Start


Essa Dica se aplica para Windows Server 2012 e Windows 8

Neste tutorial irei demonstrar com  o Windows 8

Em versões anteriores dos sistemas operacionais Windows e Windows Server, os administradores não podiam rastrear o uso de dispositivos de armazenamento removíveis. Se você definir essa configuração de política no Windows Server 2012 e Windows 8 Release Preview, será gerado um evento de auditoria sempre que um usuário tentar acessar um dispositivo de armazenamento removível. As auditorias com êxito (evento 4663) registram tentativas bem-sucedidas de gravação ou leitura a partir de um dispositivo de armazenamento removível. As auditorias sem êxito (evento 4663) registram tentativas malsucedidas de acesso a objetos de dispositivos de armazenamento removíveis.

Abra o Executar pelo campo de busca ou pelo atalho Win + R

Digite “gpedit.msc”

Navegue até a chave “Configuração do Computador\Configurações do Windows\Configurações de Segurança\Configuração Avançada de Política de Auditoria\Políticas de Auditoria do Sistema\Acesso a Objeto” 

Habilite a auditoria de sucesso e falha do objeto

Após isso todos os acessos aos dispositivos removíveis ficaram registrados no log do windows,realizei um teste acessando meu Pen Drive e depois consultei os logs do windows conforme imagem abaixo:

Log detalhado

Acesso a outra Pasta

Caso queira usar em vários computadores, utilize essa GPO no Server 2012 e aplique na OU desejada