Disseram-me que habilitar a auditoria em um controlador de domínio impõe muita carga extra em um sistema para habilitá-lo em produção. Não sei nada sobre administração de servidores Windows, por isso não posso configurar facilmente um servidor sozinho e fazer testes de carga para comparar o uso de CPU, memória e disco entre um sistema com auditoria habilitada para um sistema sem ela habilitada, mas gostaria de saiba se isso é verdade, que impõe uma quantidade excessiva de carga extra para um servidor de produção. Então, há algum lugar que mencione quanta carga ele pode adicionar ou alguém tem conhecimento sobre quanta carga extra (%) ele adicionaria em um servidor ocupado?
Além disso, não é apenas uma boa prática registrar a origem das tentativas de login malsucedidas? Existe um padrão de segurança em algum lugar que recomende que isso seja ativado?
Desculpe, isso dá três perguntas.
Microsoft, criadores do AD DS, por exemplo.
O guia de operações do AD DS tem uma categoria inteira para protegê-lo, e os logins são essenciais para procurar sinais de comprometimento . Sucesso e fracasso.
Também de acordo com a Microsoft, uma configuração de auditoria de recomendações básicas é um pouco mais sofisticada do que apenas o logon. Não há necessidade de auditar todos os objetos, mas algumas coisas são interessantes.
Por exemplo, o rastreamento provável do processo de auditoria em um controlador de diretório é uma boa idéia, já que ninguém está autorizado a executar programas extras em tais hosts críticos para a segurança.
Um ambiente de teste é necessário para fazer testes funcionais. Construindo do zero, configurando, testando restauração de backup. Obtenha ajuda para configurar seu próprio playground do AD DS.
É improvável que um ambiente de teste esteja sujeito a cargas e desempenho semelhantes aos de produção. Em vez disso, o que você pode descobrir, o que é informação útil de auditoria e o que é ruído. E como quebrar as coisas.
Na produção, faça planejamento de capacidade e balanceamento de carga em vários hosts. Quando dimensionada para um tempo de resposta rápido e crescimento futuro, é improvável que a auditoria de eventos selecionados de alto valor seja um fardo enorme. Afinal, este não é um banco de dados muito grande.