Gostaria de saber como configurar uma política de grupo para habilitar a auditoria da linha de comando? Neste tutorial, mostraremos como configurar o visualizador de eventos para registrar comandos da linha de comando usando um GPO.

• Windows 2012 R2
• Windows 2016
• Windows 2019
• Windows 10
• Windows 7

Lista de equipamentos

A seção a seguir apresenta a lista de equipamentos usados para criar este tutorial.

Como associado da Amazon, eu ganho comissão por compras qualificadas.

Tutorial relacionado ao Windows:

Nesta página, oferecemos acesso rápido a uma lista de tutoriais relacionados ao Windows.

Tutorial GPO – Auditar a linha de comando

No controlador de domínio, abra a ferramenta de gerenciamento de políticas de grupo.

Crie uma nova política de grupo.

Digite um nome para a nova política do grupo.

Windows - Add GPO

Em nosso exemplo, o novo GPO foi nomeado: MY-GPO.

Na tela Gerenciamento de Políticas de Grupo, expanda a pasta chamada Objetos de Política de Grupo.

Clique com o botão direito do mouse no novo Objeto de Política de Grupo e selecione a opção Editar.

Windows - Edit GPO

Na tela do editor de política do grupo, expanda a pasta de configuração do computador e localize o seguinte item.

Copy to Clipboard

Acesse a pasta chamada Rastreamento Detalhado.

GPO - Audit commands DOS

Edite o item de configuração denominado Auditoria de Logon.

Habilite a opção de auditar a criação de processos bem-sucedidos.

GPO - Audit DOS command-line

Na tela do editor de política do grupo, expanda a pasta de configuração do computador e localize o seguinte item.

Copy to Clipboard

Acesse a pasta chamada Auditar a criação do processo.

GPO - Command-line audit event viewer

Habilite o item de configuração nomeado: Incluir linha de comando em eventos de criação de processos.

GPO - Audit command-line

Para salvar a configuração da política de grupo, você precisa fechar o editor de Política de Grupo.

Parabéns! Você terminou a criação da GPO.

Tutorial GPO – Auditar os comandos da linha de comando

Na tela de gerenciamento de políticas do Grupo, você precisa clicar com o botão direito do mouse na Unidade Organizacional desejada e selecionar a opção de vincular um GPO existente.

Em nosso exemplo, vamos vincular a política de grupo chamada MY-GPO à raiz do domínio.

GPO- tutorial linking

Depois de aplicar o GPO você precisa esperar por 10 ou 20 minutos.

Durante este tempo, o GPO será replicado para outros controladores de domínio.

Em um computador remoto, inicie uma linha de comando Powershell elevada.

Windows 10 - powershell elevated

Verifique as configurações avançadas da política de auditoria de segurança de logon.

Copy to Clipboard

Aqui está a saída de comando.

Copy to Clipboard

Liste as últimas 10 entradas do registro.

Copy to Clipboard

Aqui está a saída de comando.

Copy to Clipboard

Use a linha de comando para executar qualquer tarefa.

Copy to Clipboard

Obtenha detalhes do último comando usando o visualizador de eventos.

Copy to Clipboard

Aqui está a saída de comando.

Copy to Clipboard

Lista as tentativas de login bem-sucedidas.

Copy to Clipboard

Em nosso exemplo, habilitamos a auditoria de comandos da linha de comando usando uma GPO.