Inquiridor
Habilitar Audit Policy

Discussão Geral
-
Prezados, bom dia!
Estou tentando habilitar a audit policy em meu DC. Já alterei a default domain policy e a default domain controllers policy, mas a local policy não é alterada, continuando sempre como "no auditing".
Saberiam dizer qual a maneira correta de habilitar?
- Tipo Alterado camila BritoMicrosoft contingent staff, Moderator sexta-feira, 17 de julho de 2020 17:15 solution not yet found
Todas as Respostas
-
Boa noite,
Para habilitar a auditing policy nos DC's deve-se alterar somente GPO Default Domain Controller Policy.
Após a alteração se faz necessário um reboot em cada DC por se tratar de uma configuração do tipo computer. O ideal é que aguarde a replicação de 15 minutos após a alteração antes de realizar o Reboot.
Segue uma documentação completa de boas práticas:
Lembrando que tem as políticas de auditoria avançadas, que dependendo do caso devem ser configuradas.
IT Specialyst | Azure Administrator | MCSE Core Infrastrucuture | MCSE Produtivity | VCP6-DCV | Commvault Professional | MBA | Se a resposta for útil, marque! | If the answer is helpfull, check!
- Editado fernando do valeModerator quarta-feira, 27 de maio de 2020 21:57
-
Bom dia Fernando,
Obrigado pelo seu retorno!
Realizei a configuração direto na default DC policy, reiniciei ambos os DCs, mas a local policy se manteve da mesma forma "no auditing".
Preciso alterar especificamente as policies "audit account logon events" e "audit logon events" para "sucess" em Default DC Policy >> Computer Configuration >> Policies >> Windows Settings >> Security Settings >> Local Policy >> Audit Policy.
Em complemento, encontrei em Default DC Policy >> Computer Configuration >> Policies >> Windows Settings >> Security Settings >> Advanced Audit Policy Configuration >> Audit Policies >> Account Logon, o parametro "audit other account logon events" o qual estava como "not configured", alterei para "sucess" e também não funcionou. -
Felipe,
Da uma olhada nessa thread pode te ajudar:
https://serverfault.com/questions/617713/advanced-audit-policy-not-getting-applied-on-2012-r2
IT Specialyst | Azure Administrator | MCSE Core Infrastrucuture | MCSE Produtivity | VCP6-DCV | Commvault Professional | MBA | Se a resposta for útil, marque! | If the answer is helpfull, check!
-
Primeiramente peço desculpas por não ter retornado sobre isso antes.
Dei uma olhada nesse link, o que me fez notar que havia uma assincronia entre as informações da Default Domain Controller Policy, Local Policy e as Resultant Set Of Policies (rsop.msc) em ambos os DCs.
Consegui fazer com que todas as informações ficassem sincronizadas, agora tudo que eu altero na Default DC Policy é replicado para os outros locais que informei.
Identifiquei tambem que, ao configurar as Audit Policies em: Default DC Policy >> Computer configuration >> windows settings >> security settings >> audit policy >> Audit account logon events e audit logon events como "sucess" e todas as demais audit policies como "not defined", ele bloqueia a edição das policies "Audit account logon events" e "Audit logon events" na Local Policy, enquanto as demais ficam liberadas para edição, isso por não estarem associadas a Default DC Policy (de acordo com o que aparece no rsop.msc).
Já tentei tirar o vinculo das policies "audit account logon events" e "audit logon events" com a Default DC Policy, editei elas diretamente na Local Policy, mas quando eu dou um gpupdate /force as configs anteriores retornam.
Também desabilitei o parametro "Audit: Force audit policy subcategory setting (windows vista or later) to override audit policy category settings" e não funcionou.
Portanto mesmo com todas as tentativas, na Local Policy as policies "audit account logon events" e "audit logon events" continuam como "no auditing".Teria mais alguma sugestão?
Desde já agradeço! -
Felipe,
Na Default DC Policy, quando você seta como "Success" as políticas "Audit account logon events" e "audit logon events" ele aparece como "no auditing" no RSOP? É isso que entendi?
Realmente está bem estranho esse ambiente, teoricamente, quando você aponta a configuração na GPO ela tem que replicar no objeto vinculado, se isso não está acontecendo deve ser visto o porque da não aplicação, pode ser replicação, acesso ao Sysvol e por ai vai.
O que acontece é que qualquer política setada na GPO, ela fica bloqueada na local policy ou reescreve a local policy.
IT Specialyst | Azure Administrator | MCSE Core Infrastrucuture | MCSE Produtivity | VCP6-DCV | Commvault Professional | MBA | Se a resposta for útil, marque! | If the answer is helpfull, check!
-
-
Felipe,
Eu não consegui ver as imagens, mas existe um software que utiliza os logs de auditoria que é o Netwrix, já utilizei ele algumas vezes para descobrir pq os logins estão sendo bloqueados.
No blod deles tem essa KB veja se te ajuda:
IT Specialyst | Azure Administrator | MCSE Core Infrastrucuture | MCSE Produtivity | VCP6-DCV | Commvault Professional | MBA | Se a resposta for útil, marque! | If the answer is helpfull, check!