Como Detectar Quem Excluiu um Objeto de Política de Grupo

Netwrix Auditor for Active Directory

1. Execute o Netwrix Auditor → Clique em “Relatórios” → Navegue até Active Directory → Escolha “Alterações de Política de Grupo” → Selecione o relatório "Todas as Alterações de Política de Grupo" → Clique em “Visualizar”.
2. Para salvar o arquivo, clique no botão "Exportar" → Selecione o formato Excel → Salvar como → Escolha um local para salvá-lo.

Exemplo de relatório:

Auditoria Nativa

1. Execute gpedit.msc → Crie uma nova GPO → Edite-a acessando "Configuração do Computador" → Políticas → Configurações do Windows → Configurações de Segurança :
   • Configuração Avançada de Política de Auditoria → Políticas de Auditoria → Acesso a Objetos → Auditoria do Sistema de Arquivos > Definir → Sucessos e Falhas
   • Configuração Avançada de Política de Auditoria → Políticas de Auditoria → Acesso a Objetos → Auditoria de Manipulação de Identificadores → Definir → Sucesso e Falhas
   • Políticas Locais → Política de Auditoria → Acesso ao serviço de diretório de auditoria → Definir → Sucesso e Falhas.Registro de Eventos → Definir → Tamanho máximo do log de segurança para 4gb e Método de retenção do log de segurança para "Sobrescrever eventos conforme necessário".
2. Vincule a nova GPO à OU acessando "Group Policy Management" → Clique com o botão direito do mouse na OU definida → Escolha "Link an Existing GPO" → Escolha a GPO que você criou.
3. Force a atualização da política de grupo em "Group Policy Management" clicando com o botão direito do mouse na OU definida → Clique em "Group Policy Update".
4. Abra o ADSI Edit → Conecte-se ao contexto de nomeação padrão → Expanda “DC=nome do domínio”→ Expanda “CN=System” → Clique com o botão direito em "CN=Policies" → Escolha Propriedades → Segurança (Aba) → Avançado → Auditoria (Aba) → Clique em "Adicionar" → Escolha as seguintes configurações: Principal: «Todos»; Tipo: «Sucesso»; Aplica-se a: «Este objeto e todos os objetos descendentes»; Permissões: «Excluir objetos groupPolicyContainer» → Clique em "OK".
5. Navegue até o \\domainname\sysvol\domainfqdn → clique com o botão direito na pasta "Policies" e selecione "Propriedades".
6. Selecione a aba "Segurança" → botão "Avançado" → aba "Auditoria" → Clique em "Adicionar" e defina os seguintes parâmetros: Principais: "Todos"; Tipo: “Todos”; Aplica-se a: “Esta pasta, subpastas e arquivos”; Permissões Avançadas: “Escrever atributos; Escrever atributos estendidos; Excluir; Excluir subpastas e arquivos”; Clique em "OK" três vezes.
7. Para definir qual Política de Grupo foi excluída, filtre o Log de Eventos de Segurança pelo ID de Evento 4663 (Categoria de Tarefa – "Sistema de Arquivos" ou "Armazenamento Removível") e procure pela string "Nome do Objeto:", onde você pode encontrar o caminho e o GUID da política excluída.
   O campo "Nome da conta" mostra quem excluiu um objeto de Política de Grupo.

Exemplo de relatório:

Saiba mais sobre Netwrix Auditor for Active Directory

Investigue exclusões de Objeto de Política de Grupo e facilite o processo de recuperação

Os Objetos de Política de Grupo (GPOs) podem fornecer configurações para acesso a recursos e dispositivos compartilhados, habilitar funcionalidades críticas ou estabelecer ambientes seguros. Se alguns dos GPOs forem excluídos, os usuários podem não conseguir acessar a Internet, modificar seus dados, usar periféricos ou mesmo fazer login em seus sistemas. A exclusão de GPOs que lidam com controle de acesso, autenticação e outras políticas de segurança pode aumentar a vulnerabilidade dos sistemas e permitir acesso não autorizado.