Como utilizar a Política de Grupo p/configurar definições de auditoria de segurança detalhadas p/computadores baseados no Windows Vista e Windows Server 2008 num domínio Windows Server 2008, num domínio Windows Server 2003 ou Windows 2000.

Traduções de Artigos Traduções de Artigos
Artigo: 921469 - Ver produtos para os quais este artigo se aplica.
Expandir tudo | Reduzir tudo

Nesta página

Sumário

Este artigo descreve como utilizar a Política de Grupo para configurar definições de auditoria de segurança para computadores baseados no Windows Vista ou Windows Server 2008 num domínio do Windows Server 2003 ou num domínio do Windows 2000. O Windows Vista e o Windows Server 2008 permitem-lhe gerir políticas de auditoria a um nível mais detalhado utilizando subcategorias da política de auditoria. Este artigo descreve um procedimento que os administradores podem utilizar para implementar uma política de auditoria personalizada que aplica definições de auditoria de segurança detalhadas para computadores com o Windows Vista ou o Windows Server 2008.

INTRODUÇÃO

Este artigo explica como utilizar a Política de Grupo para configurar definições de auditoria de segurança detalhadas para computadores com o Windows Vista ou o Windows Server 2008 num domínio do Windows Server 2003 ou num domínio do Windows 2000. No Windows Vista e no Windows Server 2008 tem um maior controlo sobre as subcategorias individuais da política de auditoria do que em versões anteriores dos sistemas operativos do Windows. As subcategorias individuais da política de auditoria disponíveis no Windows Vista não são apresentadas na interface das ferramentas da Política de Grupo. Os administradores podem utilizar o procedimento que é descrito neste artigo para implementar uma política de auditoria personalizada que aplica definições de auditoria de segurança detalhadas a computadores baseados no Windows Vista e no Windows Server 2008 num domínio do Windows Server 2003 ou num domínio do Windows 2000.

Este artigo poderá conter hiperligações para conteúdo em inglês (ainda não traduzido).

Mais Informação

Questões a considerar

Antes de executar o procedimento explicado neste artigo, deverá ter em consideração o seguinte:
  • O procedimento utiliza código de exemplo. O código de exemplo utiliza a partilha Netlogon. Para além disso, o código de exemplo utiliza a pasta %SystemRoot%\Temp como cache.
  • O procedimento utiliza o domínio de exemplo Contoso.com.
  • O procedimento parte do princípio de que se verificam as seguintes condições:
    • Está familiarizado com as seguintes tecnologias e ferramentas:
      • Scripts de arranque da Política de Grupo
      • Consola de Gestão da Política de Grupo
      • A ferramenta de linha de comandos Auditpol.exe
    • Possui noções básicas sobre o processamento de ficheiros batch.
    • Pode configurar uma política de auditoria para computadores baseados no Windows Vista e Windows Server 2008 num domínio do Windows Server 2003 ou num domínio do Windows 2000. A política de auditoria está atribuída à Política de Domínio Predefinida.
  • Está familiarizado com os scripts que o procedimento utiliza para substituir as definições de política de auditoria legadas baseadas no domínio pelas definições de política de auditoria detalhadas que estão disponíveis no Windows Vista. Se não pretender configurar as definições de política de auditoria detalhadas que estão disponíveis no Windows Vista, não utilize o procedimento explicado neste artigo.

Utilizar a Política de Grupo para configurar definições de auditoria de segurança detalhadas para computadores

Para utilizar a Política de Grupo para configurar definições de auditoria de segurança detalhadas para computadores baseados no Windows Vista ou no Windows Server 2008 num domínio do Windows Server 2003 ou num domínio do Windows 2000, siga estes passos.

Passo 1: Determinar as definições de auditoria de segurança que pretende implementar para computadores baseados no Windows Vista ou no Windows Server 2008

  1. Inicie sessão num computador como um utilizador com credenciais de administrador.
  2. Clique em Iniciar, aponte para Todos os Programas, clique em Acessórios, clique com o botão direito do rato em Linha de Comandos e clique em Executar como administrador.
  3. Na caixa de diálogo Controlo de Conta de Utilizador, clique em Continuar.
  4. Limpe as predefinições da política de auditoria. Para o fazer, escreva o seguinte na linha de comandos e prima ENTER:
    auditpol /clear
  5. Utilize a ferramenta de linha de comandos Auditpol.exe para configurar as definições de política de auditoria personalizadas que pretende.

    Por exemplo, escreva o seguinte na linha de comandos. Prima ENTER após cada linha.
    auditpol /set /subcategory:"user account management" /success:enable /failure:enable
    auditpol /set /subcategory:"logon" /success:enable /failure:enable
    auditpol /set /subcategory:"IPSEC Main Mode" /failure:enable
    Nota Para ver todas categorias e subcategorias possíveis, escreva o seguinte na linha de comandos e prima ENTER:
    auditpol /list /subcategory:*
  6. Escreva o seguinte na linha de comandos e prima ENTER:
    auditpol /backup /file:auditpolicy.txt
  7. Copie o ficheiro Auditpolicy.txt para a partilha Netlogon do controlador de domínio que contém a função de emulador do controlador de domínio primário (PDC, primary domain controller) no domínio.

    O ficheiro Auditpolicy.txt contém todas as definições de política de auditoria configuradas pelo utilizador. O script de arranque utiliza este ficheiro para reaplicar a política. Depois de aplicar com êxito o script de arranque uma vez, não terá de reiniciar o computador para actualizar definições de política de auditoria. Para actualizar definições de política de auditoria, substitua a versão anterior do ficheiro Auditpolicy.txt que copiou para a partilha Netlogon. Para o fazer, crie um novo ficheiro Auditpolicy.txt e copie o novo ficheiro Auditpolicy.txt para a partilha Netlogon.

Passo 2: Impedir a política de auditoria de domínio legada de substituir a política de auditoria em computadores baseados no Windows Vista ou no Windows Server 2008

Para impedir a política de domínio legada de substituir a política de auditoria, terá de activar a definição de política Forçar definições de subcategoria de política de auditoria (Windows Vista ou superior) a substituir definições de categoria de política de auditoria. Isto impede a política de auditoria baseada no domínio de substituir as definições de política de auditoria mais detalhadas em computadores baseados no Windows Vista ou no Windows Server 2008. Para o fazer, siga estes passos:
  1. Num computador que esteja associado ao domínio, abra a Política de Domínio Predefinida.
  2. Expanda Configuração do Computador, expanda Definições do Windows, expanda Definições de Segurança, expanda Políticas Locais e clique em Opções de Segurança.
  3. Faça duplo clique em Auditoria: Forçar definições de subcategoria de política de auditoria (Windows Vista ou superior) a substituir definições de categoria de política de auditoria.
  4. Clique em Activado e, em seguida, clique em OK.

Passo 3: Crie os scripts e adicione-os à partilha Netlogon

A Microsoft fornece exemplos de programação apenas a título informativo, sem garantia expressa ou implícita, incluindo, sem limitação, as garantias implícitas de comercialização e/ou adequação a um fim específico. Este artigo pressupõe que o utilizador conhece a linguagem de programação apresentada e as ferramentas utilizadas para criar e depurar procedimentos. Os técnicos de suporte da Microsoft podem ajudar a explicar a funcionalidade de um determinado procedimento, mas não modificarão estes exemplos para proporcionarem funcionalidades adicionais nem criarão procedimentos adaptados às necessidades específicas do utilizador.
  1. Crie o script AuditPolicy.cmd. Para o fazer, siga estes passos:
    1. Inicie o Bloco de Notas e abra um documento em branco.
    2. Cole o seguinte código no documento do Bloco de Notas:
      @echo off
      REM AuditPolicy.cmd
      REM (c) 2006 Microsoft Corporation.  All rights reserved.
      REM Sample Audit Script to deploy Windows Vista
      REM Granular Audit Policy settings.
      REM Should be run as a startup script from Group Policy
      REM ###################################################
      REM Declare Variables so that we only need to edit file
      REM names/paths in one location in script
      REM ###################################################
      set AuditPolicyLog=%systemroot%\temp\auditpolicy.log
      set OSVersionSwap=%systemroot%\temp\osversionwap.txt
      set OsVersionTxt=%systemroot%\temp\osversion.txt
      set MachineDomainTxt=%systemroot%\temp\machinedomain.txt
      set MachineDomainSwap=%systemroot%\temp\machinedomainSwap.txt
      set ApplyAuditPolicyCMD=applyauditpolicy.cmd
      set AuditPolicyTxt=auditpolicy.txt
      REM ###################################################
      REM Clear Log & start fresh
      REM ###################################################
      if exist %AuditPolicyLog% del %AuditPolicyLog% /q /f
      date /t > %AuditPolicyLog% & time /t >> %AuditPolicyLog%
      echo.
      REM ###################################################
      REM Check OS Version
      REM ###################################################
      ver | findstr "[" > %OSVersionSwap%
      for /f "tokens=2 delims=[" %%i in (%OSVersionSwap%) do echo %%i > %OsVersionTxt%
      for /f "tokens=2 delims=] " %%i in (%OsVersionTxt%) do set osversion=%%i
      echo OS Version=%osversion% >> %AuditPolicyLog%
      REM ###################################################
      REM Skip Pre-Vista
      REM ###################################################
      if "%osversion%" LSS "6.0" exit /b 1
      REM ###################################################
      REM Get Domain Name
      REM ###################################################
      WMIC /namespace:\\root\cimv2 path Win32_ComputerSystem get domain /format:list > %MachineDomainSwap%
      find /i "Domain=" %MachineDomainSwap% > %MachineDomainTxt%
      for /f "Tokens=2 Delims==" %%i in (%MachineDomainTxt%) do set machinedomain=%%i
      echo Machine domain=%machinedomain% >> %AuditPolicyLog%
      REM ###################################################
      REM Copy Script & Policy to Local Directory or Terminate
      REM ###################################################
      xcopy \\%machinedomain%\netlogon\%ApplyAuditPolicyCMD% %systemroot%\temp\*.* /r /h /v /y
      if %ERRORLEVEL% NEQ 0 (
          echo Could not read \\%machinedomain%\netlogon\%ApplyAuditPolicyCMD% >> %AuditPolicyLog%
          exit /b 1
      ) else (
          echo Copied \\%machinedomain%\netlogon\%ApplyAuditPolicyCMD% to %systemroot%\temp >> %AuditPolicyLog%
      )
      xcopy \\%machinedomain%\netlogon\%AuditPolicyTxt% %systemroot%\temp\*.* /r /h /v /y
      if %ERRORLEVEL% NEQ 0 (
          echo Could not read \\%machinedomain%\netlogon\%AuditPolicyTxt% >> %AuditPolicyLog%
          exit /b 1
      ) else (
          echo Copied \\%machinedomain%\netlogon\%AuditPolicyTxt% to %systemroot%\temp >> %AuditPolicyLog%
      )
      REM ###################################################
      REM Create Named Scheduled Task to Apply Policy
      REM ###################################################
      %systemroot%\system32\schtasks.exe /create /ru System /tn audit /sc hourly /mo 1 /f /rl highest /tr "%systemroot%\temp\%ApplyAuditPolicyCMD%"
      if %ERRORLEVEL% NEQ 0 (
          echo Failed to create scheduled task for Audit >> %AuditPolicyLog%
          exit /b 1
      ) else (
          echo Created scheduled task for Audit >> %AuditPolicyLog%
      )
      REM ###################################################
      REM Start Named Scheduled Task to Apply Policy
      REM ###################################################
      %systemroot%\system32\schtasks.exe /run /tn audit
      if %ERRORLEVEL% NEQ 0 (
          Failed to execute scheduled task for Audit >> %AuditPolicyLog%
      ) else (
          echo Executed scheduled task for Audit >> %AuditPolicyLog%
      )
    3. No menu Ficheiro, clique em Guardar.
    4. Na caixa Guardar com o tipo, clique em Todos os Ficheiros, escreva AuditPolicy.cmd na caixa Nome do ficheiro e clique em Guardar.
  2. Crie o script ApplyAuditPolicy.cmd. Para o fazer, siga estes passos:
    1. Inicie o Bloco de Notas e abra um documento em branco.
    2. Cole o seguinte código no documento do Bloco de Notas:
      @echo off
      REM ApplyAuditPolicy.cmd
      REM (c) 2006 Microsoft Corporation.  All rights reserved.
      REM Sample Audit Script to deploy Windows Vista
      REM Granular Audit Policy settings.
      
      REM ###################################################
      REM Declare Variables so that we only need to edit file
      REM names/paths in one location in script
      REM ###################################################
      set DeleteAudit=DeleteAudit.txt
      set AuditPolicyLog=%systemroot%\temp\AuditPolicy.log
      set ApplyAuditPolicyLog=%systemroot%\temp\ApplyAuditPolicy.log
      set OSVersionSwap=%systemroot%\temp\osversionwap.txt
      set OsVersionTxt=%systemroot%\temp\osversion.txt
      set MachineDomainTxt=%systemroot%\temp\machinedomain.txt
      set MachineDomainSwap=%systemroot%\temp\machinedomainSwap.txt
      set ApplyAuditPolicyCMD=ApplyAuditpolicy.cmd
      set AuditPolicyTxt=AuditPolicy.txt
      REM ###################################################
      REM Clear Log & start fresh
      REM ###################################################
      if exist %ApplyAuditPolicyLog% del %ApplyAuditPolicyLog% /q /f
      date /t > %ApplyAuditPolicyLog% & time /t >> %ApplyAuditPolicyLog%
      echo.
      REM ###################################################
      REM Check OS Version
      REM ###################################################
      ver | findstr "[" > %OSVersionSwap%
      for /f "tokens=2 delims=[" %%i in (%OSVersionSwap%) do echo %%i > %OsVersionTxt%
      for /f "tokens=2 delims=] " %%i in (%OsVersionTxt%) do set osversion=%%i
      echo OS Version=%osversion% >> %ApplyAuditPolicyLog%
      REM ###################################################
      REM Skip Pre-Vista
      REM ###################################################
      if "%osversion%" LSS "6.0" exit /b 1
      REM ###################################################
      REM Get Domain Name
      REM ###################################################
      WMIC /namespace:\\root\cimv2 path Win32_ComputerSystem get domain /format:list > %MachineDomainSwap%
      find /i "Domain=" %MachineDomainSwap% > %MachineDomainTxt%
      for /f "Tokens=2 Delims==" %%i in (%MachineDomainTxt%) do set machinedomain=%%i
      echo Machine domain=%machinedomain% >> %ApplyAuditPolicyLog%
      REM ###################################################
      REM Delete Audit Task
      REM Should only be used to remove the pseudo-policy from
      REM client machines (designed for future Vista revisions
      REM where this script will no longer be necessary, and this
      REM script needs to be backed out).
      REM to use, simply create a file in NETLOGON with a name
      REM that matches the contents of DeleteAudit variable (above)
      REM ###################################################
      if exist \\%machinedomain%\netlogon\%DeleteAudit% (
          %systemroot%\system32\schtasks.exe /delete /tn "Audit" /F
          DEL %AuditPolicyLog%
          DEL %ApplyAuditPolicyLog%
          DEL %OSVersionSwap%
          DEL %OsVersionTxt%
          DEL %MachineDomainTxt%
          DEL %MachineDomainSwap%
          DEL %systemroot%\temp\%ApplyAuditPolicyCMD%
          DEL %systemroot%\temp\%AuditPolicyTxt%
          exit /b 1
      ) 
      REM ###################################################
      REM Copy Audit Policy to Local Directory
      REM This is tolerant of failures since the copy is just
      REM a "cache refresh".
      REM ###################################################
      xcopy \\%machinedomain%\netlogon\%AuditPolicyTxt% %systemroot%\temp\*.* /r /h /v /y
      if %ERRORLEVEL% NEQ 0 (
          echo Could not read \\%machinedomain%\netlogon\%AuditPolicyTxt% so using previous cached copy>> %ApplyAuditPolicyLog%
      ) else (
          echo Copied \\%machinedomain%\netlogon\%AuditPolicyTxt% to %systemroot%\temp >> %ApplyAuditPolicyLog%
      )
      REM ###################################################
      REM Apply Policy
      REM ###################################################
      %systemroot%\system32\auditpol.exe /restore /file:%systemroot%\temp\%AuditPolicyTxt%
      if %ERRORLEVEL% NEQ 0 (
          Failed to apply audit settings >> %ApplyAuditPolicyLog%
      ) else (
          echo Successfully applied audit settings >> %ApplyAuditPolicyLog%
      )
    3. No menu Ficheiro, clique em Guardar.
    4. Na caixa Guardar com o tipo, clique em Todos os Ficheiros, escreva ApplyAuditPolicy.cmd na caixa Nome do ficheiro e clique em Guardar.
  3. Copie o script AuditPolicy.cmd e o script ApplyAuditPolicy.cmd para a partilha Netlogon do controlador de domínio que contém a função de emulador PDC no domínio.
  4. Aguarde enquanto decorre a replicação do Active Directory. Aguarde também enquanto os ficheiros e pastas da pasta partilhada de volume de sistema (SYSVOL) replicam em controladores de domínio no domínio.
  5. Adicione o script de arranque à Política de Domínio Predefinida. Para o fazer, siga estes passos:
    1. Inicie a ferramenta Utilizadores e Computadores do Active Directory.
    2. Clique com o botão direito do rato em NomeDomínio e clique em Propriedades.
    3. Clique no separador Política de Grupo, clique em Política de Domínio Predefinida e clique em Editar. É iniciado o Editor de Objecto de Política de Grupo.
    4. Expanda Configuração do Computador, expanda Definições do Windows e clique em Scripts (Arranque/Encerramento).
    5. Faça duplo clique em Arranque e clique em Adicionar.
    6. Na caixa Nome do Script, escreva o caminho UNC (Universal Naming Convention) do ficheiro AuditPolicy.cmd localizado na partilha Netlogon. Utilize o seguinte formato:
      \\NomeDomínioTotalmenteQualificado\Netlogon\AuditPolicy.cmd
      Por exemplo, escreva \\contoso.com\netlogon\auditpolicy.cmd.
    7. Clique em OK duas vezes.

Passo 4: Verificar se as definições de auditoria de segurança foram aplicadas com êxito

  1. Aguarde enquanto decorre a replicação do Active Directory. Aguarde também enquanto os ficheiros e pastas da pasta partilhada de volume de sistema (SYSVOL) replicam em controladores de domínio no domínio.
  2. Reinicie um computador que esteja associado ao domínio. Em seguida, inicie sessão no computador como um utilizador com credenciais de administrador.
  3. Clique em Iniciar, aponte para Todos os Programas e clique em Acessórios.
  4. Clique com o botão direito do rato em Linha de Comandos e clique em Executar como administrador.
  5. Na caixa de diálogo Controlo de Conta de Utilizador, clique em Continuar.
  6. Escreva o seguinte na linha de comandos e prima ENTER:
    auditpol /get /category:*
  7. Verifique se as definições de auditoria de segurança apresentadas na linha de comandos correspondem às definições configuradas no ficheiro AuditPolicy.txt criado no "Passo 1: Determinar as definições de auditoria de segurança que pretende implementar para computadores baseados no Windows Vista ou no Windows Server 2008".

    Se as definições de auditoria de segurança não corresponderem, examine os ficheiros de registo gerados pelo script de arranque na pasta %SystemRoot%\Temp. Se não existirem ficheiros de registo na pasta %SystemRoot%\Temp, examine o computador para determinar o motivo pelo qual a Política de Grupo não foi aplicada.

Referências

Para mais informações sobre como configurar scripts de arranque no Active Directory, visite os seguintes Web sites da Microsoft:
http://technet2.microsoft.com/WindowsServer/en/Library/dcaa775e-0012-4e43-8e68-a31b32b4241f1033.mspx?mfr=true
http://technet2.microsoft.com/WindowsServer/en/Library/65aa4e48-8b1f-42bc-b20f-64f67367dadc1033.mspx?mfr=true
Para mais informações sobre a Consola de Gestão da Política de Grupo, visite o seguinte Web site da Microsoft:
http://technet2.microsoft.com/WindowsServer/en/Library/7a0aaa61-5152-4489-86c9-b083b22b21731033.mspx?mfr=true
Para mais informações sobre a ferramenta de linha de comandos Auditpol.exe e a ferramenta de linha de comandos Schtasks.exe, consulte a Ajuda e Suporte do Windows Vista.

Propriedades

Artigo: 921469 - Última revisão: 21 de abril de 2008 - Revisão: 4.2
A informação contida neste artigo aplica-se a:
  • Windows Vista Ultimate
  • Windows Vista Business
  • Windows Vista Enterprise
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Server 2008 Datacenter
Palavras-chave: 
kbexpertiseinter kbhowto kbinfo KB921469

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com