none
Habilitar Audit Policy RRS feed

  • Discussão Geral

  • Prezados, bom dia!

    Estou tentando habilitar a audit policy em meu DC. Já alterei a default domain policy e a default domain controllers policy, mas a local policy não é alterada, continuando sempre como "no auditing".

    Saberiam dizer qual a maneira correta de habilitar?

    quarta-feira, 27 de maio de 2020 13:17

Todas as Respostas

  • Boa noite,

    Para habilitar a auditing policy nos DC's deve-se alterar somente GPO Default Domain Controller Policy.

    Após a alteração se faz necessário um reboot em cada DC por se tratar de uma configuração do tipo computer. O ideal é que aguarde a replicação de 15 minutos após a alteração antes de realizar o Reboot.

    Segue uma documentação completa de boas práticas:

    https://docs.microsoft.com/pt-br/windows-server/identity/ad-ds/plan/security-best-practices/audit-policy-recommendations

    Lembrando que tem as políticas de auditoria avançadas, que dependendo do caso devem ser configuradas.


    IT Specialyst | Azure Administrator | MCSE Core Infrastrucuture | MCSE Produtivity | VCP6-DCV | Commvault Professional | MBA | Se a resposta for útil, marque! | If the answer is helpfull, check!


    quarta-feira, 27 de maio de 2020 21:56
    Moderador
  • Bom dia Fernando,

    Obrigado pelo seu retorno!

    Realizei a configuração direto na default DC policy, reiniciei ambos os DCs, mas a local policy se manteve da mesma forma "no auditing".

    Preciso alterar especificamente as policies "audit account logon events" e "audit logon events" para "sucess" em Default DC Policy >> Computer Configuration >> Policies >> Windows Settings >> Security Settings >> Local Policy >> Audit Policy.

    Em complemento, encontrei em Default DC Policy >> Computer Configuration >> Policies >> Windows Settings >> Security Settings >> Advanced Audit Policy Configuration >> Audit Policies >> Account Logon, o parametro "audit other account logon events" o qual estava como "not configured", alterei para "sucess" e também não funcionou.

    sexta-feira, 29 de maio de 2020 13:37
  • Felipe,

    Da uma olhada nessa thread pode te ajudar:

    https://serverfault.com/questions/617713/advanced-audit-policy-not-getting-applied-on-2012-r2


    IT Specialyst | Azure Administrator | MCSE Core Infrastrucuture | MCSE Produtivity | VCP6-DCV | Commvault Professional | MBA | Se a resposta for útil, marque! | If the answer is helpfull, check!

    sexta-feira, 29 de maio de 2020 16:39
    Moderador
  • Primeiramente peço desculpas por não ter retornado sobre isso antes.

    Dei uma olhada nesse link, o que me fez notar que havia uma assincronia entre as informações da Default Domain Controller Policy, Local Policy e as Resultant Set Of Policies (rsop.msc) em ambos os DCs.

    Consegui fazer com que todas as informações ficassem sincronizadas, agora tudo que eu altero na Default DC Policy é replicado para os outros locais que informei.

    Identifiquei tambem que, ao configurar as Audit Policies em: Default DC Policy >> Computer configuration >> windows settings >> security settings >> audit policy >> Audit account logon events e audit logon events como "sucess" e todas as demais audit policies como "not defined", ele bloqueia a edição das policies "Audit account logon events" e "Audit logon events" na Local Policy, enquanto as demais ficam liberadas para edição, isso por não estarem associadas a Default DC Policy (de acordo com o que aparece no rsop.msc).

    Já tentei tirar o vinculo das policies "audit account logon events" e "audit logon events" com a Default DC Policy, editei elas diretamente na Local Policy, mas quando eu dou um gpupdate /force as configs anteriores retornam.

    Também desabilitei o parametro "Audit: Force audit policy subcategory setting (windows vista or later) to override audit policy category settings" e não funcionou.

    Portanto mesmo com todas as tentativas, na Local Policy as policies "audit account logon events" e "audit logon events" continuam como "no auditing".

    Teria mais alguma sugestão?

    Desde já agradeço!

    quarta-feira, 10 de junho de 2020 17:40
  • Felipe,

    Na Default DC Policy, quando você seta como "Success" as políticas "Audit account logon events" e "audit logon events" ele aparece como "no auditing" no RSOP? É isso que entendi?

    Realmente está bem estranho esse ambiente, teoricamente, quando você aponta a configuração na GPO ela tem que replicar no objeto vinculado, se isso não está acontecendo deve ser visto o porque da não aplicação, pode ser replicação, acesso ao Sysvol e por ai vai.

    O que acontece é que qualquer política setada na GPO, ela fica bloqueada na local policy ou reescreve a local policy.


    IT Specialyst | Azure Administrator | MCSE Core Infrastrucuture | MCSE Produtivity | VCP6-DCV | Commvault Professional | MBA | Se a resposta for útil, marque! | If the answer is helpfull, check!

    quarta-feira, 10 de junho de 2020 18:08
    Moderador
  • Olá Fernando, tudo bem?

    Desculpe-me novamente pela demora em retornar. 

    Na verdade não, quando eu seto na Default DC Policy "Sucess" no RSOP aparece como "Success" também, mas na Local Policy fica como "No Auditing".


    quinta-feira, 9 de julho de 2020 19:47
  • Felipe,

    Eu não consegui ver as imagens, mas existe um software que utiliza os logs de auditoria que é o Netwrix, já utilizei ele algumas vezes para descobrir pq os logins estão sendo bloqueados.

    No blod deles tem essa KB veja se te ajuda:

    https://kb.netwrix.com/697#:~:text=Change%20all%20Domain%20Controllers%20policies,%3E%20Run%2C%20type%20in%20secpol.


    IT Specialyst | Azure Administrator | MCSE Core Infrastrucuture | MCSE Produtivity | VCP6-DCV | Commvault Professional | MBA | Se a resposta for útil, marque! | If the answer is helpfull, check!

    sexta-feira, 10 de julho de 2020 13:53
    Moderador