Aplica-se a estas edições do Windows 7

Professional

Ultimate

Enterprise

Monitorar as tentativas de acesso e alteração de configurações no seu computador

Você deve estar com logon de administrador para realizar essas etapas.

Você pode monitorar (também conhecido como auditoria) o que está acontecendo no seu computador, para ajudar a torná-lo mais seguro. Com a auditoria do computador, você sabe se alguém efetuou logon, criou uma nova conta de usuário, alterou uma diretiva de segurança ou abriu um documento.A auditoria não impede que um hacker ou um proprietário de uma conta no computador faça alterações, só informa quando essa alteração foi feita e por quem.

A tabela a seguir descreve os tipos diferentes de eventos que você pode monitorar.Se você decidir monitorar todos esses tipos de eventos, o Windows registra os eventos em um log exibido em Visualizador de Eventos.

Evento Descrição

Gerenciamento de conta

Monitore para ver quando alguém alterou um nome de conta, habilitou/desabilitou, criou/excluiu uma conta ou alterou uma senha ou um grupo de usuários.

Eventos de logon

Monitore para ver quando alguém efetuou o logon e o logoff no computador (fisicamente no seu computador ou por meio de uma rede).

Acesso ao serviço de diretório

Monitore para ver quando alguém acessa um objeto do Active Directory que tem sua própria lista de controle de acesso do sistema (SACL).

Acesso a objetos

Monitore para ver quando alguém usou um arquivo, pasta, impressora ou outro objeto.Embora você também possa auditorar as chaves do Registro, isso não é recomendável a menos que você tenha um conhecimento avançado de informática e saiba como usar o Registro.

Alteração de diretiva

Monitore para ver as tentativas de alterações nas diretivas de segurança local e se alguém alterou as atribuições de direitos de usuário, diretivas de auditoria ou diretivas de confiança.

Uso de privilégios

Monitore para ver quando algum usuário realiza uma tarefa permitida no computador.

Controle de processos

Monitore para ver quando ocorrem eventos, como ativação de programa ou encerramento de processo.

Eventos do sistema

Monitore para ver quando alguém desligou ou reiniciou o computador, ou quando um processo ou programa tenta fazer algo para o qual não possui permissão. Por exemplo, se um spyware tentou alterar uma configuração no seu computador sem a sua permissão, a monitoração de eventos do sistema registra o fato.

Mostrar tudo

Para ativar a auditoria

  1. Para abrir Diretiva de Segurança Local, clique no botão IniciarImagem do botão Iniciar, digite secpol.msc na caixa de pesquisa e clique em secpol. É necessário ter permissão do administradorSe você for solicitado a informar uma senha de administrador ou sua confirmação, digite a senha ou forneça a confirmação.

  2. No painel esquerdo, clique duas vezes em Diretivas Locais e em Diretiva de Auditoria.

  3. Clique duas vezes no tipo de evento que deseja alterar.

  4. Clique na caixa de seleção Êxito ou Falha, ou em ambas, e clique em OK.

    • Se você selecionar Êxito, o Windows registra qualquer tentativa bem-sucedida de concluir o tipo de evento monitorado. Por exemplo, se a auditoria envolver os eventos de logon, sempre que alguém fizer logon no seu computador será considerado um evento bem-sucedido de logon.

    • Se você selecionar Falha, qualquer tentativa malsucedida de efetuar o logon no computador será registrada.

    • Se você selecionar Êxito e Falha o Windows registrará todas as tentativas.

    Existe um limite para quantos eventos podem ser registrados e, se o log da auditoria tornar-se muito cheio, o computador pode ficar mais lento.Para liberar mais espaço, você pode excluir eventos do log enquanto os analisa no Visualizador de Eventos.

Para monitorar quem abre os documentos

  1. Clique com o botão direito do mouse no documento que deseja rastrear e, em seguida, clique em Propriedades.

  2. Clique na guia Segurança, em Avançado e, em seguida, clique na guia Auditoria.

  3. Clique em Continuar. É necessário ter permissão do administradorSe você for solicitado a informar uma senha de administrador ou sua confirmação, digite a senha ou forneça a confirmação.

  4. Clique em Adicionar.

  5. Na caixa Digite o nome do objeto a ser selecionado, digite o nome do usuário ou grupo cujas ações você deseja rastrear e clique em OK em cada uma das quatro caixas de diálogo abertas.

    Se deseja monitorar todas as pessoas, clique em Todos.Se você quiser monitorar uma determinada pessoa, digite o nome do computador seguido do nome de usuário da pessoa ou o nome do domínio seguido do nome de usuário da pessoa (se o computador estiver em um domínio):computador\nome de usuário ou domínio\nome de usuário.

  6. Marque as caixas de seleção das ações que deseja auditorar e clique em OK.A tabela a seguir descreve tudo o que pode ser monitorado.

    Ações passíveis de auditoria, para arquivos

    Ação Descrição

    Desviar pasta/executar arquivo

    Controla quando alguém executa um arquivo de programa.

    Listar pasta/ler dados

    Controla quando alguém vê os dados de um arquivo.

    Ler atributos

    Controla quando alguém vê os atributos de um arquivo, como somente para leitura ou oculto.

    Ler atributos estendidos

    Controla quando alguém vê os atributos estendidos de um arquivo.Os atributos estendidos são definidos pelo programa que criou o arquivo.

    Criar arquivos/gravar dados

    Controla quando alguém altera o conteúdo de um arquivo.

    Criar pastas/acrescentar dados

    Controla quando alguém adiciona dados ao final de um arquivo.

    Atributos de gravação

    Controla quando alguém altera os atributos de um arquivo.

    Gravar atributos estendidos

    Controla quando alguém altera os atributos estendidos do arquivo.

    Excluir subpastas e arquivos

    Controla quando alguém exclui uma pasta.

    Excluir

    Controla quando alguém exclui um arquivo.

    Permissões de leitura

    Controla quando alguém lê as permissões de um arquivo.

    Alterar permissões

    Controla quando alguém altera as permissões de um arquivo.

    Apropriar-se

    Controla quando alguém se apropria de um arquivo.
    Observação

    Observação

    • Ao marcar a caixa de seleção Controle total, você seleciona todas as ações que podem ser auditadas.

Para ver os logs de auditoria

  1. Para abrir o Visualizador de Eventos, clique no botão IniciarImagem do botão Iniciar, em Painel de Controle, Sistema e Segurança, Ferramentas Administrativas e clique duas vezes em Visualizador de Eventos. É necessário ter permissão do administradorSe você for solicitado a informar uma senha de administrador ou sua confirmação, digite a senha ou forneça a confirmação.

  2. No painel esquerdo, clique duas vezes em Logs do Windows e depois em Segurança.

  3. Clique duas vezes no evento para ver os detalhes.

Observação

Observação

  • Para excluir os logs, clique em Limpar log no painel Ações.

Para obter mais informações sobre auditoria de segurança, incluindo diretivas de auditoria detalhadas, vá para Auditoria de Segurança no site da Microsoft.