Configurar políticas avançadas para auditoria de GPO do Windows Server

Configurar políticas avançadas para auditoria de GPO do Windows Server

Sem dúvida, a correta gestão do nosso servidor se reflete no funcionamento ótimo de cada característica do nosso servidor e, portanto, do caminho operacional da nossa rede.

Políticas de auditoria avançadas nos dão a possibilidade de ter um controle mais centralizado, pois facilitam a verificação dos eventos que ocorrem em nosso servidor e podem determinar com mais clareza o que acontece no dia a dia.

Vamos revisar como implementar políticas de segurança, assumindo que nosso esquema de segurança pode ser dividido em três (3) áreas:

AutenticaçãoFornece uma identidade ao usuário.

AutorizaçãoFornece acesso ao usuário autenticado.

AudiçãoPermite manter o controle sobre os usuários logados no sistema e as mudanças que eles podem executar.

Uma das perguntas clássicas é saber se realmente queremos implementar políticas de segurança. É absolutamente necessário ter tudo sob controle e evitar problemas.

Por que devemos implementar uma política de segurança?É importante como administradores aplicar políticas de segurança para revisar tópicos como:

  • Quais usuários efetuam login corretamente.
  • Quantas tentativas malsucedidas um usuário fez.
  • Alterações feitas no Active Directory de nossa organização.
  • Alterações em arquivos específicos.
  • Quem reiniciou ou desligou o servidor e por quê.

Neste guia, você aprenderá como implementar, auditar, criar políticas e tudo o que você precisa para seu ambiente de negócios com servidores Windows Server nos focos que você precisa controlar.

1. Gerenciar auditoria com políticas de grupo GPO


Devemos especificar quais tipos de eventos de sistema queremos auditar usando políticas de grupo.
Vamos ver alguns dos eventos mais comuns que podemos gerenciar:

Login da conta

  • Descrição

Determina quando o sistema audita uma conta registrada com sucesso.

  • Configuração padrão

Login de conta bem-sucedido

Administração de contas

  • Descrição

Ele determina quando o sistema audita cada evento de uma conta registrada, por exemplo, alterações de senha, exclusão de conta.

  • Configuração padrão

Administração das atividades das contas logadas de forma satisfatória

Acesso ao Diretório de Serviços

  • Descrição

Determina quando o usuário faz auditoria nas tentativas de entrar no Active Directory.

Conecte-se

  • Descrição

Determina quando o sistema audita a tentativa de cada usuário de efetuar login ou logout do sistema.

  • Configuração padrão

Login realizado com sucesso.

Mudança de política

  • Descrição

Determina quando o sistema audita cada tentativa de alterar as políticas estabelecidas do domínio.

  • Configuração padrão

Mudanças de política bem-sucedidas

Sistema

  • Descrição

Determina quando o sistema audita quaisquer alterações no sistema.

  • Configuração padrão

Eventos de sistema bem-sucedidos.

Devemos tomar certas precauções ao criar políticas de auditoria, por exemplo:

  • Altos níveis de auditoria podem afetar drasticamente o desempenho do dispositivo a ser auditado.
  • Quando pesquisamos os logs dos eventos, veremos que existem milhares de logs e a pesquisa pode nos afetar. Os prazos a serem auditados devem ser claramente definidos.
  • Os logs mais atuais substituem os logs mais antigos, isso pode nos impedir de ver eventos importantes que ocorreram em um período anterior.

2. Implementar política de auditoria GPO


Para implementar uma política de auditoria devemos realizar as seguintes etapas:

Passo 1
Abrimos nosso Server Manager ou Server Manager. Nós clicamos em Ferramentas e nós escolhemos a opção Gerenciamento de políticas de grupo.

PROLONGAR

Assim, ele irá exibir o menu de GPOs, devemos exibir o domínio atual e clicar com o botão direito do mouse em Política de domínio padrão.

Passo 2
Nós escolhemos a opção Editar e a Editor de gerenciamento de política de grupo.

Implementamos a seguinte rota:

  • Configuração de equipamento
  • Diretivas
  • Configurações do Windows
  • Configurações de segurança
  • Diretivas Locais
  • Diretiva de Auditoria

etapa 3
Veremos que uma janela é exibida com os diferentes opções para auditar:

Damos um duplo clique na opção Auditoria de eventos de login, veremos que se abre a janela das propriedades da referida auditoria.

Nós marcamos a caixa de seleção Defina esta configuração de política para habilitar esta política, e nós ativamos ambas as caixas (Correto e Erro) e clicamos em Aplicar e finalmente em Aceitar para salvar as alterações.

Veremos as mudanças refletidas em nossa auditoria:

3. Implementar política de auditoria (arquivo ou pasta)

Podemos adicionar um tipo de auditoria a um determinado arquivo ou pasta, para isso realizaremos o seguinte processo:

Passo 1
Nós damos clique com o botão direito na pasta que queremos atribuir auditoria e escolha a opção Propriedades.

Na janela Propriedades (editar) nós selecionamos a guia Segurança.

Passo 2
Clicamos em Opções avançadas e a seguinte janela será exibida:

Clicamos na opção Auditoria e mais tarde em Adicionar.

etapa 3
Na janela exibida, escolhemos a opção Selecione um principal para descobrir qual política adicionar.

Nós escolhemos o objeto de aplicar auditoria:

Finalmente, especificamos os parâmetros de auditoria (leitura, gravação, etc.), clique em Aceitar para salvar as alterações.

Com essas etapas já teremos auditada a seleção que escolhemos.

LembrarPodemos implementar políticas de auditoria usando a ferramenta AuditPol.exe incluído no Windows Server 2012, este comando exibirá e nos permitirá gerenciar nossas políticas.

A sintaxe que podemos usar para este comando inclui o seguinte:

  • / obter: Exibir política atual
  • /definir: Estabeleça a política de auditoria
  • / Lista: Exibir os elementos da política
  • / cópia de segurança: Salve a política de auditoria em um arquivo
  • / Claro: Limpe a política de auditoria
  • /?: Ajuda de exibição

4. Eventos e eventos do Visualizador de eventos


Depois de configurarmos nossas políticas de segurança, no visualizador de eventos podemos ver todos os diferentes eventos que ocorreram em nosso servidor, esses eventos são representados por um código numérico, vamos ver alguns dos eventos mais representativos:

Auditoria de validação de credencial

  • 4774: Uma conta foi mapeada para login
  • 4775: Uma conta não foi mapeada para login
  • 4776: O controlador de domínio tentou validar as credenciais de uma conta
  • 4777: O controlador de domínio não conseguiu validar as credenciais de uma conta

Auditoria de evento para login da conta

  • 4778: Uma sessão foi reconectada em uma estação Windows
  • 4779: Uma estação foi desconectada de uma estação Windows
  • 4800: Uma estação foi bloqueada
  • 4801: Uma estação foi desbloqueada
  • 5632: Um requisito foi criado para autenticar uma rede Wi-Fi
  • 5633: Um requisito foi criado para autenticar uma rede com fio

Auditoria de aplicativos para gerenciamento de grupo

  • 4783: Um aplicativo de grupo básico foi criado
  • 4784: Um aplicativo de grupo básico foi modificado

Auditoria de gerenciamento de contas

  • 4741: Uma conta de computador foi criada
  • 4742: Uma conta de computador foi modificada
  • 4743: Uma conta de computador foi excluída

Auditoria de administração do grupo de distribuição

  • 4744: Um grupo de distribuição local foi criado
  • 4746: Um membro foi adicionado a um grupo de distribuição local
  • 4747: Um membro foi removido de um grupo de distribuição local
  • 4749: Um grupo de distribuição global foi criado
  • 4750: Um grupo de distribuição global foi modificado
  • 4753: Um grupo de distribuição global foi removido
  • 4760: Um grupo de segurança foi modificado

Auditoria de administração de grupo de segurança

  • 4727: Um grupo de segurança global foi criado
  • 4728: Um membro foi adicionado a um grupo de segurança global
  • 4729: Um membro foi removido para um grupo de segurança global
  • 4730: Um grupo de segurança global foi removido
  • 4731: Um grupo de segurança local foi criado
  • 4732: Um membro foi adicionado a um grupo de segurança local

Auditoria de gerenciamento de conta de usuário

  • 4720: Uma conta de usuário foi criada
  • 4722: Uma conta de usuário foi habilitada
  • 4723: Uma tentativa de alterar a senha foi criada
  • 4725: Uma conta de usuário foi desativada
  • 4726: Uma conta de usuário foi excluída
  • 4738: Uma conta de usuário foi modificada
  • 4740: Uma conta de usuário foi bloqueada
  • 4767: Uma conta de usuário foi desbloqueada
  • 4781: O nome de uma conta de usuário foi alterado

Auditorias de processo

  • 4688: Um novo processo foi criado
  • 4696: Um código primário foi atribuído a um processo
  • 4689: Um processo terminou

Auditorias de serviços de diretório

  • 5136: Um objeto de serviço de diretório foi modificado
  • 5137: Um objeto de serviço de diretório foi criado
  • 5138: Um objeto de serviço de diretório foi recuperado
  • 5139: Um objeto de serviço de diretório foi movido
  • 5141: Um objeto de serviço de diretório foi excluído

Auditorias de contas

  • 4634: Uma conta foi desconectada
  • 4647: O usuário começou a sair
  • 4624: Uma conta foi logada com sucesso
  • 4625: Uma conta falhou ao fazer o login

Auditorias de arquivos compartilhados

  • 5140: Um objeto de rede foi acessado
  • 5142: Um objeto de rede foi adicionado
  • 5143: Um objeto de rede foi modificado
  • 5144: Um objeto de rede foi excluído

Outros tipos de auditorias

  • 4608: Windows foi iniciado
  • 4609: O Windows foi desligado
  • 4616: O fuso horário foi modificado
  • 5025: O firewall do Windows foi interrompido
  • 5024: O firewall do Windows foi iniciado

Como podemos ver, existem muitos mais códigos para representar os diferentes eventos que acontecem diariamente em nosso servidor e em nossa rede, podemos ver todos os códigos no site da Microsoft.

5. Acesso ao Visualizador de Eventos WServer 2012


Vamos conhecer o processo de acesso ao visualizador de eventos do nosso servidor e a partir daí podermos filtrar ou pesquisar eventos específicos.

Devemos entrar no Server Manager ou Server Manager. Lá nós selecionamos a opção visualizador de eventos do menu Ferramentas.

PROLONGAR

Lá a respectiva janela será exibida para poder pesquisar os eventos em nosso dispositivo:

No menu do lado esquerdo temos diferentes opções para ver os eventos.

Como vemos, podemos filtrar por categorias O que:

  • Logs do Windows
  • Logs de aplicativos
  • Microsoft

E, por sua vez, podemos pesquisar por subcategorias como Aplicativo, Segurança, etc.

Por exemplo, escolhemos a opção Segurança do menu Logs do Windows.

PROLONGAR

Podemos ver no menu central o estrutura do evento:

  • Nome do evento
  • Data do evento
  • Fonte
  • ID do evento (já visto antes)
  • Categoria

No menu do lado esquerdo, encontramos opções para ajustar nosso visualizador de eventos, como:

  • Abra os registros salvos: Isso nos permite abrir registros que salvamos anteriormente.
  • Visualização personalizada: Ele nos permite criar uma visão com base em nossas necessidades, por exemplo, podemos criá-lo por ID de evento, por data, por categoria, etc.
  • Importar visualização personalizada: Ele nos permite importar nossa visão criada para outro local.
  • Registro vazio: Podemos deixar o visualizador de eventos em zero.
  • Filtrar registro atual: Podemos executar parâmetros para realizar uma pesquisa mais específica.
  • Propriedades: Veja as propriedades do evento.

E assim percebemos que temos outras opções em nosso visualizador de eventos.
Podemos criar uma política de auditoria para dispositivos removíveis, para isso executaremos o seguinte processo:

Nós entramos em nosso Administrador do servidor
Nós escolhemos do menu Ferramentas opção Gerenciador de política de grupo.

Devemos exibir nosso domínio, clique com o botão direito, clique Editar e insira a seguinte rota:

  • Configuração de equipamento
  • Diretivas
  • Configurações do Windows
  • Configurações de segurança
  • Configurações avançadas de política de auditoria
  • Configurações de política
  • Acesso a objetos

Nós clicamos duas vezes em Acesso a objetos, nós escolhemos a opção Auditar armazenamento removível.

A respectiva janela será exibida, ativamos a caixa de seleção Configure os seguintes eventos de auditoria e nós escolhemos a opção Correto.

Para salvar as alterações, clicamos em Aplicar e mais tarde em Aceitar.

Como podemos ver, existem ferramentas que tornam a gestão administrativa de uma rede uma tarefa extremamente importante e responsável, devemos explorar a fundo tudo o que o Windows Server 2012 nos oferece para ter uma rede sempre disponível.

Ocultar drives GPO do Windows Server

Você vai ajudar o desenvolvimento do site, compartilhando a página com seus amigos

wave wave wave wave wave

Publicações Populares

wave
1
post-title
▷ Como FAZER UMA VIDEOCONFERÊNCIA no YouTube
2
post-title
Como instalar o servidor FTP no Linux CentOS7
3
post-title
O Twitter permite que você envie imagens por DM.
4
post-title
MWC: primeiras impressões do Huawei P10 e P10 Plus
5
post-title
▷ Consulte as atualizações do Windows 10 instaladas - ✔️ RECENTE

Recomendado

wave
- Sponsored Ad -

Escolha Do Editor

wave
- Sponsored Ad -