Compartilhar via

Monitorando o logоn de usuários do Active Directory

  • Artigo

Neste artigo vamos mostrar como habilitar a auditoria de logon dos usuários em um domínio para detectar atividades suspeitas e reduzir o risco de violações de segurança.

Solução

Clique no menu Start – Run e digite **gpmc.msc **para abrir a console Group Policy Management.

http://www.andersonpatricio.org/wp-content/uploads/2015/12/GPO00.png

Em Group Policy Objects clique em New e dê um nome para a GPOhttp://www.andersonpatricio.org/wp-content/uploads/2015/12/Gpo01.png

**Acesse: Computer Configuration → Policies → Windows Settings → Security Settings → Advanced Audit Policy Configuration → Audit Policies → Logon/Logoff → Audit Logon **

http://www.andersonpatricio.org/wp-content/uploads/2015/12/Gpo02.png

Nesta opção iremos marcar as duas opções:** Success e Failure**

http://www.andersonpatricio.org/wp-content/uploads/2015/12/Gpo03.png

Agora vamos acessar → Computer Configuration → Policies → Windows Settings → Security Settings → Event Log

http://www.andersonpatricio.org/wp-content/uploads/2015/12/Gpo04.png

Selecionamos Maximum security log size e definimos o tamanho máximo do log de segurança que é 4GB.

http://www.andersonpatricio.org/wp-content/uploads/2015/12/Gpo05.png

Após definirmos o tamanho do log, vamos marcar a opção para sobrescrever os eventos quando necessário.

http://www.andersonpatricio.org/wp-content/uploads/2015/12/Gpo06.png

A próxima etapa será vincularmos a GPO na OU TI

http://www.andersonpatricio.org/wp-content/uploads/2015/12/Gpo07.png

Ao invés de executarmos o gpupdate /force na estação, executaremos no próprio Servidor do Active Directory (este recurso está disponível apartir do Windows Server 2012), selecione a OU TI e clique com o botão direito e escolha **Group Policy Update **(esta OU deverá conter no mínimo um objeto computador para funcionar, caso contrário irá aparecer uma tela informando o erro.)

Para utilizar este recurso é necessáro liberar no firewall:
Remote Scheduled Tasks Management (RPC)
Remote Scheduled Tasks Management (RPC-EPMAP)
Windows Management Instrumentation (WMI-In)http://www.andersonpatricio.org/wp-content/uploads/2015/12/Gpo08.png

Clique em YES para executar o comando

http://www.andersonpatricio.org/wp-content/uploads/2015/12/Gpo09.png

Para validarmos o êxito na aplicação da gpo, vá no event viewer, na aba segurança e procure pelo event id 4648 (audit logon).

http://www.andersonpatricio.org/wp-content/uploads/2015/12/Gpo10.png

Conclusão

Neste Tutorial mostramos como habilitar a auditoria no logon no Windows, aumento a segurança do ambiente e reduzindo os riscos, esperamos que essa dica incentive a todos a implementar esta GPO.

Fico por aqui e até a próxima!