Windows Server 2019 - Auditar qual usuário humano reinicia um serviço

tag-icon tag-icon service windows-server-2019 audit eventviewer
Windows Server 2019 - Auditar qual usuário humano reinicia um serviço

Tentando auditar qual usuário AD que realmente reinicia um serviço em um serviço específico.
O serviço (MyService) está usando uma conta de serviço para executar e obter acesso a diferentes recursos.

Quero auditar quando meu usuário ou qualquer usuário humano real iniciar/parar/reiniciar manualmente o serviço e poder obter essas informações em um "Evento" no EventViewer para posteriormente configurar um alerta ou visualização filtrada para ver quem e quando modificou o estado de execução do serviço.

Encontrei estas instruções que parecem bem detalhadas:
https://support.qlik.com/articles/000058520

No próprio servidor (Windows Server 2019) (ou seja, não por meio de um GPO):

  1. MMC > Modelos de segurança > C:\Users$USER\Documents\Security\Templates
    1.1 "Novo modelo" > "MyServiceSecurityTemplate"
    1.2 "MyServiceSecurityTemplate" > "Serviços do sistema" > "MyService" > "Propriedades"
    1.3
    "Definir esta configuração de política em the template" = Marcado
    "Selecione o modo de inicialização do serviço: Automático"
    ^ Ou seja, o serviço deve sempre iniciar com o servidor, então apenas controlamos como o serviço é iniciado OU está relacionado a quais eventos de inicialização do serviço ele registra?
    Ou seja, ele só registra quando o serviço é iniciado automaticamente e NÃO quando é parado/iniciado/reiniciado manualmente?
    1.4 "Editar Segurança" > "Avançado" > "Auditoria" > "Adicionar" >
    "Principal: "
    "Tipo: Sucesso"
    "Permissões Básicas: Iniciar, parar e pausar"
    "OK" > "Aplicar" > "OK"> " Aplicar" > "OK" > "OK" > Prompt:
    "Política de segurança Você está prestes a alterar a configuração de segurança deste serviço... Deseja continuar?" >
    "Sim" > "Aplicar" > "OK"

  2. Editor de política de grupo local > Configuração do computador > Configurações do Windows > Configurações de segurança > Configuração avançada de política de auditoria > Políticas de auditoria do sistema - Objeto de política de grupo local > Acesso ao objeto:
    "Manipulação de identificador de auditoria" e "Auditoria de eventos de acesso a outros objetos" > "Propriedades"
    "Configurar os eventos selecionados a serem auditados:
    Auditoria com sucesso" > "Aplicar" > "OK"

  3. EventViewer > Logs do Windows > Segurança:
    Filtro para EventID 4656

Nenhum evento encontrado para esse filtro....

Por que é que?

informação relacionada