Avançadas de configurações de diretiva de auditoria de segurança
Publicado: agosto de 2016
Aplicável a: Windows 7, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 R2, Windows Server 2012, Windows 8
Essa referência para profissionais de TI fornece informações sobre as configurações de diretiva de auditoria avançada estão disponíveis nos sistemas operacionais Windows e os eventos de auditoria que elas geram.
As configurações de diretiva de auditoria de 53 segurança em a configuração de diretiva de auditoria do Security Settings\Advanced pode ajudar sua organização a conformidade com importantes regras comerciais e de segurança de auditoria acompanhando atividades precisamente definidas, tais como:
Um administrador de grupo modificou configurações ou dados em servidores que contêm informações financeiras.
Um funcionário em um grupo definido acessou um arquivo importante.
A lista de controle de acesso do sistema (SACL) é aplicada a cada arquivo e pasta ou chave do registro em um computador ou compartilhamento de arquivos como uma garantia verificável contra acesso não detectado.
Você pode acessar essas configurações de diretiva de auditoria por meio de diretiva de segurança Local snap-in (secpol. msc) no computador local ou usando a diretiva de grupo.
Essas configurações de diretiva de auditoria avançada permitem que você selecione apenas os comportamentos que você deseja monitorar. Você pode excluir resultados de auditoria para comportamentos de pouca ou nenhuma preocupação para você ou comportamentos que criam um número excessivo de entradas de log. Além disso, como políticas de auditoria de segurança podem ser aplicadas usando objetos de diretiva de grupo do domínio, as configurações de diretiva de auditoria podem ser modificadas, testadas e implantadas para usuários e grupos com relativa simplicidade selecionados.
Quando as configurações de diretiva de auditoria de segurança avançada são configuradas, eventos são exibidos em computadores que executam as versões com suporte do sistema operacional Windows designado para o aplica-se a lista no início deste tópico, além disso, para Windows Server 2008 e Windows Vista.
As configurações de política em configuração de política de auditoria segurança Settings\Advanced estão disponíveis nas seguintes categorias:
Logon de conta
Configurações de diretivas nessa categoria podem ajudá-lo documento tenta autenticar dados da conta em um controlador de domínio ou em uma segurança contas Manager (SAM) local. Ao contrário das configurações de diretiva de Logon e Logoff e eventos, que roteiro tenta acessar um computador específico, as configurações e os eventos nessa categoria se concentrar no banco de dados que é usado. Essa categoria inclui as seguintes subcategorias:
Gerenciamento de contas
Configurações nesta categoria podem ser usadas para monitorar alterações em contas de computador e de usuário e grupos de diretiva de auditoria de segurança. Essa categoria inclui as seguintes subcategorias:
Acompanhamento detalhado
Configurações de política de segurança de rastreamento detalhadas e eventos de auditoria podem ser usados para monitorar as atividades de aplicativos individuais e os usuários do computador e também para entender como um computador está sendo usado. Essa categoria inclui as seguintes subcategorias:
Acesso DS
Configurações de diretiva de auditoria de segurança de acesso DS fornecem uma trilha de auditoria detalhada de tentativas de acessar e modificar objetos nos serviços de domínio Active Directory (AD DS). Esses eventos são registrados em controladores de domínio de auditoria. Essa categoria inclui as seguintes subcategorias:
Logon/Logoff
Configurações de política de segurança de logon/Logoff e eventos de auditoria permitem controlar tentativas de logon em um computador interativamente ou em uma rede. Esses eventos são particularmente úteis para controlar a atividade de usuário e a identificação de possíveis ataques em recursos de rede. Essa categoria inclui as seguintes subcategorias:
Acesso a objetos
Configurações de política de acesso do objeto e eventos de auditoria permitem que você controle as tentativas de acesso a objetos específicos ou tipos de objetos em um computador ou rede. Para auditar tentativas de acesso a um arquivo, pasta, chave do registro ou qualquer outro objeto, você deve habilitar a subcategoria de auditoria de acesso ao objeto apropriada para eventos de sucesso e/ou falha. Por exemplo, a subcategoria de sistema de arquivos deve ser habilitado a auditoria das operações de arquivo e a subcategoria Registro precisa ser habilitado para acessos do registro de auditoria.
Provando que essas diretivas de auditoria estão em vigor para um auditor externo é mais difícil. Não há nenhuma maneira fácil de verificar se as SACLs apropriadas estão definidas em todos os objetos herdados. Para resolver esse problema, consulte No text is specified for bookmark or legacy link '#BKMK_GlobalObjectAccess'..
Essa categoria inclui as seguintes subcategorias:
Alteração de diretiva
Eventos de auditoria de alteração de diretiva permitem que você acompanhar as alterações às políticas de segurança importantes em um sistema local ou de rede. Como as diretivas são normalmente estabelecidas pelos administradores para ajudar os recursos de rede segura, monitorar alterações ou tentativas de alterar essas diretivas pode ser um aspecto importante do gerenciamento de segurança para uma rede. Essa categoria inclui as seguintes subcategorias:
Uso de privilégios
São concedidas permissões em uma rede de usuários ou computadores concluir tarefas definidas. Configurações de política de segurança de uso de privilégios e eventos de auditoria permitem monitorar o uso de determinadas permissões em um ou mais sistemas. Essa categoria inclui as seguintes subcategorias:
System (sistema)
Configurações de diretiva de segurança do sistema e eventos de auditoria permitem controlar alterações no nível de sistema em um computador que não estão incluídas em outras categorias e que tem implicações de segurança potencial. Essa categoria inclui as seguintes subcategorias:
Acesso a objetos globais
Configurações de política de auditoria de acesso a objetos globais permitem que administradores definam computador acesso listas de controle sistema (SACLs) por tipo de objeto para o sistema de arquivos ou do registro. A SACL especificada é aplicada automaticamente a todos os objetos desse tipo.
Auditores será capazes de provar que todos os recursos do sistema está protegido por uma política de auditoria, exibindo o conteúdo das configurações de diretiva de auditoria de acesso a objetos globais. Por exemplo, se auditores ver uma configuração de política chamada "Rastrear todas as alterações feitas por administradores de grupo", sabem que essa política está em vigor.
Recurso SACLs também são úteis para cenários de diagnóstico. Por exemplo, configurando a auditoria de acesso a objeto Global política para todas as atividades de um usuário específico e habilitando a política controlar os eventos de "Acesso negado" para o sistema de arquivos ou do registro de log pode ajudar os administradores identificar rapidamente qual objeto em um sistema está negando o acesso de usuário.
Dica
Se um arquivo ou pasta SACL e uma configuração de diretiva de auditoria de acesso a objetos globais (ou uma único configuração SACL e uma configuração de diretiva de auditoria de acesso a objetos globais de registro) é configurado em um computador, a SACL efetiva será derivada da combinação entre o arquivo ou pasta SACL e a diretiva de auditoria de acesso a objetos globais. Isso significa que um evento de auditoria é gerado se o arquivo ou pasta SACL ou a diretiva de auditoria de acesso a objeto Global corresponde a uma atividade.
Essa categoria inclui as seguintes subcategorias: