Active DirectorySegurançaWindows Server

Auditoria de grupos no Active Directory

Como habilitar e realizar auditoria de grupos no Active Directory

Em continuidade da trajetória Windows Server, hoje aprenderemos a habilitar a auditoria nos grupos do Active Directory.

Tema de extrema importância para se ter rastreabilidade no seu Active Directoy

Desde que, a auditoria estiver habilitada, será possível identificar a modificação nos grupos de segurança e/ou distribuição. Esta modificação vai de adicionar e/ou remover usuários, ou até mesmo mudança do nome do grupo.

Aviso importante:

Caso você possuir mais de um Active Directory em sua estrutura, o procedimento deverá ser executado neles também.

Pré-requisito:

Será necessário habilitar a função no prompt de comando, como administrador.

Digite o comando, para habilitar o recurso, conforme o idioma do seu sistema operacional Windows Server.

Servidor em português:

auditpol /set /subcategory:”Acesso ao Serviço de Diretório” /success:enable

Servidor em inglês:

auditpol /set /subcategory:”Directory Service Changes” /success:enable
Procedimento Técnico

Clique no Menu >> Ferramentas Administrativas >> Visualizar de Eventos

Navegue em Visualizador de Eventos >> Logs do Windows >> Segurança

Clique com botão direito, em Segurança e selecione a opção Filtrar Log Atual

Digite a Identificação do Evento 4728, para saber qual usuário foi adicionado no grupo;
Digite a Identificação do Evento 4729, para saber que houve um usuário removido do grupo.

Na aba Geral, será possível identificar as principais informações tais como:

– Qual ação foi realizada;
– Quem foi o executor da ação;
– Qual o objeto foi modificado;
– Data e hora.

Para facilitar e agilizar as próxima auditorias, você pode salvar o Filtro realizado. Veja como fazer:

Navegue em Visualizador de Eventos >> Modos de exibição

Clique com botão direito e selecione a opção Criar Modo de Exibição Personalizado

Na opção “Logs de Eventos”, selecione a opção “Segurança”

Digite as “Identificações do Evento” 4728 e 4729

Save o Filtro criado.

Sempre gosto de deixar na descrição o Autor, Data e Finalidade para rastreabilidade depois.

No vídeo abaixo mostro como habilitar o recurso e realizar a auditoria no Event Viewer.

Procedimento aplicável em outras versões do Windows Server: 20082016 e 2019

Despedida e agradecimentos

Espero ter ajudado. Deixe seu feedback nos comentários logo abaixo, não esqueça de se inscrever, compartilhe nas redes sociais e fique ligado nas novidades.

Inscreva-se na lista VIP e receba conteúdos exclusivos

Abraços.

Arthur Nycael

Entusiasta por tecnologia, graduado em Redes de Computadores, Pós-Graduado em Segurança da Informação, AWS Solutions Architect, VMware vExpert ⭐⭐ e AWS Community Builder.

Deixe uma respostaCancelar resposta

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.