Como detectar quem excluiu um Objeto de Política de Grupo

Os Objetos de Política de Grupo (GPOs) podem fornecer configurações para acesso a recursos e dispositivos compartilhados, habilitar funcionalidades críticas ou estabelecer ambientes seguros. Se alguns dos GPOs forem excluídos, os usuários podem não conseguir acessar a Internet, modificar seus dados, usar periféricos ou até mesmo fazer login em seus sistemas. A exclusão de GPOs que lidam com controle de acesso, autenticação e outras políticas de segurança pode aumentar a vulnerabilidade dos sistemas e permitir acesso não autorizado.

Como detectar quem deletou uma GPO usando ferramentas nativas de auditoria?

1. Execute GPMC.msc > abra a “Política de Domínio Padrão” > Configuração do Computador > Políticas > Configurações do Windows > Configurações de Segurança:

• Configuração Avançada de Audit Policy > Políticas de Auditoria > Acesso a Objetos > Auditoria do Sistema de Arquivos > Definir > Sucessos e Falhas
• Configuração Avançada de Política de Auditoria > Políticas de Auditoria > Acesso a Objetos > Auditoria de Manipulação de Identificadores > Definir > Sucessos e Falhas
• Políticas Locais > Política de Auditoria > Auditoria de acesso ao serviço de diretório > Definir > Sucesso e Falhas
• Log de Eventos > Definir > Tamanho máximo do log de segurança para 1gb e Método de retenção do log de segurança para Sobrescrever eventos conforme necessário.

2. Abra o ADSI Edit > Conectar ao contexto de nomeação padrão > DC=nome do domínio > CN=System > clique com o botão direito em “CN=Policies” > Propriedades > Segurança (Aba) > Avançado > Auditoria (Aba) > Clique em “Adicionar” > Escolha as seguintes configurações:

• Principal: Todos; Tipo: Sucesso; Aplica-se a: Este objeto e todos os objetos descendentes; Permissões: Excluir objetos do contêiner de Política de Grupo > Clique em “OK”.

3. Navegue até o \domainnamesysvoldomainfqdn > clique com o botão direito na pasta “Policies” e selecione “Propriedades”.

4. Selecione a aba “Segurança” > botão “Avançado” > aba “Auditoria” > Clique em “Adicionar”.

5. Selecione Principal: “Todos”; Selecione “Tipo: Todos”; Selecione “Aplica-se a: Esta pasta, subpastas e arquivos”; Selecione as seguintes “Permissões Avançadas”: Escrever atributos; Escrever atributos estendidos; Excluir; Excluir subpastas e arquivos; Clique em “OK” três vezes.

6. Para definir qual política de grupo foi excluída, filtre o Log de Eventos de Segurança para Event ID 4663 (Categoria de Tarefa – “Sistema de Arquivos” ou “Armazenamento Removível”) e procure pela string “Nome do Objeto:”, onde você pode encontrar o caminho e o GUID da política excluída e o campo “nome da conta” contém informações sobre quem a excluiu.

Agora aprenda como descobrir quem excluiu um objeto de Política de Grupo em 2 passos >>