Magic Quadrant™ para gerenciamento de acesso privilegiado 2025: Netwrix reconhecida pelo quarto ano consecutivo. Baixe o relatório.

Fale conoscoSuporteCommunity
English Español Italiano Français Deutsch Português
Plataforma
Soluções

Data Security Posture Management

Descubra e classifique dados em ambientes híbridos. Avalie, priorize e mitigue riscos aos dados sensíveis.

Directory Management

Simplifique e proteja a administração de diretórios reduzindo a complexidade, o risco e o esforço manual.

Endpoint Management

Proteja endpoints e previna a perda de dados enquanto mantém as equipes produtivas — não importa onde trabalhem.

Identity Management

Proteja cada identidade, simplifique cada processo e mantenha-se à frente da conformidade — sem adicionar complexidade.

Identity Threat Detection & Response

Mantenha-se à frente de ameaças baseadas em identidade — remediação proativa de riscos, bloqueio de ataques e garantia de recuperação rápida.

Privileged Access Management

Reduza sua superfície de ataque eliminando privilégios permanentes, protegendo credenciais e monitorando sessões privilegiadas.
Produtos em destaque Ver todos os produtos
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

A plataforma Netwrix 1Secure™

Explore
Netwrix AI Ambientes que protegemos Integrações MSPs Riscos de segurança do Active Directory Conformidade Preços
Resource Center Ver Todos
BlogAttack CatalogConformidadeHistórias de ClientesFrameworks de CibersegurançaGlossário de CibersegurançaEventsFreewareGuiasIdeas PortalNotíciasPodcastsPublicaçõesAnúncios de ProdutosPesquisaWebinars
Asset not found

História em Destaque de Cliente

A DXC Technology possibilita que clientes alcancem a conformidade com PCI DSS e se concentrem em iniciativas estratégicas
Parceiros
Programa de ParceirosTorne-se um ParceiroMSPsLocalizador de parceirosWebinars
Asset not found

História em Destaque de Cliente

AppRiver aprimora o controle sobre o Active Directory enquanto reduz significativamente o tempo de auditoria
Asset not found

História em Destaque de Cliente

MSP Ajuda Cliente a Recuperar de Ransomware em 6 Horas
Por que a Netwrix
Sobre NósLiderançaNetwrix AIHistórias de clientesReconhecimentoNoticiasCarreiras
Asset not found

História em Destaque de Cliente

Horizon Leisure Centres acelera a classificação de dados para cumprir o RGPD e economiza £80.000 por ano
Asset not found

História em Destaque de Cliente

Samsung R&D Institute garante a segurança dos dados com uso multiplataforma e implantação rápida no macOS usando Netwrix Endpoint Protector
Centro de recursosBlog
Diretrizes de Auditoria do Active Directory

Diretrizes de Auditoria do Active Directory

Apr 21, 2021

Active Directory fornece gerenciamento de contas, autenticação e serviços de autorização que são críticos para uma governança de acesso robusta. Assim, uma auditoria adequada do Active Directory é essencial tanto para a cibersegurança quanto para a conformidade com regulamentos que exigem um gerenciamento de acesso forte.

For example, to promptly detect insider threats, organizations need to constantly watch for the creation of new accounts and security groups and any modifications to existing users and groups, since those changes could provide unwarranted access rights that could be misused by account owners or attackers who compromise their accounts. They also must keep a close eye on user activities like logon attempts and directory changes, and identify security gaps like inactive user and computer accounts.

No entanto, o Active Directory não audita todos os eventos de segurança por padrão — você deve habilitar explicitamente a auditoria de eventos importantes para que eles sejam registrados no log de eventos de Segurança e disponíveis para inclusão em relatórios de auditoria e alertas.

Este artigo fornece recomendações para configurar a auditoria no seu ambiente de Active Directory, utilizando o Netwrix Audit Policy Best Practices como referência.

Conteúdo relacionado selecionado

Introdução à Auditoria de AD

A auditoria do Active Directory (AD) é o processo de coleta e análise de dados sobre seus objetos AD e Group Policy. As organizações realizam a auditoria do AD para melhorar proativamente a segurança, detectar e responder prontamente a ameaças e manter as operações de TI funcionando sem problemas.

Usando a Política de Auditoria

Para especificar quais eventos do sistema e atividades do usuário devem ser rastreados, você utiliza as configurações de Audit Policy no Active Directory Group Policy. Você especifica quais tipos de eventos deseja auditar e seleciona as configurações para cada um. Por exemplo, você pode registrar todos os eventos quando uma conta de usuário é desativada ou uma senha incorreta é inserida.

Como outras configurações de Group Policy setting, a auditoria é configurada usando a ferramenta Group Policy Management Editor (GPME) na console Group Policy Management (GPMC). Note que as configurações de auditoria para dispositivos unidos a um domínio são por padrão definidas em um nível relativamente baixo, portanto, devem ser refinadas. Em controladores de domínio (DCs), a auditoria é frequentemente mais robusta, mas ainda assim pode não estar no nível que você precisa.

Para auditar o Active Directory, você pode usar as configurações de política de auditoria de segurança básica (local) ou as configurações de política de auditoria de segurança avançada, que permitem maior granularidade. A Microsoft não recomenda o uso de ambas, pois isso pode levar a “resultados inesperados nos relatórios de auditoria.” Na maioria dos casos, quando você ativa a auditoria avançada, a auditoria básica será ignorada, mesmo que você desative a auditoria avançada posteriormente. É recomendado usar a auditoria Avançada se você não está realizando nenhuma auditoria atualmente.

  • Basic policies can be set by going to Computer Configuration > Policies > Windows Settings > Security Settings Local Policies > Audit Policy.
  • As configurações avançadas de política podem ser encontradas em Configuração do Computador > Políticas > Configurações do Windows > Configuração Avançada de Política de Auditoria > Políticas de Auditoria.

Escopo da Política de Auditoria

Você pode definir políticas de auditoria tanto para o domínio inteiro quanto para unidades organizacionais individuais (OUs). Observe que uma configuração feita no nível da OU tem prioridade mais alta do que uma configuração no nível do domínio e irá substituí-la em caso de conflitos. Você pode verificar as políticas resultantes usando a utilidade de linha de comando auditpol.

Configurando o Log de Segurança

Você também precisará especificar o tamanho máximo e outras propriedades do log de Segurança usando as configurações de política de Registro de Eventos. Para alterar as configurações via GPME, navegue até Configuração do Computador > Políticas > Configurações do Windows > Configurações de Segurança > Log de Eventos e clique duas vezes no nome da política. De acordo com a Microsoft, o tamanho máximo de log recomendado para versões modernas do OS é de 4Gb, e o tamanho total máximo recomendado para todos os logs é de 16Gb. Você pode visualizar os logs com o Visualizador de Eventos.

Quais eventos de log de segurança do AD devem ser rastreados

A chave para uma auditoria eficaz é saber quais eventos registrar. Se você acompanhar muitos eventos, seus registros ficarão tão cheios de ruído que serão difíceis de analisar e se sobrescreverão rapidamente. Mas se você deixar de acompanhar eventos críticos, não será capaz de detectar atividades maliciosas e investigar incidentes de segurança. Aqui estão os eventos recomendados para acompanhar a fim de encontrar o equilíbrio certo.

Auditar eventos de logon de conta

Para detectar tentativas não autorizadas de login em um domínio, é necessário auditar eventos de logon — tanto bem-sucedidos quanto mal-sucedidos. Audit account logon events oferece uma maneira de rastrear eventos de autenticação, como autenticação NTLM e Kerberos. Não deve ser confundido com Audit logon events, que define a auditoria de toda tentativa de usuário para fazer login ou logout de um computador, conforme explicado abaixo.

Aqui estão as configurações recomendadas para a política avançada de Audit account logon events :

  • Auditoria de Validação de Credenciais: Falha
  • Auditoria do Serviço de Autenticação Kerberos: Sucesso, Falha
  • Auditoria de Operações de Ticket de Serviço Kerberos: Falha
  • Auditar Outros Eventos de Logon de Conta: Sucesso, Falha

Observe que os eventos de logoff não são rastreados nos controladores de domínio, a menos que você esteja efetivamente fazendo login naquele DC específico.

Auditar eventos de logon

Esta política pode registrar todas as tentativas bem-sucedidas e falhas de iniciar ou encerrar sessão em um computador local, seja por uma conta de domínio ou uma conta local. Essas informações são úteis para detecção de intrusos e análise forense pós-incidente. A Microsoft fornece descrições dos vários IDs de evento que podem ser registrados.

As configurações avançadas mínimas recomendadas são:

  • Auditoria de Bloqueio de Conta: Sucesso, Falha
  • Auditoria de Membros do Grupo: Sucesso
  • Auditoria de Logoff: Sucesso, Falha
  • Auditoria de Logon: Sucesso, Falha
  • Auditoria de Logon Especial: Sucesso, Falha

Gestão de contas

Monitorar cuidadosamente todas as alterações nas contas de usuários ajuda a minimizar o risco de interrupção dos negócios e indisponibilidade do sistema.

No mínimo, é recomendado configurar a política básica de Audit account Management para “Sucesso”. Se estiver usando políticas de auditoria avançadas, utilize as seguintes configurações:

  • Auditoria do Gerenciamento de Grupos de Aplicativos: Sucesso, Falha
  • Auditoria de Gerenciamento de Contas de Computador: Sucesso
  • Auditoria do Gerenciamento de Grupos de Distribuição: Sucesso
  • Auditar Outros Eventos de Gerenciamento de Contas: Sucesso
  • Auditoria de Gerenciamento de Grupo de Segurança: Sucesso
  • Auditoria de Gerenciamento de Contas de Usuário: Sucesso, Falha

Conteúdo relacionado selecionado

Acesso ao serviço de Directory Management

Monitore isso apenas se precisar ver quando alguém acessa um objeto AD que possui sua própria lista de controle de acesso do sistema, como uma OU. Nesse caso, é recomendado configurar as seguintes definições:

  • Auditar Acesso ao Serviço de Diretório: Sucesso, Falha
  • Auditar alterações no serviço de diretório: Sucesso, Falha

Acesso a objetos

Audite isso apenas se precisar ver quando alguém usou privilégios para acessar, copiar, distribuir, modificar ou excluir arquivos em servidores de arquivos. Ativar essa configuração pode gerar um grande volume de entradas no log de Segurança, então use-a somente se tiver um uso específico para esses dados. As configurações avançadas recomendadas são:

  • Auditoria Detalhada de Compartilhamento de Arquivos: Falha
  • Auditoria de Compartilhamento de Arquivos: Sucesso, Falha
  • Auditar Eventos de Acesso a Outros Objetos: Sucesso, Falha
  • Auditar Armazenamento Removível: Sucesso, Falha

Mudança de política

Alterações impróprias em um objeto de Política de Grupo (GPO) podem levar a incidentes de segurança e violações de mandatos de data privacy . Para reduzir seu risco, configure as seguintes configurações avançadas:

  • Alteração da Política de Auditoria: Sucesso, Falha
  • Auditar Mudança de Política de Autenticação: Sucesso, Falha
  • Auditoria de Mudança de Política de Nível de Regra MPSSVC: Sucesso, Falha
  • Auditar Outros Eventos de Mudança de Política: Falha

Uso de privilégios

Ative isso apenas se desejar rastrear cada instância de uso de privilégios de usuário. Habilitar essa política pode gerar um grande volume de entradas nos seus logs de Segurança, portanto, faça isso apenas se tiver um uso específico para esses dados. Para habilitar essa política, configure o seguinte:

  • Auditar Uso Sensível de Privilégios: Sucesso, Falha

Rastreamento de processos (às vezes chamado de Rastreamento detalhado)

Disponível apenas na política de auditoria avançada, essa configuração é focada em eventos de auditoria relacionados a processos, como criação de processos, término de processos, duplicação de identificadores e acesso indireto a objetos. Pode ser útil para investigações de incidentes, mas pode gerar um grande volume de entradas nos seus logs de Segurança, então habilite apenas se você tiver um uso específico para os dados. As configurações recomendadas são:

  • Auditar atividade PNP: Sucesso
  • Processo de Auditoria de Criação: Sucesso

Sistema

É prudente registrar todas as tentativas de iniciar, desligar ou reiniciar um computador, bem como todas as tentativas de um processo ou programa fazer algo para o qual não tem permissão, como um software malicioso tentando alterar configurações no seu computador. As configurações avançadas recomendadas são:

  • Auditar Mudança de Estado de Segurança: Sucesso, Falha
  • Auditar Outros Eventos do Sistema: Sucesso, Falha
  • Auditoria da Integridade do Sistema: Sucesso, Falha
  • Extensão do Sistema de Segurança de Auditoria: Sucesso

Conteúdo relacionado selecionado

Melhores práticas de auditoria de ADTop of Form

Ao auditar o Active Directory, você pode reduzir riscos de segurança identificando e remediando condições tóxicas como grupos profundamente aninhados e permissões atribuídas diretamente que atacantes podem explorar para ganhar acesso aos seus recursos de rede. As seguintes melhores práticas podem ajudar a tornar sua auditoria de AD mais eficaz:

Obtenha um entendimento completo do seu ambiente AD.

Comece obtendo respostas para as seguintes perguntas:

  • Quantas contas e grupos você tem?
  • Quais GPOS e outros objetos críticos do Active Directory você possui?
  • Quem tem permissões para seus DCs e OUs?

Priorize seus esforços.

Três lugares onde as organizações geralmente começam são:

  • Acesso privilegiado ao AD — Examine objetos críticos como GPOs.
  • Grupos grandes — Avalie o acesso de grupos grandes como Domain Users e Everyone.
  • Acesso de usuário privilegiado — Determine quais usuários possuem acesso elevado, seja por meio da associação em grupos poderosos como Domain Admins ou através de métodos mais indiretos como a associação em grupos aninhados.

Envolver os stakeholders certos.

Determine quais usuários de negócios entendem quem deve ter acesso a quê. Por exemplo, o gerente de um determinado departamento provavelmente sabe quais recursos de TI os membros de sua equipe precisam acessar para realizar suas tarefas e por que as permissões foram configuradas de uma determinada maneira.

Revise regularmente a associação de grupos.

Primeiro, garanta que apenas os usuários corretos sejam membros dos Domain Admins e Enterprise Admins. Limitar estritamente a associação a esses grupos reduzirá o risco de um administrador mal-intencionado abusar de seu acesso privilegiado. Igualmente importante, isso minimiza o número de contas que um adversário poderia comprometer para ganhar controle do domínio instantaneamente.

Em segundo lugar, peça aos proprietários das empresas que validem se os membros certos estão em seus grupos — e que o grupo tenha acesso apenas aos recursos de que necessita.

Repita essas revisões regularmente.

Continue aprimorando seu processo de auditoria AD

Uma vez que você implementar suas principais prioridades para auditoria de AD, passe para as próximas áreas. Por exemplo, depois de estabelecer revisões regulares de membros de grupos, comece a auditar as alterações de senhas do AD.

Próximos passos

Configurar as políticas de auditoria corretas é um ótimo começo — mas é apenas metade da batalha. Você também precisa ser capaz de analisar os dados que coleta. Infelizmente, os ambientes de TI modernos são tão complexos e ocupados que os registros muitas vezes se tornam grandes demais para serem efetivamente examinados, e o registro de auditoria pode até se sobrescrever. Ferramentas de software com um único propósito podem ajudar em tarefas específicas, mas um conjunto de soluções não pode fornecer a visibilidade abrangente que você precisa para a Data Security.

Com a Netwrix Active Directory Security Solution, você pode proteger seu Active Directory de ponta a ponta. Isso permitirá que você:

  • Descubra riscos de segurança no Active Directory e priorize seus esforços de mitigação.
  • Reforce as configurações de segurança em toda a sua infraestrutura de TI.
  • Detecte e contenha prontamente ameaças avançadas, como DCSync , extração de NTDS.dit e ataques Golden Ticket.
  • Responda a ameaças conhecidas instantaneamente com opções de alertas automatizados.
  • Minimize as interrupções nos negócios com uma rápida recuperação do Active Directory.

FAQ

Como posso habilitar a auditoria de objetos AD?

Para habilitar a auditoria de objetos do Active Directory, você pode:

  • Configure uma política de auditoria nos controladores de domínio para registrar os eventos especificados para todos os usuários.
  • Configure uma ACL de auditoria (SACL) em objetos específicos para monitorar alterações específicas neles.

Como configuro uma configuração de política de auditoria para um controlador de domínio?

  1. Abra o Console de Gerenciamento de Política de Grupo.
  2. Clique com o botão direito na Política de Controladores de Domínio Padrão e selecione Editar.
  3. Navegue até Configuração do Computador > Políticas > Configurações do Windows > Configurações de Segurança > Configuração de Política de Auditoria Avançada > Políticas de Auditoria.
  4. Especifique as configurações de auditoria para cada categoria de evento que deseja monitorar e salve suas alterações.
  5. Aguarde a política ser atualizada automaticamente ou execute gpupdate no DC por conta própria para atualizar a política imediatamente.

Utilize o Visualizador de Eventos do Windows para visualizar os eventos capturados.

Como eu configuro a auditoria para objetos AD específicos?

  1. Abra Active Directory Users and Computers.
  2. Navegue até o objeto que deseja monitorar e abra-o.
  3. Vá para a aba Segurança.
  4. Clique no botão Advanced.
  5. Vá para a aba de Auditoria.
  6. Clique em Adicionar.
  7. Selecione as propriedades que deseja monitorar.
  8. Clique em OK para fechar cada janela até que você volte para a tela principal do ADUC.

Compartilhar em

Saiba Mais

Sobre o autor

Asset Not Found

Jeff Melnick

Diretor de Engenharia de Sistemas

Jeff é um ex-Diretor de Engenharia de Soluções Globais na Netwrix. Ele é um blogueiro, palestrante e apresentador da Netwrix há muito tempo. No blog da Netwrix, Jeff compartilha lifehacks, dicas e truques que podem melhorar drasticamente sua experiência em administração de sistemas.

Saiba mais sobre este assunto

Leis de Privacidade de Dados por Estado: Abordagens Diferentes para a Proteção da Privacidade

Exemplo de Análise de Risco: Como Avaliar Riscos

O Triângulo da CIA e Sua Aplicação no Mundo Real

O que é Gerenciamento de Registros Eletrônicos?

Análise de Risco Quantitativa: Expectativa de Perda Anual

Últimos blogs

Os próximos cinco minutos de conformidade: construindo segurança de dados com foco em identidade em toda a APAC

Gerenciamento de configuração para controle seguro de endpoint

Classificação de dados e DLP: Previna a perda de dados, comprove a conformidade

Conformidade com CMMC e o papel crítico do controle de USB estilo MDM na proteção de CUI

DSPM, ASM e ITDR: Construindo uma Estratégia de Segurança Consciente da Exposição e Orientada por Dados

De ruído a ação: transformando risco de dados em resultados mensuráveis

IA no Trabalho: Velocidade, Risco e Por Que a Simplicidade Vence

Leis de Privacidade de Dados por Estado: Abordagens Diferentes para a Proteção da Privacidade

Exemplo de Análise de Risco: Como Avaliar Riscos

O Triângulo da CIA e Sua Aplicação no Mundo Real

Nossos principais artigos

Tipos Comuns de Dispositivos de Rede e Suas Funções

Como Executar um Script do PowerShell a partir do Agendador de Tarefas

Como instalar e usar o Active Directory Users and Computers (ADUC)?

Baixe e instale o PowerShell 7

Os Maiores e Mais Notórios Ataques Cibernéticos da História

Comandos Essenciais do PowerShell: Um Guia de Consulta Rápida para Iniciantes

Uma visão geral do ataque cibernético da MGM

Extração de Hashes de Senha do arquivo Ntds.dit

Guia para Montar Compartilhamentos Unix com um Cliente NFS do Windows

Como Portas Abertas Inseguras e Vulneráveis Representam Sérios Riscos de Segurança