Neste artigo vamos mostrar como habilitar a auditoria de logon dos usuários em um domínio para detectar atividades suspeitas e reduzir o risco de violações de segurança.
Solução
Clique no menu Start – Run e digite gpmc.msc para abrir a console Group Policy Management.
Em Group Policy Objects clique em New e dê um nome para a GPO
Acesse: Computer Configuration → Policies → Windows Settings → Security Settings → Advanced Audit Policy Configuration → Audit Policies → Logon/Logoff → Audit Logon
Nesta opção iremos marcar as duas opções: Success e Failure
Agora vamos acessar → Computer Configuration → Policies → Windows Settings → Security Settings → Event Log
Selecionamos Maximum security log size e definimos o tamanho máximo do log de segurança que é 4GB.
Após definirmos o tamanho do log, vamos marcar a opção para sobrescrever os eventos quando necessário.
A próxima etapa será vincularmos a GPO na OU TI
Ao invés de executarmos o gpupdate /force na estação, executaremos no próprio Servidor do Active Directory (este recurso está disponível apartir do Windows Server 2012), selecione a OU TI e clique com o botão direito e escolha Group Policy Update (esta OU deverá conter no mínimo um objeto computador para funcionar, caso contrário irá aparecer uma tela informando o erro.)
Para utilizar este recurso é necessáro liberar no firewall:
Remote Scheduled Tasks Management (RPC)
Remote Scheduled Tasks Management (RPC-EPMAP)
Windows Management Instrumentation (WMI-In)
Clique em YES para executar o comando
Para validarmos o êxito na aplicação da gpo, vá no event viewer, na aba segurança e procure pelo event id 4648 (audit logon).
Conclusão
Neste Tutorial mostramos como habilitar a auditoria no logon no Windows, aumento a segurança do ambiente e reduzindo os riscos, esperamos que essa dica incentive a todos a implementar esta GPO.
Fico por aqui e até a próxima!