Como usar a Diretiva de Grupo para definir configurações da auditoria de segurança detalhadas para os computadores clientes do Windows Vista em um domínio do Windows Server 2003 ou do Windows 2000

Este artigo descreve como usar a Diretiva de Grupo para definir configurações da auditoria de segurança detalhadas para os computadores clientes do Windows Vista em um domínio do Windows Server 2003 ou do Windows 2000. No Windows Vista, você tem mais controle sobre subcategorias de diretiva de auditoria individuais do que em versões anteriores dos sistemas operacionais Windows. As subcategorias de diretiva de auditoria individuais que estão disponíveis no Windows Vista não são expostas na interface das ferramentas da Diretiva de Grupo. Os administradores podem usar o procedimento descrito neste artigo para implantar uma diretiva de auditoria personalizada que aplica configurações de auditoria de segurança detalhadas a computadores clientes do Windows Vista em um domínio do Windows Server 2003 ou do Windows 2000.

Coisas a considerar

Estas são algumas coisas que devem ser consideradas antes de você realizar o procedimento descrito neste artigo:

• O procedimento usa um código de exemplo. O código de exemplo usa o compartilhamento Netlogon. Além disso, o código de exemplo usa a pasta %SystemRoot%\Temp como cache.
• O procedimento usa o domínio de exemplo Contoso.com
• O procedimento pressupõe que as seguintes condições sejam verdadeiras:
  • Você está familiarizado com as seguintes tecnologias e ferramentas:
    • Scripts de inicialização da Diretiva de Grupo
    • Console de gerenciamento de diretiva de grupo
    • A ferramenta de linha de comando Auditpol.exe
  • Você tem uma compreensão básica do processamento de arquivos em lotes.
  • É possível configurar uma diretiva de auditoria para os computadores clientes do Windows Vista em um domínio do Windows Server 2003 ou do Windows 2000. A diretiva de auditoria é atribuída à Diretiva de Domínio Padrão.
• Você está familiarizado com os scripts usados pelo procedimento para substituir as configurações da diretiva de auditoria baseada em domínio herdada pelas configurações da diretiva de auditoria detalhadas no Windows Vista. Caso não queira definir as configurações da diretiva de auditoria detalhadas disponíveis no Windows Vista, não use o procedimento descrito neste artigo.

Usar a Diretiva de Grupo para definir as configurações de auditoria de segurança detalhadas de computadores clientes do Windows Vista

Para usar a Diretiva de grupo a fim de definir as configurações de auditoria de segurança detalhadas dos computadores clientes do Windows Vista em um domínio do Windows Server 2003 ou do Windows 2000, execute as seguintes etapas.

Etapa 1: Determinar as configurações de auditoria de segurança que você deseja implantar em computadores clientes do Windows Vista

1. Faça logon em um computador que está executando o Windows Vista como um usuário que tenha credenciais de administrador.
2. Clique em Iniciar, aponte para Todos os Programas, clique em Acessórios, clique com o botão direito do mouse em Prompt de Comando e, em seguida, clique em Executar como administrador.
3. Na caixa de diálogo Controle de conta de usuário, clique em Continuar.
4. Libere as configurações de diretiva de auditoria padrão. Para isso, digite a seguinte linha no prompt de comando e, em seguida, pressione ENTER:
   auditpol /clear
5. Use a ferramenta de linha de comando Auditpol.exe para definir as configurações da diretiva de auditoria personalizadas desejadas.
   
   Por exemplo, digite as seguintes linhas no prompt de comando. Pressione ENTER depois de cada linha.
   auditpol /set /subcategory:"user account management" /success:enable /failure:enable
   auditpol /set /subcategory:"logon" /success:enable /failure:enable
   auditpol /set /subcategory:"IPSEC Main Mode" /failure:enable
   Observação Para ver todas as categorias e subcategorias possíveis, digite a seguinte linha no prompt de comando e, em seguida, pressione ENTER:
   auditpol /list /subcategory:*
6. Digite a seguinte linha em um prompt de comando e, em seguida, pressione ENTER:
   auditpol /backup /file:auditpolicy.txt
7. Copie o arquivo Auditpolicy.txt file para o compartilhamento Netlogon do controlador de domínio que mantém a função de emulador do controlador de domínio primário (PDC) no domínio.
   
   O arquivo Auditpolicy.txt contém todas as configurações da diretiva de auditoria definidas por você. O script de inicialização usa o arquivo para aplicar novamente a diretiva. Depois de aplicar com êxito o script de inicialização uma vez, você não precisa reiniciar o computador para atualizar as configurações da diretiva de auditoria. Para atualizar as configurações da diretiva de auditoria, substitua a versão anterior do arquivo Auditpolicy.txt copiado por você para o compartilhamento Netlogon. Para isso, crie um arquivo Auditpolicy.txt e, em seguida, copie o novo arquivo Auditpolicy.txt para o compartilhamento Netlogon.

Etapa 2: Impedir que a diretiva de auditoria do domínio herdada substitua a diretiva de auditoria em computadores clientes do Windows Vista

Para impedir que a diretiva de domínio herdada substitua a diretiva de auditoria, você deve habilitar a configuração de diretiva Forçar configurações de subcategorias de diretivas de auditoria (Windows Vista ou superior) para substituir configurações de categorias de diretivas de auditoria. Isso impede que a diretiva de auditoria baseada em domínio substitua as configurações da diretiva de auditoria mais detalhadas em computadores clientes do Windows Vista. Para fazer isto, execute as seguintes etapas:

1. Em um computador cliente do Windows Vista que ingressou no domínio, abra a Diretiva de Domínio Padrão.
2. Expanda Configuração do computador, Configurações do Windows, Configurações de segurança, Diretivas locais e clique em Opções de segurança.
3. Clique duas vezes em Auditoria: forçar configurações de subcategorias de diretivas de auditoria (Windows Vista ou superior) para substituir configurações de categorias de diretivas de auditoria.
4. Clique em Ativada e em OK.

Etapa 3: Criar os scripts e, em seguida, adicioná-los ao compartilhamento Netlogon

A Microsoft fornece exemplos de programação apenas por questões ilustrativas, sem garantias expressas ou implícitas. Isto inclui, mas não está limitado a, garantias implícitas de comercialização ou adequação a um determinado propósito. Este artigo pressupõe que você conhece a linguagem de programação demonstrada e também as ferramentas usadas para criar e depurar procedimentos. Os engenheiros de suporte da Microsoft podem ajudá-lo, fornecendo a explicação da funcionalidade de um determinado procedimento, mas não modificarão estes exemplos para fornecer funcionalidades adicionais ou construir procedimentos específicos para atender às suas necessidades específicas.

1. Crie o script AuditPolicy.cmd Para fazer isto, execute as seguintes etapas:
   1. Inicie o Bloco de Notas e abra um documento em branco.
   2. Cole o seguinte código no documento no Bloco de notas:

      @echo off
      
      REM AuditPolicy.cmd
      REM (c) 2006 Microsoft Corporation.  All rights reserved.
      REM Sample Audit Script to deploy Windows Vista
      REM Granular Audit Policy settings.
      
      REM Should be run as a startup script from Group Policy
      
      REM ###################################################
      REM Declare Variables so that we only need to edit file
      REM names/paths in one location in script
      REM ###################################################
      
      set AuditPolicyLog=%systemroot%\temp\auditpolicy.log
      set OSVersionSwap=%systemroot%\temp\osversionwap.txt
      set OsVersionTxt=%systemroot%\temp\osversion.txt
      set MachineDomainTxt=%systemroot%\temp\machinedomain.txt
      set MachineDomainSwap=%systemroot%\temp\machinedomainSwap.txt
      set ApplyAuditPolicyCMD=applyauditpolicy.cmd
      set AuditPolicyTxt=auditpolicy.txt
      
      REM ###################################################
      REM Clear Log & start fresh
      REM ###################################################
      
      if exist %AuditPolicyLog% del %AuditPolicyLog% /q /f
      date /t > %AuditPolicyLog% & time /t >> %AuditPolicyLog%
      echo.
      
      REM ###################################################
      REM Check OS Version
      REM ###################################################
      
      ver | findstr "[" > %OSVersionSwap%
      for /f "tokens=2 delims=[" %%i in (%OSVersionSwap%) do echo %%i > %OsVersionTxt%
      for /f "tokens=2 delims=] " %%i in (%OsVersionTxt%) do set osversion=%%i
      echo OS Version=%osversion% >> %AuditPolicyLog%
      
      REM ###################################################
      REM Skip Pre-Vista
      REM ###################################################
      
      if "%osversion%" LSS "6.0" exit /b 1
      
      REM ###################################################
      REM Get Domain Name
      REM ###################################################
      
      WMIC /namespace:\\root\cimv2 path Win32_ComputerSystem get domain /format:list > %MachineDomainSwap%
      find /i "Domain=" %MachineDomainSwap% > %MachineDomainTxt%
      for /f "Tokens=2 Delims==" %%i in (%MachineDomainTxt%) do set machinedomain=%%i
      echo Machine domain=%machinedomain% >> %AuditPolicyLog%
      
      REM ###################################################
      REM Copy Script & Policy to Local Directory or Terminate
      REM ###################################################
      
      xcopy \\%machinedomain%\netlogon\%ApplyAuditPolicyCMD% %systemroot%\temp\*.* /r /h /v /y
      if %ERRORLEVEL% NEQ 0 (
          echo Could not read \\%machinedomain%\netlogon\%ApplyAuditPolicyCMD% >> %AuditPolicyLog%
          exit /b 1
      ) else (
          echo Copied \\%machinedomain%\netlogon\%ApplyAuditPolicyCMD% to %systemroot%\temp >> %AuditPolicyLog%
      )
      
      xcopy \\%machinedomain%\netlogon\%AuditPolicyTxt% %systemroot%\temp\*.* /r /h /v /y
      if %ERRORLEVEL% NEQ 0 (
          echo Could not read \\%machinedomain%\netlogon\%AuditPolicyTxt% >> %AuditPolicyLog%
          exit /b 1
      ) else (
          echo Copied \\%machinedomain%\netlogon\%AuditPolicyTxt% to %systemroot%\temp >> %AuditPolicyLog%
      )
      
      REM ###################################################
      REM Create Named Scheduled Task to Apply Policy
      REM ###################################################
      
      %systemroot%\system32\schtasks.exe /create /ru System /tn audit /sc hourly /mo 1 /f /rl highest /tr "%systemroot%\temp\%ApplyAuditPolicyCMD%"
      if %ERRORLEVEL% NEQ 0 (
          echo Failed to create scheduled task for Audit >> %AuditPolicyLog%
          exit /b 1
      ) else (
          echo Created scheduled task for Audit >> %AuditPolicyLog%
      )
      
      REM ###################################################
      REM Start Named Scheduled Task to Apply Policy
      REM ###################################################
      
      %systemroot%\system32\schtasks.exe /run /tn audit
      if %ERRORLEVEL% NEQ 0 (
          Failed to execute scheduled task for Audit >> %AuditPolicyLog%
      ) else (
          echo Executed scheduled task for Audit >> %AuditPolicyLog%
      )

   3. No menu Arquivo, clique em Salvar.
   4. Na caixa Salvar como tipo, clique em Todos os arquivos, digite AuditPolicy.cmd na caixa Nome do arquivo e, em seguida, clique em Salvar.
2. Crie o script ApplyAuditPolicy.cmd. Para fazer isto, execute as seguintes etapas:
   1. Inicie o Bloco de Notas e abra um documento em branco.
   2. Cole o seguinte código no documento no Bloco de notas:

      @echo off
      
      REM ApplyAuditPolicy.cmd
      REM (c) 2006 Microsoft Corporation.  All rights reserved.
      REM Sample Audit Script to deploy Windows Vista
      REM Granular Audit Policy settings.
      
      
      REM ###################################################
      REM Declare Variables so that we only need to edit file
      REM names/paths in one location in script
      REM ###################################################
      
      set DeleteAudit=DeleteAudit.txt
      set AuditPolicyLog=%systemroot%\temp\AuditPolicy.log
      set ApplyAuditPolicyLog=%systemroot%\temp\ApplyAuditPolicy.log
      set OSVersionSwap=%systemroot%\temp\osversionwap.txt
      set OsVersionTxt=%systemroot%\temp\osversion.txt
      set MachineDomainTxt=%systemroot%\temp\machinedomain.txt
      set MachineDomainSwap=%systemroot%\temp\machinedomainSwap.txt
      set ApplyAuditPolicyCMD=ApplyAuditpolicy.cmd
      set AuditPolicyTxt=AuditPolicy.txt
      
      REM ###################################################
      REM Clear Log & start fresh
      REM ###################################################
      
      if exist %ApplyAuditPolicyLog% del %ApplyAuditPolicyLog% /q /f
      date /t > %ApplyAuditPolicyLog% & time /t >> %ApplyAuditPolicyLog%
      echo.
      
      REM ###################################################
      REM Check OS Version
      REM ###################################################
      
      ver | findstr "[" > %OSVersionSwap%
      for /f "tokens=2 delims=[" %%i in (%OSVersionSwap%) do echo %%i > %OsVersionTxt%
      for /f "tokens=2 delims=] " %%i in (%OsVersionTxt%) do set osversion=%%i
      echo OS Version=%osversion% >> %ApplyAuditPolicyLog%
      
      REM ###################################################
      REM Skip Pre-Vista
      REM ###################################################
      
      if "%osversion%" LSS "6.0" exit /b 1
      
      REM ###################################################
      REM Get Domain Name
      REM ###################################################
      
      WMIC /namespace:\\root\cimv2 path Win32_ComputerSystem get domain /format:list > %MachineDomainSwap%
      find /i "Domain=" %MachineDomainSwap% > %MachineDomainTxt%
      for /f "Tokens=2 Delims==" %%i in (%MachineDomainTxt%) do set machinedomain=%%i
      echo Machine domain=%machinedomain% >> %ApplyAuditPolicyLog%
      
      REM ###################################################
      REM Delete Audit Task
      REM Should only be used to remove the pseudo-policy from
      REM client machines (designed for future Vista revisions
      REM where this script will no longer be necessary, and this
      REM script needs to be backed out).
      
      REM to use, simply create a file in NETLOGON with a name
      REM that matches the contents of DeleteAudit variable (above)
      REM ###################################################
      
      if exist \\%machinedomain%\netlogon\%DeleteAudit% (
          %systemroot%\system32\schtasks.exe /delete /tn "Audit" /F
          DEL %AuditPolicyLog%
          DEL %ApplyAuditPolicyLog%
          DEL %OSVersionSwap%
          DEL %OsVersionTxt%
          DEL %MachineDomainTxt%
          DEL %MachineDomainSwap%
          DEL %systemroot%\temp\%ApplyAuditPolicyCMD%
          DEL %systemroot%\temp\%AuditPolicyTxt%
          exit /b 1
      ) 
      
      REM ###################################################
      REM Copy Audit Policy to Local Directory
      REM This is tolerant of failures since the copy is just
      REM a "cache refresh".
      REM ###################################################
      
      xcopy \\%machinedomain%\netlogon\%AuditPolicyTxt% %systemroot%\temp\*.* /r /h /v /y
      if %ERRORLEVEL% NEQ 0 (
          echo Could not read \\%machinedomain%\netlogon\%AuditPolicyTxt% so using previous cached copy>> %ApplyAuditPolicyLog%
      ) else (
          echo Copied \\%machinedomain%\netlogon\%AuditPolicyTxt% to %systemroot%\temp >> %ApplyAuditPolicyLog%
      )
      
      REM ###################################################
      REM Apply Policy
      REM ###################################################
      
      %systemroot%\system32\auditpol.exe /restore /file:%systemroot%\temp\%AuditPolicyTxt%
      if %ERRORLEVEL% NEQ 0 (
          Failed to apply audit settings >> %ApplyAuditPolicyLog%
      ) else (
          echo Successfully applied audit settings >> %ApplyAuditPolicyLog%
      )

   3. No menu Arquivo, clique em Salvar.
   4. Na caixa Salvar como tipo, clique em Todos os arquivos, digite ApplyAuditPolicy.cmd na caixa Nome do arquivo e, em seguida, clique em Salvar.
3. Copie os scripts AuditPolicy.cmd e ApplyAuditPolicy.cmd para o compartilhamento Netlogon do controlador de domínio que mantém a função de emulador PDC no domínio.
4. Aguarde até que ocorra a replicação do Active Directory. Além disso, aguarde até que os arquivos e as pastas na pasta compartilhada do volume do sistema (SYSVOL) sejam replicados nos controladores de domínio no domínio.
5. Adicione o script de inicialização na Diretiva de Domínio Padrão. Para fazer isto, execute as seguintes etapas:
   1. Inicie a ferramenta Usuários e computadores do Active Directory.
   2. Clique com o botão direito do mouse em Nome_do_domínio e clique em Propriedades.
   3. Clique na guia Diretiva de Grupo, clique em Diretiva de Domínio Padrão e em Editar. A ferramenta Editor de objeto de diretiva de grupo é iniciada.
   4. Expanda Configuração do computador, Configurações do Windows e clique em Scripts (inicialização/encerramento).
   5. Clique duas vezes em Inicializar e clique em Adicionar.
   6. Na caixa Nome do Script, digite o caminho da convenção de nomenclatura universal (UNC) do arquivo AuditPolicy.cmd localizado no compartimento Netlogon. Use o seguinte formato:
      \\Nomes de Domínio Totalmente Qualificado\Netlogon\AuditPolicy.cmd
      Por exemplo, digite \\contoso.com\netlogon\auditpolicy.cmd.
   7. Clique em OK duas vezes.

Etapa 4: Verificar se as configurações de auditoria de segurança são aplicadas com êxito

1. Aguarde até que ocorra a replicação do Active Directory. Além disso, aguarde até que os arquivos e as pastas na pasta compartilhada do volume do sistema (SYSVOL) sejam replicados nos controladores de domínio no domínio.
2. Reinicie um computador cliente do Windows Vista que tenha ingressado no domínio. Em seguida, faça logon no computador como sendo um usuário com credenciais de administrador.
3. Clique em Iniciar, aponte para Todos os programas e, em seguida, clique em Acessórios.
4. Clique com o botão direito do mouse em Prompt de Comando e, em seguida, clique em Executar como administrador.
5. Na caixa de diálogo Controle de conta de usuário, clique em Continuar.
6. Digite a seguinte linha em um prompt de comando e, em seguida, pressione ENTER:
   auditpol /get /category:*
7. Verifique se as configurações de auditoria de segurança exibidas no prompt de comando correspondem às configurações definidas no arquivo AuditPolicy.txt criado por você na "Etapa 1: Determinar as configurações de auditoria de segurança que você deseja implantar em computadores clientes do Windows Vista."
   
   Caso as configurações de auditoria de segurança não correspondam, examine os arquivos de log gerados pelo script de inicialização na pasta %SystemRoot%\Temp. Caso não haja arquivos de log na pasta %SystemRoot%\Temp, examine o computador cliente do Windows Vista para determinar por que a Diretiva de Grupo não foi aplicada.

Para obter mais informações sobre como configurar scripts de inicialização no Active Directory, visite os seguintes sites da Microsoft (em inglês): Para obter mais informações sobre o Console de Gerenciamento de Diretiva de Grupo, visite o seguinte site da Microsoft (em inglês):Para obter mais informações sobre as ferramentas de linha de comando Auditpol.exe e Schtasks.exe, consulte a Ajuda e Suporte do Windows Vista.