COMO: Auditoria de objetos do Active Directory no Windows Server 2003

Este artigo passo a passo descreve como usar a auditoria para controlar as atividades do usuário e eventos de todo o sistema no Active Directory do Windows Server 2003.

Quando você usa a auditoria do Windows Server 2003, você pode controlar as atividades do usuário e atividades de Windows Server 2003 que são chamadas de eventos, em um computador. Quando você usar a auditoria, você pode especificar quais eventos são gravados no log de segurança. Por exemplo, o log de segurança pode manter um registro de ambos válido e tentativas de logon inválidas e eventos relacionados ao criar, abrir ou excluir arquivos ou outros objetos. Uma entrada de auditoria no log de segurança contém as seguintes informações:

• A ação foi executada.
• O usuário que executou a ação.
• O sucesso ou fracasso do evento e a hora em que o evento ocorreu.

Uma configuração de diretiva de auditoria define as categorias de eventos que o Windows Server 2003 registra no log de segurança em cada computador. O log de segurança possibilita controlar os eventos que você especificar.

Quando você faz auditoria em eventos do Active Directory, o Windows Server 2003 grava um evento no log de segurança no controlador de domínio. Por exemplo, se um usuário tentar fazer logon no domínio usando uma conta de usuário de domínio e a tentativa de logon não tem êxito, o evento é registrado no controlador de domínio e não no computador onde foi feita a tentativa de logon. Esse comportamento ocorre porque ele é o controlador de domínio que tentou autenticar a tentativa de logon, mas não foi possível fazer isso.

Use Visualizar eventos para exibir eventos que o Windows Server 2003 registra no log de segurança. Você também pode arquivar arquivos de log para controlar as tendências com o tempo. Por exemplo, se você deseja determinar o uso de impressoras ou arquivos, ou se você deseja verificar o uso de recursos não autorizados.

Para ativar a auditoria de objetos do Active Directory:

• Defina uma configuração de diretiva auditoria para um controlador de domínio. Quando você configura uma configuração de diretiva de auditoria, você pode fazer auditoria em objetos, mas você não pode especificar o objeto que deseja auditar.
• Configure auditoria de objetos específicos do Active Directory. Depois de especificar os eventos para auditoria de arquivos, pastas, impressoras e objetos do Active Directory, o Windows Server 2003 rastreia e registra esses eventos.

Configurar uma configuração de diretiva de auditoria para um controlador de domínio

Por padrão, a auditoria está desativada. Para controladores de domínio, uma configuração de diretiva de auditoria é configurada para todos os controladores de domínio no domínio. Para fazer auditoria em eventos que ocorrem em controladores de domínio, configure uma configuração de diretiva de auditoria que se aplica a todos os controladores de domínio em uma diretiva de grupo não local GPO (objeto) para o domínio. Você pode acessar essa configuração de diretiva por meio de unidade organizacional controladores de domínio. Para realizar auditoria de acesso de usuário para objetos do Active Directory, configure a categoria de evento de auditoria Directory Service Access na configuração de diretiva de auditoria.

ANOTAÇÕES

• Você deve conceder o direito de usuário Gerenciar auditoria e log de segurança para o computador onde você deseja configurar uma diretiva de auditoria ou examinar um log de auditoria. Por padrão, o Windows Server 2003 concede esses direitos ao grupo Administradores.
• Os arquivos e pastas que você deseja auditar devem estar em volumes de sistema de arquivos Microsoft Windows NT.

Para configurar uma configuração de diretiva de auditoria para um controlador de domínio:

1. Clique em Iniciar , aponte para programas , aponte para Ferramentas administrativas e, em seguida, clique em Active Directory Users and Computers .
2. No menu Exibir , clique em recursos avançados .
3. Clique com o botão direito do mouse Controladores de domínio e, em seguida, clique em Propriedades .
4. Clique na guia Diretiva de grupo , clique em Diretiva de controlador de domínio padrão e, em seguida, clique em Editar .
5. Clique em Configuração do computador , clique duas vezes em Configurações do Windows , clique duas vezes em Configurações de segurança , clique duas vezes em Diretivas locais e clique duas vezes em Diretiva de auditoria .
6. No painel direito, clique com o botão direito do mouse auditoria Directory Services Access e em seguida, clique em Propriedades .
7. Clique em Definir essas configurações de diretiva e, em seguida, clique para selecionar uma ou ambas as seguintes caixas de seleção:
   • êxito : clique para selecionar esta caixa de seleção para auditar tentativas bem-sucedidas para a categoria de evento.
   • Falha : clique para selecionar esta caixa de seleção para auditar tentativas com falha para a categoria de evento.
8. Clique outra categoria de evento que você deseja auditar com o botão direito do mouse e, em seguida, clique em Propriedades .
9. Clique em OK .
10. Porque as alterações que você fizer ao seu computador efetivada de configuração de diretiva de auditoria somente quando a configuração de diretiva é propagada ou aplicada ao seu computador, conclua as etapas seguintes para iniciar propagação da diretiva:
    • Digite gpupdate /Target:computer no prompt de comando e pressione ENTER.
    • Aguarde a propagação da diretiva automática que ocorre em intervalos regulares que você pode configurar. Por padrão, a propagação da diretiva ocorre a cada cinco minutos.
11. Abra o log de segurança para exibir eventos registrados.
    
    Observação Se você for um domínio ou um administrador corporativo, você pode habilitar auditoria remotamente para estações de trabalho, servidores membros e controladores de domínio de segurança.

Configurar a auditoria para objetos específicos do Active Directory

Depois de configurar uma configuração de diretiva de auditoria, você pode configurar auditoria de objetos específicos, como usuários, computadores, unidades organizacionais ou grupos, especificando os dois tipos de acesso e os usuários cujo acesso você deseja auditar. Para configurar a auditoria do Active Directory específico objetos:

1. Clique em Iniciar , aponte para programas , aponte para Ferramentas administrativas e, em seguida, clique em Active Directory Users and Computers .
2. Verifique se a opção Recursos avançados é selecionada no menu Exibir certificando-se de que o comando tem uma marca de seleção ao lado.
3. Clique com o botão direito do mouse o objeto do Active Directory que você deseja fazer auditoria e, em seguida, clique em Propriedades .
4. Clique na guia segurança e, em seguida, clique em Avançado .
5. Clique na guia auditoria e, em seguida, clique em Adicionar .
6. Preencha um destes procedimentos:
   • Digite o nome do usuário ou grupo cujo acesso você deseja fazer auditoria na caixa Digite o nome do objeto a ser selecionado e, em seguida, clique em OK .
   • Na lista de nomes, clique duas vezes o usuário ou grupo cujo acesso você deseja auditar.
7. Clique para selecionar ambos o êxito Verifique caixa ou a caixa de seleção Falha para as ações que você deseja fazer auditoria e, em seguida, clique em OK .
8. Clique em OK e, em seguida, clique em OK .

Solucionar problemas

O tamanho do log de segurança é limitado. Por isso, a Microsoft recomenda que você selecione cuidadosamente os arquivos e as pastas que você deseja auditar. Também considere a quantidade de espaço em disco que você deseja destinar ao log de segurança. O tamanho máximo é definido em Visualizar eventos.