O que é sucesso ou falha de auditoria no Visualizador de eventos

Cto Takoe Uspesnyj Audit Ili Sboj Audita V Sredstve Prosmotra Sobytij



Quando se trata do Visualizador de Eventos, existem dois tipos de resultados que você pode obter de uma auditoria – sucesso ou falha. Mas o que significa cada um? Aqui está uma explicação rápida de cada um.



sucesso da auditoria

Uma auditoria bem-sucedida significa que a ação que está sendo auditada foi concluída com êxito. Isso pode ser algo como um usuário fazendo login em um sistema ou um processo sendo executado. Essencialmente, qualquer coisa que você configurou no Visualizador de Eventos para rastrear e relatar.



Falha na auditoria

Uma falha de auditoria, por outro lado, significa que a ação que está sendo auditada não foi concluída com sucesso. Isso pode ocorrer devido a vários motivos, como uma senha incorreta inserida ou um usuário que não possui as permissões necessárias para executar a ação. Novamente, qualquer coisa que você configurou no Visualizador de eventos para rastrear e relatar pode resultar em uma falha de auditoria.



Então aí está - uma explicação rápida sobre o sucesso e a falha da auditoria no Visualizador de Eventos. Como sempre, se você tiver alguma dúvida, sinta-se à vontade para entrar em contato com nossa equipe de especialistas em TI.



Para auxiliar na solução de problemas, o Visualizador de Eventos embutido no sistema operacional Windows exibe logs de mensagens do sistema e do aplicativo que incluem erros, avisos e informações de eventos específicos que um administrador pode analisar para tomar a ação apropriada. Neste post discutimos Sucesso ou falha na auditoria no Visualizador de eventos .

O que é sucesso ou falha de auditoria no Visualizador de eventos



O que é sucesso ou falha de auditoria no Visualizador de eventos

No visualizador de eventos Auditoria de sucesso é o evento que registra uma tentativa de acesso seguro verificado com sucesso, enquanto erro de auditoria é um evento que registra uma tentativa malsucedida de acesso seguro verificado. Abordaremos esse tema nos seguintes subtítulos:

  1. Políticas de auditoria
  2. Habilitar políticas de auditoria
  3. Use o visualizador de eventos para encontrar a origem das tentativas malsucedidas ou bem-sucedidas
  4. Alternativas para usar o visualizador de eventos

Vamos ver isso em detalhes.

Políticas de auditoria

A política de auditoria define os tipos de eventos que são gravados nos logs de segurança e essas políticas geram eventos que podem ser bem-sucedidos ou falhar. Todas as políticas de auditoria irão gerar Boa sorte eventos ; no entanto, apenas alguns deles irão gerar Eventos de falha . Você pode configurar dois tipos de políticas de auditoria, a saber:

  • Política básica de auditoria tem 9 categorias de políticas de auditoria e 50 subcategorias de políticas de auditoria que podem ser ativadas ou desativadas conforme necessário. Abaixo está uma lista de 9 categorias de políticas de auditoria.
    • Auditar eventos de login da conta
    • Eventos de logon de auditoria
    • Auditoria de gerenciamento de contas
    • Auditoria de acesso ao serviço de diretório
    • Auditoria de acesso a objetos
    • Mudando a política de auditoria
    • Uso de privilégio de auditoria
    • Acompanhamento do processo de auditoria
    • Auditoria de eventos do sistema. Esta configuração de diretiva determina se deve ser feita uma auditoria quando um usuário reinicia ou desliga o computador ou quando ocorre um evento que afeta a segurança do sistema ou o log de segurança. Para obter mais informações e eventos de logon relacionados, consulte a documentação da Microsoft em Learn.microsoft.com/Basic-Audit-System-Events .
  • Política de auditoria avançada que tem 53 categorias, por isso é recomendado porque você pode definir uma política de auditoria mais granular e registrar apenas eventos relevantes, o que é especialmente útil ao gerar um grande número de logs.

Os erros de auditoria geralmente ocorrem quando uma solicitação de login falha, embora também possam ser causados ​​por alterações em contas, objetos, políticas, privilégios e outros eventos do sistema. Os dois eventos mais comuns são:

  • ID do evento 4771: falha na pré-autenticação do Kerberos . Este evento é gerado apenas em controladores de domínio e não é gerado se Não requer pré-autenticação Kerberos a opção é definida para a conta. Para obter mais informações sobre esse evento e como resolver esse problema, consulte Documentação da Microsoft .
  • ID do evento 4625: Falha ao entrar na conta . Este evento é gerado quando uma tentativa de login de conta falha e o usuário já está bloqueado. Para obter mais informações sobre esse evento e como resolver esse problema, consulte Documentação da Microsoft .

Ler : Como verificar o log de desligamento e inicialização no Windows

Habilitar políticas de auditoria

Habilitar políticas de auditoria

Você pode habilitar políticas de auditoria em máquinas cliente ou servidor por meio do Editor de Política de Grupo Local ou do Console de Gerenciamento de Política de Grupo, ou Editor de política de segurança local . Em um servidor Windows em seu domínio, crie um novo GPO ou edite um GPO existente.

No computador cliente ou servidor, no Editor de Diretiva de Grupo, navegue até o seguinte caminho:

|_+_|

No computador cliente ou servidor, na política de segurança local, navegue até o seguinte caminho:

|_+_|
  • Em Políticas de auditoria no painel direito, clique duas vezes na política cujas propriedades você deseja alterar.
  • No painel de propriedades, você pode habilitar a política para Boa sorte ou Rejeição de acordo com sua exigência.

Ler : Como redefinir todas as configurações de política de grupo local para o padrão no Windows

Use o visualizador de eventos para encontrar a origem das tentativas malsucedidas ou bem-sucedidas

Use o Visualizador de eventos para localizar a origem de eventos com falha ou bem-sucedidos.

Administradores e usuários em geral podem abrir o Visualizador de Eventos em um computador local ou remoto com as permissões apropriadas. O visualizador de eventos agora registrará um evento sempre que ocorrer uma falha ou um evento de sucesso, seja no computador cliente ou no domínio do servidor. O ID do evento que é acionado ao registrar um evento com falha ou sucesso é diferente (veja abaixo). Políticas de auditoria seção acima). Você pode ir para Visualizador de eventos > Janelas do diário > Segurança . O painel no centro lista todos os eventos configurados para auditoria. Você terá que examinar os eventos registrados para encontrar tentativas malsucedidas ou bem-sucedidas. Depois de encontrá-los, você pode clicar com o botão direito do mouse no evento e selecionar Propriedades do evento Mais detalhes.

Ler : Use o Visualizador de eventos para verificar o uso não autorizado de um computador com Windows.

Alternativas para usar o visualizador de eventos

Como alternativa ao uso do Visualizador de eventos, há vários softwares gerenciadores de log de eventos de terceiros que podem ser usados ​​para agregar e correlacionar dados de eventos de várias fontes, incluindo serviços de nuvem. Uma solução SIEM é a melhor opção se você precisar coletar e analisar dados de firewalls, sistemas de prevenção de intrusão (IPS), dispositivos, aplicativos, switches, roteadores, servidores e muito mais.

cutepdf windows 10

Espero que você ache este post informativo o suficiente!

Agora lê : Como ativar ou desativar o log de eventos seguro no Windows

Por que é importante verificar as tentativas de acesso bem-sucedidas e malsucedidas?

É fundamental auditar eventos de logon, sejam eles bem-sucedidos ou malsucedidos, para detectar tentativas de invasão, porque auditar logons de usuários é a única maneira de detectar todas as tentativas de logon de domínio não autorizadas. Eventos de logout não são rastreados em controladores de domínio. Também é igualmente importante acompanhar as tentativas malsucedidas de acesso a arquivos, pois uma entrada de auditoria é criada sempre que qualquer usuário tenta acessar, sem sucesso, um objeto do sistema de arquivos que possui uma SACL correspondente. Esses eventos são necessários para rastrear a atividade de objetos de arquivo que são confidenciais ou valiosos e requerem monitoramento adicional.

Ler : Fortalecer a política de senha de login do Windows e a política de bloqueio de conta

Como habilitar logs de erro de auditoria no Active Directory?

Para ativar os logs de erros de auditoria no Active Directory, basta clicar com o botão direito do mouse no objeto do Active Directory que deseja verificar e selecionar Características . Selecione Segurança guia e, em seguida, selecione Avançado . Selecione auditoria guia e, em seguida, selecione Adicionar . Para exibir logs de auditoria no Active Directory, clique em Começar > Sistema de segurança > Ferramentas de gerenciamento > Visualizador de eventos . No Active Directory, a auditoria é o processo de coleta e análise de objetos AD e dados de Diretiva de Grupo para melhorar a segurança proativamente, detectar e responder rapidamente a ameaças e manter as operações de TI funcionando sem problemas.

Categoria
Registros De Eventos
Recomendado
Baixe grátis Ringtone Maker para Windows para criar seus próprios toques
Baixe grátis Ringtone Maker para Windows para criar seus próprios toques
Transferências
Como ativar o RTX Ray Tracing no Minecraft
Como ativar o RTX Ray Tracing no Minecraft
Minecraft
Como transformar desenhos à mão livre em vetores com o Illustrator
Como transformar desenhos à mão livre em vetores com o Illustrator
Adobe
Temperatura do núcleo: meça e monitore a temperatura da CPU no Windows 10
Temperatura do núcleo: meça e monitore a temperatura da CPU no Windows 10
Transferências
Publicações Populares
Sobre Nós
Prankmike Fornece Dicas, Orientações, Instruções Para O Windows 10, Funções E Software Livre.
Categorias
Mais Visto
Copyright © 2024Todos Os Direitos Reservados | prankmike.com | Política De Privacidade