COMO: Auditar objectos do Active Directory no Windows Server 2003

Este artigo passo a passo descreve como utilizar a auditoria para controlar actividades de utilizador e eventos de sistema globais no Active Directory do Windows Server 2003.

Quando utiliza a auditoria do Windows Server 2003, pode controlar as actividades do utilizador e actividades de Windows Server 2003 que recebem eventos num computador. Quando utilizar a auditoria, pode especificar que eventos são escritos no registo de segurança. Por exemplo, o registo de segurança pode manter um registo de ambos válido e tentativas de início de sessão inválidas e eventos relacionados com a criar, abrir ou eliminar ficheiros ou outros objectos. Uma entrada de auditoria no registo de segurança contém as seguintes informações:

• A acção que foi efectuada.
• O utilizador que executou a acção.
• O êxito ou falha do evento e a hora em que o evento ocorreu.

Uma definição de política de auditoria define as categorias de eventos que o Windows Server 2003 regista no registo de segurança em cada computador. O registo de segurança permite controlar os eventos que especificar.

Quando a auditoria a eventos do Active Directory, Windows Server 2003 escreve um evento no registo de segurança no controlador de domínio. Por exemplo, se um utilizador tentar iniciar sessão no domínio utilizando uma conta de utilizador de domínio e a tentativa de início de sessão não tiver êxito, o evento é registado no controlador de domínio e não no computador em que foi efectuada a tentativa de início de sessão. Este comportamento ocorre porque é o controlador de domínio que tentou autenticar a tentativa de início de sessão, mas pode não fazer.

Utilize o Visualizador de eventos para visualizar eventos que o Windows Server 2003 regista no registo de segurança. Também pode arquivar ficheiros de registo para controlar as tendências ao longo do tempo. Por exemplo, se deseja determinar a utilização de impressoras ou ficheiros ou se pretende verificar a utilização de recursos não autorizados.

Para activar a auditoria de objectos do Active Directory:

• Configure uma definição de política auditoria para um controlador de domínio. Quando configura uma definição de política de auditoria, pode auditar objectos mas não é possível especificar o objecto que pretende auditar.
• Configure a auditoria de objectos específicos do Active Directory. Depois de especificar os eventos a auditar para ficheiros, pastas, impressoras e objectos do Active Directory, o Windows Server 2003 controla e regista estes eventos.

Configurar uma definição de política de auditoria para um controlador de domínio

Por predefinição, a auditoria está desactivada. Para controladores de domínio, uma definição de política de auditoria é configurada para todos os controladores de domínio no domínio. Para auditar eventos que ocorrem em controladores de domínio, configure uma definição de política de auditoria que aplica-se a todos os controladores de domínio de uma política de grupo não local objecto (GPO, Group Policy Object) para o domínio. Pode aceder a esta definição de política através da unidade organizacional controladores de domínio. Para auditar o acesso de utilizador a objectos do Active Directory, configure a categoria de evento auditar o do serviço de acesso na definição de política de auditoria.

NOTAS

• Tem de conceder o direito de utilizador Gerir auditoria e registo de segurança para o computador em que pretende configurar uma definição de política de auditoria ou rever um registo de auditoria. Por predefinição, o Windows Server 2003 concede estes direitos para o grupo de administradores.
• Os ficheiros e as pastas que pretende auditar devem estar em volumes de sistema (NTFS) de ficheiros do Microsoft Windows NT.

Para configurar uma definição de política auditoria para um controlador de domínio:

1. Clique em Iniciar , aponte para programas , aponte para Ferramentas administrativas e, em seguida, clique em utilizadores do Active Directory e computadores .
2. No menu Ver , clique em funcionalidades avançadas .
3. Clique com o botão direito do rato em Controladores de domínio e, em seguida, clique em Propriedades .
4. Clique no separador Política de grupo , clique em Política predefinida de controlador de domínio e, em seguida, clique em Editar .
5. Clique em Configuração do computador , faça duplo clique em Definições do Windows , faça duplo clique em Definições de segurança , faça duplo clique em Políticas locais (Local Policies) e faça duplo clique em Política de auditoria .
6. No painel da direita, clique com o botão direito do rato Directory Auditar acesso dos serviços de e, em seguida, clique em Propriedades .
7. Clique em Definir seguintes definições de política e, em seguida, clique para seleccionar uma ou mais das seguintes caixas de verificação:
   • êxito : clique para seleccionar esta caixa de verificação para auditar tentativas com êxito para a categoria de evento.
   • Falha : clique para seleccionar esta caixa de verificação para auditar tentativas falhadas para a categoria de evento.
8. Clique com o botão direito do rato em outra categoria de evento que pretende auditar e, em seguida, clique em Propriedades .
9. Clique em OK .
10. Uma vez que as alterações efectuar ao computador auditar definição da política têm efeito apenas quando a definição de política é propagada ou aplicada ao computador, efectue um dos seguintes passos para iniciar propagação da política:
    • Escreva gpupdate /Target:computer na linha de comandos e prima ENTER.
    • Aguarde a propagação da política automática que ocorre em intervalos regulares que podem ser configuradas. Por predefinição, a propagação da política ocorre a cada cinco minutos.
11. Abra o registo de segurança para visualizar eventos registados.
    
    Nota Se for um domínio ou um administrador empresarial, pode activar auditoria remotamente para estações de trabalho, servidores membro e controladores de domínio de segurança.

Configurar a auditoria de objectos do Active Directory específicos

Depois de configurar uma definição de política de auditoria, pode configurar a auditoria de objectos específicos, tais como utilizadores, computadores, unidades organizacionais ou grupos, especificando a ambos os tipos de acesso e os utilizadores cujo acesso pretende auditar. Para configurar a auditoria de específico do Active Directory objectos:

1. Clique em Iniciar , aponte para programas , aponte para Ferramentas administrativas e, em seguida, clique em utilizadores do Active Directory e computadores .
2. Certifique-se que Funções avançadas está seleccionada no menu Ver , garantindo que o comando tem uma marca de verificação junto a ele.
3. Clique no objecto do Active Directory que pretende auditar com o botão direito do rato e, em seguida, clique em Propriedades .
4. Clique no separador segurança e, em seguida, clique em Avançadas .
5. Clique no separador auditoria e, em seguida, clique em Adicionar .
6. Efectue um dos seguintes procedimentos:
   • Escreva o nome do utilizador ou grupo cujo acesso pretende auditar na caixa Introduza o nome do objecto a seleccionar e, em seguida, clique em OK .
   • Na lista de nomes, faça duplo clique o utilizador ou grupo cujo acesso pretende auditar.
7. Clique para seleccionar ou de com êxito Verifique caixa ou a caixa de verificação não foi possível para as acções que pretende auditar e, em seguida, clique em OK .
8. Clique em OK e, em seguida, clique em OK .

Resolução de problemas

O tamanho do registo de segurança é limitado. Deste modo, a Microsoft recomenda que seleccione cuidadosamente os ficheiros e pastas que pretende auditar. Considere também a quantidade de espaço em disco que pretende disponibilizar para o registo de segurança. O tamanho máximo está definido no Visualizador de eventos.