Auditoria de eventos de segurança no Server 2012

Você pode fazer o download do Windows 8 and Windows Server 2012 Security Event Details no site da Microsoft para identificar e assim rastrear atividades em seu sistema e rede e monitorar potenciais comportamentos nocivos a sua rede. Conhecendo os eventos fica mais fácil mitigar esses riscos. Você pode personalizar os eventos de log do sistema, configurando a auditoria com base em categorias de eventos de segurança, como por exemplo, mudanças na conta de usuário e permissões de recursos, tentativas de logon do usuário, tentativas de acesso aos recursos, e as tentativas de modificar arquivos do sistema. A informação neste download pode ajudar a analisar os dados incluídos nos dados de registro de eventos

Você deve habilitar as diretivas de auditoria e determinar quais categorias você deve utilizar. Definindo configurações de auditoria para categorias de eventos específicas, você poderá criar uma diretiva de auditoria adequada às necessidades de segurança da empresa.

• Auditoria de eventos de logon de conta
• Auditoria de gerenciamento de contas
• Acesso ao serviço de diretório de auditoria
• Auditoria de eventos de logon
• Auditoria de acesso a objetos
• Auditoria de alteração de diretivas
• Auditoria de uso de privilégios
• Auditoria de controle de processos
• Auditoria de eventos de sistema

Neste exemplo eu vou detalhar como habilitar a auditoria para gerenciar contas de usuários excluídas de forma que eu possa receber um alerta toda vez que um usuário for excluído.
Farei essa configuração em Servidor com Windows Server 2012 Controlador de Domínio.

Primeiramente eu habilitei a auditoria de eventos de “Account management (Gerenciamento de contas) na GPO Default Domain Controllers Policy.

Eu habilitei tanto para “Sucesso “que indica nesse caso que houve realmente a criação ou exclusão de alguma conta de usuários como também marquei a opção “Falha”, para quando houver tentativas sem sucesso de criar ou excluir alguma conta.

São vários os eventos que você pode monitorar para esse tipo de auditoria, vou aqui colocar alguns que acho interessante e a lista completa você encontra no arquivo que pode ser baixado e que está citado no início do artigo.

ID    Descrição
4725    A conta de usuário foi desabilitada
4726    A conta de usuário foi excluída
4738    A conta de usuário foi alterada
4740    A conta de usuário foi bloqueada
4781    O nome de uma conta foi alterado
4782    O password hash de uma conta foi acessado.
Usando o visualizador de eventos você pode fazer um filtro para o evento desejado, nesse nosso caso o evento 4726 – Conta Excluída.

E depois de filtrado os eventos de segurança você abrir e analisar cada um deles.
Pois veja com detalhes o conteúdo relacionado a esse tpo de evento:
Neste exemplo você pode ver:
1 – O tipo de evento
2 – Quem executou a tarefa
3 – Data e Hora
4 – O Event ID.
5 – E descendo mais um pouco no painel de mensagem, você identifica qual conta foi excluida.

Uma vez com a auditoria habilitada você pode por exemplo rastrear o Event ID 4726 que é relacionado ao evento: Conta de usuário excluída e facilmente clicar com o lado direito sobre esse evento e criar uma ação.

Você pode escolher entre ações:

• Iniciar um programa
• Enviar um E-mail
• Apresentar um mensagem na tela.

Dessa maneira fica mais facil também ter um controle sobre o que está acontecendo em seu ambiente de rede e sistemas.

• Artigo migrado – 3738 Acessos  até a data 30/09/2015