Alguma sugestão? Exportar (0) Imprimir
Expandir Tudo

Implantar a auditoria de segurança com as políticas de auditoria central (etapas de demonstração)

 

Aplica-se a: Windows Server 2012

Neste cenário, você fará a auditoria de acesso a arquivos na pasta Documentos Financeiros usando a Política de Finanças que você criou em Implantar uma política de acesso central (passo a passo). Se um usuário que não estiver autorizado a acessar a pasta tentar acessá-la, a atividade será capturada no visualizador de eventos.
As etapas a seguir são necessárias para testar este cenário.

Tarefa

Descrição

Configurar a política de acesso a objetos globais

Nesta etapa, configure a política de acesso a objetos globais no controlador de domínio.

Atualizar as configurações de Política de Grupo

Entre no servidor de arquivos e aplique a atualização de Política de Grupo.

Verificar se a política de acesso a objetos globais foi aplicada

Exiba os eventos relevantes no visualizador de eventos. Os eventos devem incluir metadados para o tipo de documento e o país/região.

Nesta etapa, configure a política de acesso a objetos globais no controlador de domínio.

Para configurar uma política de acesso a objetos globais

  1. Entre no controlador de domínio DC1 como contoso\administrator com a senha pass@word1.

  2. No Gerenciador do Servidor, aponte para Ferramentas e clique em Gerenciamento de Política de Grupo.

  3. Na árvore do console, clique duas vezes em Domínios, clique duas vezes em contoso.com, clique em Contoso e clique duas vezes em Servidores de Arquivos.

  4. Clique com o botão direito do mouse em FlexibleAccessGPO e clique em Editar.

  5. Clique duas vezes em Configuração do Computador, clique duas vezes em Políticas e clique duas vezes em Configurações do Windows.

  6. Clique duas vezes em Configurações de Segurança, clique duas vezes em Configuração Avançada de Política de Auditoria e clique duas vezes em Políticas de Auditoria.

  7. Clique duas vezes em Acesso a Objeto e clique duas vezes em Sistema de Arquivos de Auditoria.

  8. Marque a caixa de seleção Configurar estes eventos, marque as caixas de seleção Êxito e Falha e clique em OK.

  9. No painel de navegação, clique duas vezes em Auditoria de Acesso a Objetos Globais e clique duas vezes em Sistema de arquivos.

  10. Marque a caixa de seleção Definir esta configuração de política e clique em Configurar.

  11. Na caixa Configurações de Segurança Avançadas de SACL de Arquivo Global, clique em Adicionar, clique em Selecionar uma entidade de segurança, digite Todos e clique em OK.

  12. Na caixa Entrada de Auditoria para SACL de Arquivo Global, selecione Controle total na caixa Permissões.

  13. Na seção Adicionar uma condição:, clique em Adicionar uma condição e nas listas suspensas selecione [Recurso] [Departamento] [Qualquer de] [Valor] [Finanças].

  14. Clique em OK três vezes para concluir a definição da configuração de política de auditoria de acesso a objeto global.

  15. No painel de navegação, clique em Acesso a Objeto e, no painel de resultados, clique duas vezes em Auditoria de Manipulação de Identificador. Clique em Configurar estes eventos de auditoria, Êxito e Falha, clique em OK e feche o GPO de acesso flexível.

Nesta etapa, atualize as configurações de Política de Grupo depois de criar a política de auditoria.

Para atualizar as configurações de Política de Grupo.

  1. Entre no servidor de arquivos, FILE1, como contoso\Administrador com a senha pass@word1.

  2. Pressione a tecla do Windows+R e digite cmd para abrir uma janela do Prompt de Comando.

    System_CAPS_noteObservação

    Se a caixa de diálogo Controle de Conta de Usuário for exibida, confirme se a ação exibida é a desejada e clique em Sim.

  3. Digite gpupdate /force e pressione ENTER.

Depois que as configurações de Política de Grupo forem aplicadas, você poderá verificar se as configurações de política de auditoria foram aplicadas corretamente.

Para verificar se a política de acesso a objetos globais foi aplicada

  1. Entre no computador cliente, CLIENT1 como Contoso\MReid. Navegue até a pasta \\ FILE1\Documentos Financeiros, e modifique o Documento do Word 2.

  2. Entre no servidor de arquivos, FILE1, como contoso\administrator. Abra o Visualizador de Eventos, navegue até Logs do Windows, selecione Segurança e confirme se suas atividades resultaram nos eventos de auditoria 4656 e 4663 (embora você não tenha definido SACLs de auditoria explícitas nos arquivos ou pastas que criou, modificou e excluiu).

System_CAPS_importantImportante

Um novo evento de logon é gerado no computador onde o recurso está localizado, em nome do usuário para quem o acesso efetivo está sendo verificado. Durante a análise dos logs de auditoria de segurança da atividade de logon do usuário, para diferenciar entre os eventos de logon que são gerados pelo acesso efetivo e aqueles gerados por um logon de usuário de rede interativo, as informações de Nível de Representação estão incluídas. Quando o evento de logon for gerado pelo acesso efetivo, o Nível de Representação será a Identidade. Um logon de usuário de rede interativo normalmente gera um evento de logon com o Nível de Representação = Representação ou Delegação.

Mostrar:
© 2016 Microsoft