Aprimoramentos de auditoria para o AD FS no Windows Server 2016
Atualmente, no AD FS do Windows Server 2012 R2, há vários eventos de auditoria gerados para uma solicitação e as informações relevantes sobre uma atividade de emissão de logon ou de token estão ausentes (em algumas versões do AD FS) ou espalhadas por vários eventos de auditoria. Por padrão, os eventos de auditoria do AD FS são desativados devido à sua natureza detalhada.
Com o lançamento do AD FS no Windows Server 2016, a auditoria tornou-se mais simplificada e menos detalhada.
Níveis de auditoria no AD FS para Windows Server 2016
Por padrão, o AD FS no Windows Server 2016 tem a auditoria básica habilitada. Com a auditoria básica, os administradores visualizarão até cinco eventos de uma só solicitação. Isso marca uma diminuição significativa no número de eventos que os administradores precisam examinar para ver uma única solicitação. O nível de auditoria pode ser elevado ou reduzido usando o cmdlet do PowerShell: Set-AdfsProperties -AuditLevel. A tabela a seguir explica os níveis de auditoria disponíveis.
| Nível de Auditoria | Síntese do PowerShell | Descrição |
|---|---|---|
| Nenhum | Set-AdfsProperties – Nenhum AuditLevel | A auditoria está desabilitada e não será registrado nenhum evento. |
| Básico (padrão) | Set-AdfsProperties – AuditLevel Básico | No máximo cinco eventos serão registrados para uma só solicitação |
| Detalhado | Set-AdfsProperties – AuditLevel detalhado | Todos os eventos serão registrados. Essa opção vai registrar uma quantidade significativa de informações por solicitação. |
Para ver o nível de auditoria atual, use o cmdlet do PowerShell: Get-AdfsProperties.
O nível de auditoria pode ser elevado ou reduzido usando o cmdlet do PowerShell: Set-AdfsProperties -AuditLevel.
Tipos de Eventos de Auditoria
Os Eventos de Auditoria do AD FS podem ser de tipos diferentes, com base nos diferentes tipos de solicitações processadas pelo AD FS. Cada tipo de Evento de Auditoria tem dados específicos associados a ele. O tipo de eventos de auditoria pode ser diferenciado entre solicitações de logon (ou seja, solicitações de token) versus solicitações do sistema (chamadas de servidor para servidor, incluindo a busca de informações de configuração).
A tabela a seguir descreve os tipos básicos de eventos de auditoria.
| Tipo de Evento de Auditoria | ID do evento | Descrição |
|---|---|---|
| Êxito na validação de credenciais novas | 1202 | Uma solicitação em que novas credenciais são validadas com êxito pelo Serviço de Federação. Isso inclui WS-Trust, Web Services Federation, SAML-P (primeira etapa para gerar SSO) e pontos de extremidade de autorização OAuth. |
| Erro na validação de credenciais novas | 1203 | Uma solicitação em que a nova validação de credenciais falhou no Serviço de Federação. Isso inclui WS-Trust, WS-Fed, SAML-P (primeira etapa para gerar SSO) e pontos de extremidade de autorização OAuth. |
| Êxito do token de aplicativo | 1200 | Uma solicitação em que um token de segurança é emitido com êxito pelo Serviço de Federação. Para Web Services Federation, SAML-P isso é registrado quando a solicitação é processada com o artefato de SSO. (como o cookie de SSO). |
| Falha no Token de Aplicativo | 1201 | Uma solicitação em que a emissão de token de segurança falhou no Serviço de Federação. Para Web Services Federation, SAML-P isso é registrado quando a solicitação foi processada com o artefato de SSO. (como o cookie de SSO). |
| Êxito na solicitação de alteração de senha | 1204 | Uma transação em que a solicitação de alteração de senha foi processada com êxito pelo Serviço de Federação. |
| Erro na solicitação de alteração de senha | 1205 | Uma transação em que a solicitação de alteração de senha falhou ao ser processada pelo Serviço de Federação. |
| Êxito na saída | 1206 | Descreve uma solicitação de saída com êxito. |
| Falha ao sair | 1207 | Descreve uma solicitação de saída com falha. |