Visualize os usuários fazendo logon no Windows Server

Visualize os usuários fazendo logon no Windows Server | Microsoft 2024
Visualize os usuários fazendo logon no Windows Server | Microsoft 2024

Uma das questões mais importantes que como administradores temos que ter em mente é a segurança de nossos servidores e equipamentos, garantindo a quem tem acesso a eles e cuidando do privilégio que tem nele. Pode acontecer que algum usuário, acidentalmente ou não, faça modificações em diferentes parâmetros do servidor e assim como pode haver mudanças que não afetam o desempenho e estabilidade do sistema, outras alterações podem afetar significativamente a segurança, confidencialidade e desempenho do Windows Server 2016 e por sua vez traz problemas sérios que podem até levar a problemas jurídicos.

Além de fazer cópias de backup, uma das melhores práticas que podemos realizar como administradores, gerentes de TI e em geral como pessoal de sistemas é implementar uma política de auditoria que nos permite monitorar quais usuários estão conectados ao Windows Server 2016 (Ou versões anteriores do W.Server) e assim poder analisar se as falhas do sistema coincidem com o login de um usuário diferente dos autorizados. Vamos analisar como podemos implementar essa política em um ambiente Windows Server 2016.

1. Configurações de política de auditoria


O primeiro passo que devemos dar para criar nosso política de auditoria será entrar no Console de Gerenciamento de Política de Grupo ou Console de gerenciamento de política de grupo, para isso usaremos a combinação de teclas:

Nós pressionamos Digitar ou OK e veremos a seguinte janela:

Estar no Console GPO vamos mover da seguinte forma: 

 Forest / Domains / Nuestro_Dominio / Domain Controllers / Default Domain Controllers Policy

Nós vamos dar clique com o botão direito em Política de controladores de domínio padrão e nós selecionamos Editar Para entrar no editor de política de grupo, veremos o seguinte ambiente:

Lá devemos ir para o seguinte caminho:

  • Configuração do Computador
  • Políticas
  • Configurações do Windows
  • Configurações de segurança
  • Configuração Avançada de Política de Auditoria
  • Políticas de Auditoria

PROLONGAR

[color = rgb (169,169,169)] Clique na imagem para ampliar [/ color]

Desta forma, entramos no Opção de logon / logoff e devemos habilitar auditoria para estas ações, portanto, quando um usuário logar, ele será cadastrado no visualizador de eventos para que posteriormente possa entrar e realizar a análise correspondente. Como vemos a parte certa, temos uma série de opções, mas devemos editar o seguinte:

  • Logoff de auditoria
  • Logon de auditoria
  • Auditar outros eventos de logon / logoff

Essas três (3) opções nos fornecerão informações detalhadas sobre:

  • Logins de sessão
  • Encerramentos de sessão
  • Bloqueio de equipamento
  • Conexões via desktop remoto
  • Etc.

Basta clicar duas vezes nas três (3) opções e ativar a caixa Configure os seguintes eventos de auditoria e verifique as duas opções disponíveis (Sucesso - Satisfatório Y Falha - errado) para manter o controle total sobre os eventos de logon e logoff no Windows Server 2016.

Nós pressionamos Aplicar e posteriormente OK para salvar as alterações.

2. Analise o visualizador de eventos


Depois de configurarmos esses parâmetros corretamente, entraremos no visualizador de eventos para analisar os respectivos eventos.

Eventos de auditoria de login e logoutAgora, os IDs dos eventos que devemos ter em mente para monitorar são os seguintes:

  • 4624: Logon (evento de segurança)
  • 4647: Logoff (evento de segurança)
  • 6005: Inicialização do sistema (evento do sistema)
  • 4778: Conectando-se a um RDP - Área de Trabalho Remota (Evento de Segurança)
  • 4779: Logout de RDP - Remote Desktop (Security Event)
  • 4800: Bloqueio de equipamento (evento de segurança)
  • 4801: Desbloqueio de equipamento (evento de segurança)

Nós poderemos acessar o visualizador de eventos usando qualquer uma das seguintes opções:

  • Clique com o botão direito no ícone iniciar PROLONGAR

    [color = rgb (169,169,169)] Clique na imagem para ampliar [/ color]

    A fim de revisar os eventos acima mencionados vamos selecionar a opção Segurança na guia Logs do Windows:

    PROLONGAR

    [color = rgb (169,169,169)] Clique na imagem para ampliar [/ color]

    Em seguida vamos dar clique na opção Filter Current Log para poder filtrar por ID de evento. Devemos inserir o ID ou IDs que queremos validar, basta inserir o valor (neste exemplo 4624) no campo Inserir ID:

    Nós pressionamos OK e veremos o seguinte resultado:

    PROLONGAR

    [color = # a9a9a9] Clique na imagem para ampliar [/ color]

    Lá podemos selecionar qualquer um dos eventos para analisar todas as suas informações:

    Podemos ver na parte superior o usuário que se logou, o domínio em que se conectou e outros parâmetros, na parte inferior podemos ver o tipo de auditoria, a data e hora do evento, a descrição do evento e outros aspectos.

    Desta maneira criamos uma política de auditoria no nível de login e logout o que nos permitirá realizar uma gestão total e em todos os momentos sobre quais usuários e quando eles se logaram no Windows Server 2016 e a partir daí determinar se houve alguma modificação no sistema.

wave wave wave wave wave

Publicações Populares

wave
1
post-title
Instale e configure o Sensu para monitorar o Ubuntu 17.04
2
post-title
Criando controladores e rotas no Laravel
3
post-title
O que é a atualização de criadores do Windows 10 de experiências compartilhadas
4
post-title
Diagnósticos da Apple para detectar e corrigir erros de hardware do macOS
5
post-title
Truques para pesquisar no Twitter

Recomendado

wave
- Sponsored Ad -

Escolha Do Editor

wave
- Sponsored Ad -