Auditoria de GPO

6 de agosto de 2024 2 minutos de leitura Active Directory Auditorias Do Windows Windows Server AD GPO

Identifique quando suas GPOs forem criadas, modificadas, restauradas, movidas ou deletadas.

Nesta página

Criação da GPO

Criar uma nova GPO “Auditoria de GPO”.

Clicar com o direito e clicar em Edit.

Seguir para o caminho: Computer Configuration > Policies > Windows Settings > Security Settings > Advanced Audit Policy Configuration > Audit Policies > DS Access.

Clicar 2 vezes em Audit Directory Service Changes e marcar somente Success.

Seguir para o caminho: Computer Configuration > Policies > Windows Settings > Security Settings > Advanced Audit Policy Configuration > Audit Policies > Object Access.

Clicar 2 vezes em Audit File System e marcar somente Success.

Force a atualização das políticas de GPO.

Configurando a auditoria de objetos groupPolicyContainer usando ADSI Edit

No menu iniciar pesquise por ADSI Edit e inicie como admin.

Com o botão direito, clique em Connect to….

Clique em OK.

Expanda o Domain naming context.

Expanda o DC=domain.

Expanda o CN=System.

Clique com o botão direito em CN=Policies e selecione Properties.

Em Security clique em Advanced.

Na janela que abrir, clique em Auditing.

Depois clique em Add.

Na janela que abrir, clique em Select a principal.

Na janela que abrir, pesquise por Everyone e dê OK.

Em Type deixe Success.

Em Applies to deixe This object and all descendant objects.

Na lista logo abaixo, pesquise por Create groupPolicyContainer objects e Delete groupPolicyContainer objects, marque as duas opções e dê OK.

Pode dar OK em todas as janelas logo após isso.

Configurando a auditoria da pasta SYSVOL

Navegue até C:\Windows\SYSVOL\domain.

Abra as propriedades da pasta Policies.

Na janela que abrir, vá até Security, clique em Advanced.

Na janela que abrir, vá até Auditing. Se uma janela de bloqueio aparecer, clique em Continue.

Clique em Add.

Na janela que abrir, clique em Select a principal, depois pesquise por Everyone novamente e dê OK.

Em Advanced Permissions, clique em Show advanced permissions para listar todas as permissões avançadas. Logo após listar todas as opções, clique em Full control e dê OK.

Pode dar OK em todas as janelas logo após isso.

Pronto!

Lista dos EventID gerados

Event ID	Descrição
5136	Um objeto de serviço de diretório foi modificado.
5137	Um objeto de serviço de diretório foi criado.
5138	Um objeto de serviço de diretório foi recuperado.
5139	Um objeto de serviço de diretório foi movido.
5141	Um objeto de serviço de diretório foi deletado.

Para ver o nome da GPO via PowerShell:

1$gpoGuid = "4289D558-1E11-417D-95DE-19A1FCDD6AA1"
2$gpo = Get-GPO -Guid $gpoGuid
3$gpo.DisplayName
4
5OUTPUT
6-----------
7Auditoria de GPO

Widget is loading comments...

quinta-feira, 26 de dezembro de 2024 terça-feira, 6 de agosto de 2024

Author

Sandson Costa

Sou um profissional focado em garantir precisão e atenção aos detalhes, com forte capacidade para executar tarefas estruturadas e aderir a normas e regulamentos. Tenho experiência em planejamento estratégico, buscando sempre a eficiência e objetividade, especialmente em situações críticas. Acredito na importância de uma liderança colaborativa e focada em resultados, contribuindo para o sucesso de pequenas equipes e projetos.