Como auditar alterações na Política de Grupo usando o Log de Eventos de Segurança

Netwrix Auditor para Active Directory

1. Execute o Netwrix Auditor → Acesse “Relatórios” → Expanda a seção “Active Directory” → Vá para “Alterações de Política de Grupo” → Selecione “Todas as Alterações de Política de Grupo” → Clique em “Visualizar”.
2. Se você deseja receber este relatório por e-mail regularmente, basta escolher a opção "Inscrever-se" e definir o cronograma e os destinatários.

Saiba mais sobre Netwrix Auditor for Active Directory

Auditoria Nativa

1. Para auditar alterações na Política de Grupo, você deve primeiro habilitar a auditoria: Execute gpedit.msc sob a conta de administrador → Crie um novo objeto de Política de Grupo (GPO) → Edite-o → Vá para "Configuração do Computador" | Políticas | Configurações do Windows | Configurações de Segurança | Configuração de Política de Auditoria Avançada | Políticas de Auditoria/Acesso DS → Clique em “Auditar Alterações no Serviço de Diretório” → Clique em “Definir” → Escolha “Sucesso”.
2. Vincule a nova GPO a uma OU: Acesse "Gerenciamento de Política de Grupo" → Clique com o botão direito na OU → Escolha "Vincular um GPO Existente" → Escolha o GPO que você criou.
3. Aplique sua alteração forçando uma atualização de Política de Grupo: Vá para "Gerenciamento de Política de Grupo" → Clique com o botão direito na OU → Clique em "Atualização de Política de Grupo".
4. Abra o ADSI Edit → Conecte-se ao contexto de nomeação padrão → Navegue até CN=Policies,CN=System,DC=domínio → Abra o objeto “Propriedades de Policies” → Vá para a aba Segurança → Clique no botão Avançado → Vá para a aba Auditoria → Adicione o Principal "Todos" → Escolha o Tipo "Sucesso" → Para Aplicar a, clique em "Este objeto e objetos descendentes" → Em Permissões, selecione as seguintes caixas de verificação: “Criar objetos groupPolicyContainer”, “Excluir”, “Modificar Permissões” e “Escrever versionNumber” → Clique em "OK".
5. Para revisar as alterações da Política de Grupo, abra o Visualizador de Eventos e procure no log de Segurança pelo ID de evento 5136 (a categoria de Alterações no Serviço de Diretório).

Audite alterações de GPO para rastrear atividades anômalas

Eventos relacionados à Diretiva de Grupo são registrados no log de segurança no controlador de domínio do Microsoft Windows Server. Ao revisar esses logs, os administradores de TI podem auditar alterações na Diretiva de Grupo. No entanto, embora as ferramentas nativas de auditoria mostrem quando e onde cada alteração ocorreu, elas não fornecem detalhes críticos, como o nome da Diretiva de Grupo que foi alterada e o tipo de ação que foi realizada. Para garantir que nenhuma atividade anormal passe despercebida pelo seu radar, você precisa de um software adicional que forneça mais informações sobre as alterações nas configurações da sua Diretiva de Grupo.

Netwrix Auditor for Active Directory oferece visibilidade completa sobre o que está acontecendo no seu Active Directory, incluindo relatórios de auditoria detalhados sobre mudanças na Política de Grupo. O aplicativo fornece não apenas as informações básicas disponíveis através de ferramentas de auditoria nativas, mas também detalhes críticos como o nome da Política de Grupo que foi alterada, o tipo de alteração realizada, qual usuário fez a mudança e os valores antes e depois. Ter essas informações permite que os administradores de TI compreendam completamente as modificações da Política de Grupo para que possam mitigar o risco de uso indevido de dados sensíveis e garantir a conformidade.