Compartilhar via


Aprimoramentos de auditoria para o AD FS no Windows Server 2016

Atualmente, no AD FS do Windows Server 2012 R2, há vários eventos de auditoria gerados para uma solicitação e as informações relevantes sobre uma atividade de emissão de logon ou de token estão ausentes (em algumas versões do AD FS) ou espalhadas por vários eventos de auditoria. Por padrão, os eventos de auditoria do AD FS são desativados devido à sua natureza detalhada.

Com o lançamento do AD FS no Windows Server 2016, a auditoria tornou-se mais simplificada e menos detalhada.

Níveis de auditoria no AD FS para Windows Server 2016

Por padrão, o AD FS no Windows Server 2016 tem a auditoria básica habilitada. Com a auditoria básica, os administradores visualizarão até cinco eventos de uma só solicitação. Isso marca uma diminuição significativa no número de eventos que os administradores precisam examinar para ver uma única solicitação. O nível de auditoria pode ser elevado ou reduzido usando o cmdlet do PowerShell: Set-AdfsProperties -AuditLevel. A tabela a seguir explica os níveis de auditoria disponíveis.

Nível de Auditoria Síntese do PowerShell Descrição
Nenhum Set-AdfsProperties – Nenhum AuditLevel A auditoria está desabilitada e não será registrado nenhum evento.
Básico (padrão) Set-AdfsProperties – AuditLevel Básico No máximo cinco eventos serão registrados para uma só solicitação
Detalhado Set-AdfsProperties – AuditLevel detalhado Todos os eventos serão registrados. Essa opção vai registrar uma quantidade significativa de informações por solicitação.

Para ver o nível de auditoria atual, use o cmdlet do PowerShell: Get-AdfsProperties.

Screenshot that shows how to use the Get-AdfsProperties cmdlet.

O nível de auditoria pode ser elevado ou reduzido usando o cmdlet do PowerShell: Set-AdfsProperties -AuditLevel.

audit enhancements

Tipos de Eventos de Auditoria

Os Eventos de Auditoria do AD FS podem ser de tipos diferentes, com base nos diferentes tipos de solicitações processadas pelo AD FS. Cada tipo de Evento de Auditoria tem dados específicos associados a ele. O tipo de eventos de auditoria pode ser diferenciado entre solicitações de logon (ou seja, solicitações de token) versus solicitações do sistema (chamadas de servidor para servidor, incluindo a busca de informações de configuração).

A tabela a seguir descreve os tipos básicos de eventos de auditoria.

Tipo de Evento de Auditoria ID do evento Descrição
Êxito na validação de credenciais novas 1202 Uma solicitação em que novas credenciais são validadas com êxito pelo Serviço de Federação. Isso inclui WS-Trust, Web Services Federation, SAML-P (primeira etapa para gerar SSO) e pontos de extremidade de autorização OAuth.
Erro na validação de credenciais novas 1203 Uma solicitação em que a nova validação de credenciais falhou no Serviço de Federação. Isso inclui WS-Trust, WS-Fed, SAML-P (primeira etapa para gerar SSO) e pontos de extremidade de autorização OAuth.
Êxito do token de aplicativo 1200 Uma solicitação em que um token de segurança é emitido com êxito pelo Serviço de Federação. Para Web Services Federation, SAML-P isso é registrado quando a solicitação é processada com o artefato de SSO. (como o cookie de SSO).
Falha no Token de Aplicativo 1201 Uma solicitação em que a emissão de token de segurança falhou no Serviço de Federação. Para Web Services Federation, SAML-P isso é registrado quando a solicitação foi processada com o artefato de SSO. (como o cookie de SSO).
Êxito na solicitação de alteração de senha 1204 Uma transação em que a solicitação de alteração de senha foi processada com êxito pelo Serviço de Federação.
Erro na solicitação de alteração de senha 1205 Uma transação em que a solicitação de alteração de senha falhou ao ser processada pelo Serviço de Federação.
Êxito na saída 1206 Descreve uma solicitação de saída com êxito.
Falha ao sair 1207 Descreve uma solicitação de saída com falha.