Implantar a auditoria de segurança com as políticas de auditoria central (etapas de demonstração)
Neste cenário, você fará a auditoria de acesso a arquivos na pasta Documentos Financeiros usando a Política de Finanças que você criou em Implantar uma política de acesso central (etapas de demonstração). Se um usuário que não estiver autorizado a acessar a pasta tentar acessá-la, a atividade será capturada no visualizador de eventos. As etapas a seguir são necessárias para testar este cenário.
| Tarefa | Descrição |
|---|---|
| Configurar o acesso a objetos globais | Nesta etapa, configure a política de acesso a objetos globais no controlador de domínio. |
| Atualizar as configurações da Política de Grupo | Entre no servidor de arquivos e aplique a atualização de Política de Grupo. |
| Verificar se a política de acesso a objetos globais foi aplicada | Exiba os eventos relevantes no visualizador de eventos. Os eventos devem incluir metadados para o tipo de documento e o país. |
Configurar a política de acesso a objetos globais
Nesta etapa, configure a política de acesso a objetos globais no controlador de domínio.
Para configurar uma política de acesso a objetos globais
Entre no controlador de domínio DC1 como contoso\administrator com a senha pass@word1.
No Gerenciador do Servidor, aponte para Ferramentas e clique em Gerenciamento de Política de Grupo.
Na árvore do console, clique duas vezes em Domínios, clique duas vezes em contoso.com, clique em Contoso e clique duas vezes em Servidores de Arquivos.
Clique com o botão direito do mouse em FlexibleAccessGPO e clique em Editar.
Clique duas vezes em Configuração do Computador, clique duas vezes em Políticas e clique duas vezes em Configurações do Windows.
Clique duas vezes em Configurações de Segurança, clique duas vezes em Configuração Avançada de Política de Auditoria e clique duas vezes em Políticas de Auditoria.
Clique duas vezes em Acesso a Objeto e clique duas vezes em Sistema de Arquivos de Auditoria.
Marque a caixa de seleção Configurar estes eventos, marque as caixas de seleção Êxito e Falha e clique em OK.
No painel de navegação, clique duas vezes em Auditoria de Acesso a Objetos Globais e clique duas vezes em Sistema de arquivos.
Marque a caixa de seleção Definir esta configuração de política e clique em Configurar.
Na caixa Configurações de Segurança Avançadas de SACL de Arquivo Global, clique em Adicionar, clique em Selecionar uma entidade de segurança, digite Todos e clique em OK.
Na caixa Entrada de Auditoria para SACL de Arquivo Global, selecione Controle total na caixa Permissões.
Na seção Adicionar uma condição:, clique em Adicionar uma condição e selecione nas listas suspensas[Recurso] [Departamento] [Qualquer um] [Valor] [Finanças].
Clique em OK três vezes para concluir a definição da configuração de política de auditoria de acesso a objeto global.
No painel de navegação, clique em Acesso a Objeto e, no painel de resultados, clique duas vezes em Auditoria de Manipulação de Identificador. Clique em Configurar estes eventos de auditoria, Êxito e Falha, clique em OK e feche o GPO de acesso flexível.
Atualizar as configurações de Política de Grupo
Nesta etapa, atualize as configurações de Política de Grupo depois de criar a política de auditoria.
Para atualizar as configurações de Política de Grupo.
Entre no servidor de arquivos, FILE1, como contoso\Administrador com a senha pass@word1.
Pressione a tecla do Windows+R e digite cmd para abrir uma janela do Prompt de Comando.
Observação
Se a caixa de diálogo Controle de Conta de Usuário aparecer, confirme se a ação exibida é a que você deseja e, em seguida, clique em Sim.
Digite gpupdate /force e pressione ENTER.
Verificar se a política de acesso a objetos globais foi aplicada
Depois que as configurações de Política de Grupo forem aplicadas, você poderá verificar se as configurações de política de auditoria foram aplicadas corretamente.
Para verificar se a política de acesso a objetos globais foi aplicada
Entre no computador cliente, CLIENT1 como Contoso\MReid. Navegue até a pasta HYPERLINK "file:///\\\\ID_AD_FILE1\\Finance" \\ FILE1\Finance Documents e modifique o Documento do Word 2.
Entre no servidor de arquivos, FILE1, como contoso\administrator. Abra o Visualizador de Eventos, navegue até Logs do Windows, selecione Segurança e confirme se suas atividades resultaram nos eventos de auditoria 4656 e 4663 (embora você não tenha definido SACLs de auditoria explícitas nos arquivos ou pastas que criou, modificou e excluiu).
Importante
Um novo evento de logon é gerado no computador onde o recurso está localizado, em nome do usuário para quem o acesso efetivo está sendo verificado. Durante a análise dos logs de auditoria de segurança da atividade de logon do usuário, para diferenciar entre os eventos de logon que são gerados pelo acesso efetivo e aqueles gerados por um logon de usuário de rede interativo, as informações de Nível de Representação estão incluídas. Quando o evento de logon for gerado pelo acesso efetivo, o Nível de Representação será a Identidade. Um logon de usuário de rede interativo normalmente gera um evento de logon com o Nível de Representação = Representação ou Delegação.