma das quatro caixas de diálogo abertas.

    Se deseja monitorar todas as pessoas, clique em Todos.Se você quiser monitorar uma determinada pessoa, digite o nome do computador seguido do nome de usuário da pessoa ou o nome do domínio seguido do nome de usuário da pessoa (se o computador estiver em um domínio):computador\nome de usuário ou domínio\nome de usuário.

  6. Marque as caixas de seleção das ações que deseja auditorar e clique em OK.A tabela a seguir descreve tudo o que pode ser monitorado.

    Ações passíveis de auditoria, para arquivos

    Ação Descrição
    Ação

    Desviar pasta/executar arquivo

    Descrição

    Controla quando alguém executa um arquivo de programa.

    Ação

    Listar pasta/ler dados

    Descrição

    Controla quando alguém vê os dados de um arquivo.

    Ação

    Ler atributos

    Descrição

    Controla quando alguém vê os atributos de um arquivo, como somente para leitura ou oculto.

    Ação

    Ler atributos estendidos

    Descrição

    Controla quando alguém vê os atributos estendidos de um arquivo.Os atributos estendidos são definidos pelo programa que criou o arquivo.

    Ação

    Criar arquivos/gravar dados

    Descrição

    Controla quando alguém altera o conteúdo de um arquivo.

    Ação

    Criar pastas/acrescentar dados

    Descrição

    Controla quando alguém adiciona dados ao final de um arquivo.

    Ação

    Atributos de gravação

    Descrição

    Controla quando alguém altera os atributos de um arquivo.

    Ação

    Gravar atributos estendidos

    Descrição

    Controla quando alguém altera os atributos estendidos do arquivo.

    Ação

    Excluir subpastas e arquivos

    Descrição

    Controla quando alguém exclui uma pasta.

    Ação

    Excluir

    Descrição

    Controla quando alguém exclui um arquivo.

    Ação

    Permissões de leitura

    Descrição

    Controla quando alguém lê as permissões de um arquivo.

    Ação

    Alterar permissões

    Descrição

    Controla quando alguém altera as permissões de um arquivo.

    Ação

    Apropriar-se

    Descrição

    Controla quando alguém se apropria de um arquivo.

    Observação

    • Ao marcar a caixa de seleção Controle total, você seleciona todas as ações que podem ser auditadas.

Para ver os logs de auditoria

  1. Para abrir o Visualizador de Eventos, clique no botão IniciarImagem do botão Iniciar, em Painel de Controle, Sistema e Segurança, Ferramentas Administrativas e clique duas vezes em Visualizador de Eventos. É necessário ter permissão do administradorSe você for solicitado a informar uma senha de administrador ou sua confirmação, digite a senha ou forneça a confirmação.

  2. No painel esquerdo, clique duas vezes em Logs do Windows e depois em Segurança.

  3. Clique duas vezes no evento para ver os detalhes.

Observação

  • Para excluir os logs, clique em Limpar log no painel Ações.

Para obter mais informações sobre auditoria de segurança, incluindo diretivas de auditoria detalhadas, vá para Auditoria de Segurança no site da Microsoft.