quarta-feira, novembro 22, 2017
Breaking News
Home » Artigos » Monitorando o logоn de usuários do Active Directory

Monitorando o logоn de usuários do Active Directory

Neste artigo vamos mostrar como habilitar a auditoria de logon dos usuários em um domínio para detectar atividades suspeitas e reduzir o risco de violações de segurança.

Solução


Clique no menu Start – Run e digite gpmc.msc para abrir a console Group Policy Management.

Em Group Policy Objects clique em New e dê um nome para a GPOGpo01

Acesse: Computer Configuration → Policies → Windows Settings → Security Settings → Advanced Audit Policy Configuration → Audit Policies → Logon/Logoff → Audit Logon 

Nesta opção iremos marcar as duas opções: Success e Failure

Agora vamos acessar → Computer Configuration → Policies → Windows Settings → Security Settings → Event Log

Selecionamos Maximum security log size e definimos o tamanho máximo do log de segurança que é 4GB.

Após definirmos o tamanho do log, vamos marcar a opção para sobrescrever os eventos quando necessário.

A próxima etapa será vincularmos a GPO na OU TI

Gpo07

Ao invés de executarmos o gpupdate /force na estação, executaremos no próprio Servidor do Active Directory (este recurso está disponível apartir do Windows Server 2012), selecione a OU TI e clique com o botão direito e escolha Group Policy Update (esta OU deverá conter no mínimo um objeto computador para funcionar, caso contrário irá aparecer uma tela informando o erro.)

Para utilizar este recurso é necessáro liberar no firewall:
Remote Scheduled Tasks Management (RPC)
Remote Scheduled Tasks Management (RPC-EPMAP)
Windows Management Instrumentation (WMI-In)Gpo08

Clique em YES para executar o comando

Gpo09

Para validarmos o êxito na aplicação da gpo, vá no event viewer, na aba segurança e procure pelo event id 4648 (audit logon).

Gpo10

Conclusão


Neste Tutorial mostramos como habilitar a auditoria no logon no Windows, aumento a segurança do ambiente e reduzindo os riscos, esperamos que essa dica incentive a todos a implementar esta GPO.

Fico por aqui e até a próxima!

Sobre Rafael Bandeira de Oliveira

Rafael Bandeira de Oliveira, tem mais de 10 anos de experiência na área de TI, tendo atuado com suporte técnico e infraestrutura.
Contribuo com a Comunidade Microsoft escrevendo artigos e tutoriais no AndersonPatricio.org, PuraInfo e no meu perfil no linkedin.
Possuo as seguintes certificações: ITIL Foundation, MCP, ISO 2000 (Exin), Cloud Computing Foundation (Exin), ISO 27002 (Exin) com essas certificações da Exin + ITIL obtive o título de EXIN Certified Integrator Secure Cloud Services.
Atualmente é Analista de Infraestrutura Sênior Microsoft.

Veja também!

Criando uma Managed Service Accounts (MSA)

Neste Tutorial iremos mostrar como criar uma conta de serviço gerenciada também conhecida como Managed …

Este artigo lhe foi útil? comente e ajude outros acrescentando seu ponto de vista!