Auditoria: Forçar configurações de subcategorias de política de auditoria (Windows Vista ou superior) para substituir configurações de categorias de política de auditoria
Aplicável a
- Windows 10
Descreve as melhores práticas, localização, valores e considerações de segurança para a auditoria: forçar configurações de subcategoria de política de auditoria (Windows Vista ou posterior) para substituir a configuração de política de segurança das configurações da categoria da política de auditoria.
Referência
Você pode gerenciar sua política de auditoria de maneira mais precisa usando subcategorias de política de auditoria.
Há mais de 40 subcategorias de auditoria que fornecem detalhes precisos sobre as atividades em um dispositivo. Para obter informações sobre essas subcategorias, consulte as configurações de política de auditoria de segurança avançada.
Valores possíveis
- Habilitada
- Desabilitada
Práticas recomendadas
- Deixe a configuração habilitada. Esse estado "habilitado" ajuda a auditar eventos no nível da categoria sem revisar uma política.
Location
Configuração do Computador\Configurações do Windows\Configurações de Segurança\Políticas Locais\Opções de Segurança
Valores padrão
A tabela a seguir lista os valores padrão reais e efetivos para essa política. Os valores padrão também são listados na página de propriedades da política.
| Tipo de servidor ou GPO | Valor padrão |
|---|---|
| Política de Domínio Padrão | Não definido |
| Política de controlador de domínio padrão | Não definido |
| Stand-Alone configurações padrão do servidor | Habilitado |
| Configurações padrão efetivas do DC | Habilitada |
| Configurações padrão efetivas do servidor membro | Habilitada |
| Configurações padrão efetivas do computador cliente | Habilitado |
Gerenciamento de políticas
Esta seção descreve os recursos e ferramentas disponíveis para ajudá-lo a gerenciar essa política.
Requisito de reinicialização
Nenhuma. As alterações nessa política se tornam efetivas sem uma reinicialização do dispositivo quando são salvas localmente ou distribuídas por meio de Política de Grupo.
Política de Grupo
Todos os recursos de auditoria são integrados Política de Grupo. Você pode definir, implantar e gerenciar essas configurações no console de gerenciamento do Política de Grupo (GPMC) ou no snap-in política de segurança local para um domínio, site ou unidade organizacional (UO).
Auditoria
Para gerenciar uma política de auditoria usando subcategorias sem a necessidade de uma alteração no Política de Grupo, o valor do registro SCENoApplyLegacyAuditPolicy impede que a aplicação da política de auditoria no nível da categoria Política de Grupo e da ferramenta administrativa política de segurança local.
Se a política de auditoria de nível de categoria definida aqui não for consistente com os eventos que estão sendo gerados no momento, a causa poderá ser que essa chave do Registro esteja definida.
Ferramentas de linha de comando
Você pode usar auditpol.exe para exibir e gerenciar políticas de auditoria em um prompt de comando.
Considerações de segurança
Esta seção descreve como um invasor pode explorar um recurso ou sua configuração, como implementar a contramedida e as possíveis consequências negativas da implementação da contramedida.
Vulnerabilidade
Antes da introdução das subcategorias de auditoria no Windows Vista, era difícil acompanhar eventos em um nível por sistema ou por usuário. As categorias de eventos maiores criaram muitos eventos e as principais informações que precisavam ser auditadas eram difíceis de encontrar.
Contramedida
Habilite subcategorias de política de auditoria conforme necessário para acompanhar eventos específicos.
Possíveis impactos
Se você tentar modificar uma configuração de auditoria usando o Política de Grupo depois de habilitar essa configuração por meio das ferramentas de linha de comando, a configuração de auditoria do Política de Grupo será ignorada em favor da configuração de política personalizada. Para modificar as configurações de auditoria usando Política de Grupo, primeiro você deve desabilitar a chave SCENoApplyLegacyAuditPolicy.
Importante: Tenha muito cuidado com as configurações de auditoria que podem gerar um grande volume de tráfego. Por exemplo, se você habilitar a auditoria de êxito ou falha para todas as subcategorias de Uso de Privilégios, o alto volume de eventos de auditoria gerados poderá dificultar a localização de outros tipos de entradas no log de eventos de segurança. Essa configuração também pode ter um impacto significativo no desempenho do sistema.
Tópicos relacionados
Comentários
Submeter e ver comentários