Habilitando a auditoria de segurança
Clique no Menu Iniciar → Administrative Tools → Group Policy Management.
No painel da esquerda, navegue para a Floresta → Domains → Domain Name. Expanda ela.
Você pode selecionar a Política Default ‘Default Domain Policy’ ou criar uma GPO.
Clique com o botão direito na ‘Default Domain Policy’ ou na GPO criada.
Clique na opção ‘Edit’. Irá abrir o ‘Group Policy Management Editor’.
Vá para Computer Configuration → Policies → Windows Settings → Security Settings → Advanced Audit Policy Configuration → Audit Policies.
Habilite as políticas desejadas. Por recomendação, pode-se habilitar:
Tipo de Auditoria Path
Domain Logon/Logoff Auditing Em ‘Logon/Logoff’, enable
- Audit Logon
- Audit Logoff
Unlock/Change Auditing Em ‘Account Management’, enable
- Audit User Account Management
File System Auditing Em ‘Object Access’, enable
- Audit Detailed File Share
- Audit File Share
- Audit File System
Registry Auditing Em ‘Object Access’, enable
- Audit Registry
Auditing of Handle Manipulation Em ‘Object Access’, enable
- Audit Handle Manipulation
Fonte: https://www.lepide.com/how-to/enable-ac ... iting.html