Windows Server 2008R2 - Auditoria de alterações em uma conta de serviço

Navegue suas respostas
2

Eu quero configurar a auditoria para que eu possa ver se alguma alteração está sendo feita em uma conta de serviço (qualquer alteração) no AD usada para executar um aplicativo de backup.

O que preciso ativar no Gerenciamento de Diretiva de Grupo: Auditoria de alterações do Serviço de Diretório ou Gerenciamento de Contas de Auditoria?

    
por PnP 07.05.2012 / 18:27

3 respostas

5

Você pode ativar o recurso Alterações no Serviço de Diretório, que foi introduzido no Windows 2008. Isso tem o benefício adicional de registrar os valores atuais e anteriores de um atributo quando ocorre uma modificação.

Aviso: se você definir essa configuração na Diretiva de Grupo, isso será abordado na nova seção de auditoria como "Acesso ao DS". Você deve usar as novas configurações de auditoria ou a seção de auditoria mais antiga, mas não ambas. Quando as configurações na nova seção de auditoria são usadas, quaisquer configurações na seção antiga podem ser ignoradas.

Nova localização:

Configuração do computador > Configurações do Windows > Configurações de segurança > Configuração Avançada de Política de Auditoria

Localização antiga:

Configuração do computador > Configurações do Windows > Configurações de segurança > Políticas locais > Política de Auditoria.

É possível configurar isso usando o comando auditpol.exe, no entanto, se esse método for usado, ele deverá ser executado como um script de inicialização do computador para garantir que as configurações entrem em vigor quando o computador for reiniciado. Este é o comando: 

auditpol /set /subcategory:"directory service changes" /success:enable

Você também precisa ativar a auditoria em usuários e computadores do AD:

  • Executar usuários e computadores do Active Directory.

  • Clique com o botão direito do mouse na unidade organizacional (UO) (ou em qualquer objeto) para o qual você deseja habilitar a auditoria e clique em Propriedades.

  • Clique na guia Segurança, clique em Avançado e, em seguida, clique na guia Auditoria.

  • Clique em Adicionar e em Digite o nome do objeto a ser selecionado, digite Usuários autenticados (ou qualquer outra entidade de segurança) e clique em OK.

  • Em Aplicar em, clique em Objetos de usuário descendente (ou em qualquer outro objeto).

  • Em Acesso, marque a caixa de seleção Bem-sucedido para Gravar todas as propriedades.

  • Clique em OK até sair da folha de propriedades para a OU ou outro objeto.

Mais informações:

Guia passo a passo da auditoria do AD DS
link

Quais versões do Windows oferecem suporte à configuração avançada da diretiva de auditoria?
link

"Usar as configurações básicas de política de auditoria em Diretivas locais \ Diretiva de auditoria e as configurações avançadas em Configuração de diretiva de auditoria avançada podem causar resultados inesperados. Portanto, os dois conjuntos de configurações de diretiva de auditoria não devem ser combinados. Se você usar as configurações da Política de Auditoria Avançada, ative a auditoria: Forçar configurações da subcategoria de política de auditoria (Windows Vista ou posterior) a substituir a configuração de diretiva de diretiva de auditoria em Diretivas Locais \ Opções de Segurança, o que evitará conflitos entre configurações semelhantes forçando a auditoria básica de segurança a ser ignorada. "

    
por 07.05.2012 / 19:36
0

E as identificações de evento que você deve monitorar são: 1) 4625 - conta desativada 2) 4625 - conta expirada 3) 4624, 4625 - Logins 4) 4724 - conjunto de senhas 5) 4726 - conta excluída 6) 4730, 4734, 4748, 4753, 4758, 4763 - membro do grupo adicionado (diferentes tipos de grupos).

    
por 18.07.2013 / 21:00
0

As alterações no serviço de diretório de auditoria estão disponíveis no Windows Server 2008 R2 e versões posteriores. Os eventos incluídos nesta categoria incluem detalhes adicionais como Old Value e Novo valor das propriedades alteradas.Esta Política de Auditoria Avançada é incluída na subcategoria do DS Access.

Você pode ativar a configuração da Política de auditoria avançada das duas maneiras a seguir.

  1. Vá para o nó. Configuração do computador- > Políticas- > Configurações do Windows- > Configurações de segurança- > Configuração avançada da política de auditoria - > Acesso DS

    2.Agora edite As alterações no serviço de diretório de auditoria como sucesso

ou você pode fazer isso por auditpol

Auditpol / set / subcategory: "Alterações no Serviço de Diretório" / success: enable

Consulte este artigo link

link

Nota : você precisa executar o comando gpupdate / force depois de concluir as etapas acima.

    
por 24.08.2013 / 07:57

Tags

MySQL permite logins sem senha, não me deixa rodar nada Ligação adiada Nginx