Monitorar o Active Directory em busca de sinais de comprometimento

Aplica-se a: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 e Windows Server 2012

Número da lei cinco: a vigilância eternas é o preço da segurança. - -

Um sistema de monitoramento de log de eventos sólido é uma parte crucial de qualquer design de Active Directory seguro. Muitos comprometimentos de segurança de computador poderiam ser descobertos no início do evento se as vítimas imprometessem o monitoramento e o alerta do log de eventos apropriado. Os relatórios independentes têm muito suporte para essa conclusão. Por exemplo, o relatório de violação de dados 2009 Verizon informa:

"A ineficiência aparente do monitoramento de eventos e da análise de log continua sendo um pouco de uma enigma. A oportunidade de detecção está lá; os investigadores observaram que 66 por cento das vítimas tinham evidências suficientes disponíveis em seus logs para descobrir que a violação tinha sido mais empenhada em analisar esses recursos. "

Essa falta de monitoramento de logs de eventos ativos continua sendo um ponto fraco consistente em muitos planos de defesa de segurança de empresas. O relatório de violações de dados 2012 Verizon descobriu que, embora 85% das violações levasse várias semanas para ser notado, 84% das vítimas tinha evidências da violação em seus logs de eventos.

Windows política de auditoria

Veja a seguir links para o blog de suporte do Microsoft Official Enterprise. O conteúdo desses Blogs fornece conselhos, orientações e recomendações sobre auditoria que ajudarão você a aprimorar a segurança de sua infraestrutura de Active Directory e é um recurso valioso ao criar uma diretiva de auditoria.

os links a seguir fornecem informações sobre os aprimoramentos para Windows auditoria no Windows 8 e Windows Server 2012 e informações sobre AD DS auditoria no Windows Server 2008.

Windows categorias de auditoria

antes do Windows Vista e do Windows Server 2008, Windows tinha apenas nove categorias de diretiva de auditoria de log de eventos:

  • Eventos de logon de conta
  • Gerenciamento de Contas
  • Acesso ao serviço de diretório
  • Eventos de logon
  • Acesso a objetos
  • Alteração da Política
  • Uso de Privilégios
  • Controle de processos
  • Eventos do sistema

Essas nove categorias de auditoria tradicionais compõem uma diretiva de auditoria. Cada categoria de política de auditoria pode ser habilitada para eventos de êxito, falha ou êxito e falha. Suas descrições são incluídas na próxima seção.

Descrições da categoria da política de auditoria

As categorias de política de auditoria habilitam os seguintes tipos de mensagem de log de eventos.

Eventos de logon de conta de auditoria

Relata cada instância de uma entidade de segurança (por exemplo, usuário, computador ou conta de serviço) que está fazendo logon ou logoff de um computador no qual outro computador é usado para validar a conta. Os eventos de logon de conta são gerados quando uma conta de entidade de segurança de domínio é autenticada em um controlador de domínio. A autenticação de um usuário local em um computador local gera um evento de logon que é registrado no log de segurança local. Nenhum evento de logoff de conta é registrado.

essa categoria gera muitos "ruídos" porque Windows está constantemente tendo contas de logon e logoff dos computadores locais e remotos durante o curso de negócios normal. Ainda assim, qualquer plano de segurança deve incluir o êxito e a falha dessa categoria de auditoria.

Gerenciamento de conta de auditoria

Essa configuração de auditoria determina se o gerenciamento de usuários e grupos deve ser acompanhado. Por exemplo, os usuários e grupos devem ser controlados quando uma conta de usuário ou computador, um grupo de segurança ou um grupo de distribuição é criado, alterado ou excluído; Quando uma conta de usuário ou computador é renomeada, desabilitada ou habilitada; ou quando uma senha de usuário ou computador é alterada. Um evento pode ser gerado para usuários ou grupos que são adicionados ou removidos de outros grupos.

Auditoria de acesso do serviço de diretório

Essa configuração de política determina se deve-se auditar o acesso de entidade de segurança a um objeto Active Directory que tenha sua própria SACL (lista de controle de acesso) do sistema especificada. Em geral, essa categoria só deve ser habilitada em controladores de domínio. Quando habilitada, essa configuração gera muitos "ruídos".

Eventos de logon de auditoria

Os eventos de logon são gerados quando uma entidade de segurança local é autenticada em um computador local. Eventos de logon registra logons de domínio que ocorrem no computador local. Os eventos de logoff da conta não são gerados. Quando habilitado, os eventos de logon geram muitos "ruídos", mas devem ser habilitados por padrão em qualquer plano de auditoria de segurança.

Auditoria de acesso a objetos

O acesso ao objeto pode gerar eventos quando os objetos definidos posteriormente com auditoria habilitada são acessados (por exemplo, aberto, lido, renomeado, excluído ou fechado). Depois que a categoria de auditoria principal estiver habilitada, o administrador deverá definir individualmente quais objetos terão a auditoria habilitada. muitos objetos do sistema Windows vêm com a auditoria habilitada, portanto, habilitar essa categoria normalmente começará a gerar eventos antes que o administrador tenha definido qualquer um.

Essa categoria é muito "ruidosa" e gerará cinco a dez eventos para cada acesso de objeto. Pode ser difícil para os administradores novos na auditoria de objetos obter informações úteis. Ele só deve ser habilitado quando necessário.

Alteração de política de auditoria

essa configuração de política determina se deve auditar cada incidência de uma alteração nas políticas de atribuição de direitos do usuário, Windows políticas de Firewall, políticas de confiança ou alterações na política de auditoria. Essa categoria deve ser habilitada em todos os computadores. Ele gera muito pouco ruído.

Uso de privilégios de auditoria

há dezenas de direitos de usuário e permissões no Windows (por exemplo, fazer Logon como um trabalho em lotes e agir como parte do sistema operacional). Essa configuração de política determina se deve auditar cada instância de uma entidade de segurança, exercitando um direito de usuário ou privilégio. A habilitação dessa categoria resulta em muitos "ruído", mas pode ser útil para rastrear contas de entidade de segurança usando privilégios elevados.

Controle de processo de auditoria

Essa configuração de política determina se é para auditar informações detalhadas de controle de processos para eventos como ativação do programa, saída do processo, tratamento de duplicação e acesso indireto a objetos. Ele é útil para controlar usuários mal-intencionados e os programas que eles usam.

Habilitar o controle de processo de auditoria gera um grande número de eventos, portanto, normalmente ele é definido como sem auditoria. No entanto, essa configuração pode fornecer um grande benefício durante uma resposta a incidentes do log detalhado dos processos iniciados e a hora em que foram iniciadas. Para controladores de domínio e outros servidores de infraestrutura de função única, essa categoria pode ser ativada com segurança sempre. Os servidores de função única não geram muito tráfego de controle de processos durante o curso normal de suas tarefas. Assim, eles podem ser habilitados para capturar eventos não autorizados, se eles ocorrerem.

Auditoria de eventos do sistema

Os eventos do sistema são quase uma categoria genérica catch-all, registrando vários eventos que afetam o computador, a segurança do sistema ou o log de segurança. Ele inclui eventos para desligamentos e reinicializações do computador, falhas de energia, alterações de horário do sistema, inicializações do pacote de autenticação, limpezas do log de auditoria, problemas de representação e um host de outros eventos gerais. Em geral, a habilitação dessa categoria de auditoria gera uma grande quantidade de "ruído", mas gera eventos muito úteis suficientes que é difícil recomendar não habilitá-la.

Políticas de auditoria avançadas

a partir do Windows Vista e do Windows Server 2008, a Microsoft melhorou a maneira como as seleções de categoria de log de eventos podem ser feitas pela criação de subcategorias em cada categoria de auditoria principal. As subcategorias permitem que a auditoria seja muito mais granular do que poderia, caso contrário, usando as categorias principais. Usando subcategorias, você pode habilitar apenas partes de uma categoria principal específica e ignorar a geração de eventos para os quais você não tem uso. Cada subcategoria de política de auditoria pode ser habilitada para eventos de Êxito, Falha ou Êxito e Falha.

para listar todas as subcategorias de auditoria disponíveis, examine o contêiner política de auditoria avançada em um objeto Política de Grupo ou digite o seguinte em um prompt de comando em qualquer computador que esteja executando o Windows Server 2012, Windows Server 2008 R2 ou Windows Server 2008, Windows 8, Windows 7 ou Windows Vista

auditpol /list /subcategory:*

para obter uma lista de subcategorias de auditoria configuradas no momento em um computador executando Windows Server 2012, Windows Server 2008 R2 ou Windows 2008, digite o seguinte:

auditpol /get /category:*

A captura de tela a seguir mostra um exemplo de auditpol.exe listando a política de auditoria atual.

Screenshot that shows an example of auditpol.exe listing the current audit policy.

Observação

Política de Grupo nem sempre relata com precisão o status de todas as políticas de auditoria habilitadas, enquanto auditpol.exe. consulte obtendo a política de auditoria efetiva no Windows 7 e 2008 R2 para obter mais detalhes.

Cada categoria principal tem várias subcategorias. Abaixo está uma lista de categorias, suas subcategorias e uma descrição de suas funções.

Auditando descrições de subcategorias

As subcategorias de política de auditoria habilitam os seguintes tipos de mensagem do log de eventos:

Logon da conta

Validação de credencial

Essa subcategoria relata os resultados de testes de validação em credenciais enviadas para uma solicitação de logon de conta de usuário. Esses eventos ocorrem no computador autoritativo para as credenciais. Para contas de domínio, o controlador de domínio é autoritativo, enquanto para contas locais, o computador local é autoritativo.

Em ambientes de domínio, a maioria dos eventos de logon da conta é registrada no log de segurança dos controladores de domínio autoritativos para as contas de domínio. No entanto, esses eventos podem ocorrer em outros computadores da organização quando contas locais são usadas para fazer logoff.

Operações de tíquete de serviço Kerberos

Essa subcategoria relata eventos gerados por processos de solicitação de tíquete Kerberos no controlador de domínio autoritativo para a conta de domínio.

Serviço de Autenticação Kerberos

Essa subcategoria relata eventos gerados pelo serviço de autenticação Kerberos. Esses eventos ocorrem no computador autoritativo para as credenciais.

Outros eventos de logon de conta

Essa subcategoria relata os eventos que ocorrem em resposta às credenciais enviadas para uma solicitação de logon da conta de usuário que não estão relacionadas à validação de credenciais ou tíquetes Kerberos. Esses eventos ocorrem no computador autoritativo para as credenciais. Para contas de domínio, o controlador de domínio é autoritativo, enquanto para contas locais, o computador local é autoritativo.

Em ambientes de domínio, a maioria dos eventos de logon da conta é registrada no log de segurança dos controladores de domínio autoritativos para as contas de domínio. No entanto, esses eventos podem ocorrer em outros computadores da organização quando contas locais são usadas para fazer logoff. Os exemplos podem incluir o seguinte:

  • Serviços de Área de Trabalho Remota desconectações de sessão
  • Novas Serviços de Área de Trabalho Remota sessão
  • Bloqueio e desbloqueio de uma estação de trabalho
  • Invocando uma economia de tela
  • Descartando uma economia de tela
  • Detecção de um ataque de reprodução Kerberos, no qual uma solicitação Kerberos com informações idênticas é recebida duas vezes
  • Acesso a uma rede sem fio concedida a uma conta de usuário ou computador
  • Acesso a uma rede com fio 802.1x concedida a uma conta de usuário ou computador

Gerenciamento de Contas

Gerenciamento de contas de usuário

Essa subcategoria relata cada evento de gerenciamento de conta de usuário, como quando uma conta de usuário é criada, alterada ou excluída; uma conta de usuário é renomeada, desabilitada ou habilitada; ou uma senha é definida ou alterada. Se essa configuração de política de auditoria estiver habilitada, os administradores poderão acompanhar eventos para detectar a criação mal-intencionada, acidental e autorizada de contas de usuário.

Gerenciamento de Conta de Computador

Essa subcategoria relata cada evento de gerenciamento de conta de computador, como quando uma conta de computador é criada, alterada, excluída, renomeada, desabilitada ou habilitada.

Gerenciamento de Grupo de Segurança

Essa subcategoria relata cada evento de gerenciamento de grupo de segurança, como quando um grupo de segurança é criado, alterado ou excluído ou quando um membro é adicionado ou removido de um grupo de segurança. Se essa configuração de política de auditoria estiver habilitada, os administradores poderão acompanhar eventos para detectar a criação mal-intencionada, acidental e autorizada de contas de grupo de segurança.

Gerenciamento de Grupos de Distribuição

Essa subcategoria relata cada evento de gerenciamento de grupo de distribuição, como quando um grupo de distribuição é criado, alterado ou excluído ou quando um membro é adicionado ou removido de um grupo de distribuição. Se essa configuração de política de auditoria estiver habilitada, os administradores poderão acompanhar eventos para detectar a criação mal-intencionada, acidental e autorizada de contas de grupo.

Gerenciamento de Grupo de Aplicativos

Essa subcategoria relata cada evento de gerenciamento de grupo de aplicativos em um computador, como quando um grupo de aplicativos é criado, alterado ou excluído ou quando um membro é adicionado ou removido de um grupo de aplicativos. Se essa configuração de política de auditoria estiver habilitada, os administradores poderão acompanhar eventos para detectar a criação mal-intencionada, acidental e autorizada de contas de grupo de aplicativos.

Outros eventos de gerenciamento de conta

Essa subcategoria relata outros eventos de gerenciamento de conta.

Acompanhamento de processo detalhado

Criação de processo

Essa subcategoria relata a criação de um processo e o nome do usuário ou programa que o criou.

Encerramento do processo

Essa subcategoria relata quando um processo é encerrado.

Atividade DPAPI

Essa subcategoria relata chamadas criptografadas ou descriptografadas na DPAPI (interface de programação de aplicativo de proteção de dados). DPAPI é usado para proteger informações secretas, como senha armazenada e informações de chave.

Eventos RPC

Essa subcategoria relata eventos de conexão RPC (chamada de procedimento remoto).

Acesso ao Serviço de Diretório

Acesso ao Serviço de Diretório

Essa subcategoria relata quando um objeto AD DS é acessado. Somente objetos com SACLs configurados fazem com que os eventos de auditoria sejam gerados e somente quando eles são acessados de maneira que corresponde às entradas SACL. Esses eventos são semelhantes aos eventos de acesso ao serviço de diretório em versões anteriores do Windows Server. Essa subcategoria se aplica somente a controladores de domínio.

Alterações de serviço de diretório

Essa subcategoria relata alterações em objetos AD DS. Os tipos de alterações relatadas são operações de criação, modificação, movimentação e indefinir que são executadas em um objeto . A auditoria de alteração do serviço de diretório, quando apropriado, indica os valores antigos e novos das propriedades alteradas dos objetos que foram alterados. Somente objetos com SACLs fazem com que eventos de auditoria sejam gerados e somente quando eles são acessados de maneira que corresponde às suas entradas SACL. Alguns objetos e propriedades não fazem com que os eventos de auditoria sejam gerados devido a configurações na classe de objeto no esquema. Essa subcategoria se aplica somente a controladores de domínio.

Replicação do Serviço de Diretório

Essa subcategoria relata quando a replicação entre dois controladores de domínio começa e termina.

Replicação detalhada do serviço de diretório

Essa subcategoria relata informações detalhadas sobre as informações replicadas entre controladores de domínio. Esses eventos podem ser muito altos em volume.

Logon/Logoff

Logon

Essa subcategoria relata quando um usuário tenta fazer logoff no sistema. Esses eventos ocorrem no computador acessado. Para logons interativos, a geração desses eventos ocorre no computador que está conectado. Se ocorrer um logon de rede para acessar um compartilhamento, esses eventos serão gerados no computador que hospeda o recurso acessado. Se essa configuração estiver configurada como Sem auditoria,será difícil ou impossível determinar qual usuário acessou ou tentou acessar computadores da organização.

Servidor de Políticas de Rede

Essa subcategoria relata eventos gerados por solicitações de acesso de usuário RADIUS (IAS) e NAP (Proteção de Acesso à Rede). Essas solicitações podem ser Conceder, Negar, Descartar,Quarentena, Bloqueare Desbloquear. A auditoria dessa configuração resultará em um volume médio ou alto de registros em servidores NPS e IAS.

Modo Principal do IPsec

Essa subcategoria relata os resultados do protocolo IKE (Internet Key Exchange) e protocolo Authenticated IP (AuthIP) durante as negociações do Modo Principal.

Modo Estendido IPsec

Essa subcategoria relata os resultados da AuthIP durante as negociações do Modo Estendido.

Outros eventos de logon/logoff

Essa subcategoria relata outros eventos relacionados a logon e logoff, como se a sessão Serviços de Área de Trabalho Remota desconectar e reconectar, usar RunAs para executar processos em uma conta diferente e bloquear e desbloquear uma estação de trabalho.

Logoff

Essa subcategoria relata quando um usuário faz o logs do sistema. Esses eventos ocorrem no computador acessado. Para logons interativos, a geração desses eventos ocorre no computador que está conectado. Se ocorrer um logon de rede para acessar um compartilhamento, esses eventos serão gerados no computador que hospeda o recurso acessado. Se essa configuração estiver configurada como Sem auditoria,será difícil ou impossível determinar qual usuário acessou ou tentou acessar computadores da organização.

Bloqueio de conta

Essa subcategoria relata quando a conta de um usuário é bloqueada como resultado de muitas tentativas de logon com falha.

Modo rápido do IPsec

Essa subcategoria relata os resultados do protocolo IKE e do AuthIP durante negociações de modo rápido.

Logon especial

Essa subcategoria informa quando um logon especial é usado. Um logon especial é um logon que tem privilégios equivalentes de administrador e pode ser usado para elevar um processo a um nível mais alto.

Alteração da Política

Auditoria de alteração de política

Essa subcategoria relata alterações na política de auditoria, incluindo alterações de SACL.

Alteração da política de autenticação

Essa subcategoria relata alterações na política de autenticação.

Alteração da política de autorização

Essa subcategoria relata alterações na política de autorização, incluindo alterações de DACL (permissões).

Alteração da política de Rule-Level de MPSSVC

Essa subcategoria relata as alterações nas regras de política usadas pelo serviço de proteção da Microsoft (MPSSVC.exe). Esse serviço é usado pelo Firewall do Windows.

Filtrando alteração de política da plataforma

Essa subcategoria relata a adição e a remoção de objetos do WFP, incluindo filtros de inicialização. Esses eventos podem ser muito altos no volume.

Outros eventos de alteração de política

Essa subcategoria relata outros tipos de alterações de política de segurança, como a configuração do Trusted Platform Module (TPM) ou provedores criptográficos.

Uso de Privilégios

Uso de privilégios confidenciais

Essa subcategoria relata quando uma conta de usuário ou serviço usa um privilégio confidencial. Um privilégio confidencial inclui os seguintes direitos de usuário: atuar como parte do sistema operacional, fazer backup de arquivos e diretórios, criar um objeto de token, depurar programas, habilitar contas de computador e usuário para serem confiáveis para delegação, gerar auditorias de segurança, representar um cliente após a autenticação, carregar e descarregar drivers de dispositivo, gerenciar auditoria e log de segurança, modificar os valores de ambiente de firmware Substitua um token de nível de processo, restaure arquivos e diretórios e aproprie-se de arquivos ou outros objetos. A auditoria dessa subcategoria criará um alto volume de eventos.

Uso de privilégios não confidenciais

Essa subcategoria relata quando uma conta de usuário ou serviço usa um privilégio não confidencial. Um privilégio não confidencial inclui os seguintes direitos de usuário: acessar o Gerenciador de credenciais como um chamador confiável, acessar este computador da rede, adicionar estações de trabalho ao domínio, ajustar cotas de memória para um processo, permitir logon localmente, permitir logon por meio de Serviços de Área de Trabalho Remota, ignorar a verificação de percurso, alterar a hora do sistema, criar um arquivo de paginação, criar objetos globais, criar objetos criar links simbólicos, negar acesso a este computador da rede, negar logon como um trabalho em lotes, negar logon como um serviço, negar logon localmente, negar logon por meio de Serviços de Área de Trabalho Remota, forçar o desligamento de um sistema remoto, aumentar o conjunto de trabalho do processo, aumentar a prioridade de agendamento, bloquear páginas na memória, fazer logon como um trabalho em lotes, Faça logon como um serviço, modifique um rótulo de objeto, execute tarefas de manutenção de volume, processo de perfil único, desempenho do sistema de perfil, remova o computador da estação de encaixe, desligue o sistema e sincronize os dados do serviço de diretório. A auditoria dessa subcategoria criará um grande volume de eventos.

Outros eventos de uso de privilégio

Essa configuração de política de segurança não está sendo usada no momento.

Acesso a objetos

Sistema de Arquivos

Essa subcategoria relata quando os objetos do sistema de arquivos são acessados. Somente objetos do sistema de arquivos com SACLs causam a geração de eventos de auditoria e somente quando eles são acessados de maneira correspondente às entradas da SACL. Por si só, essa configuração de política não causará a auditoria de nenhum evento. Ele determina se é necessário auditar o evento de um usuário que acessa um objeto do sistema de arquivos que tem uma SACL (lista de controle de acesso) do sistema especificada, permitindo que a auditoria ocorra com eficiência.

Se a configuração de acesso ao objeto de auditoria estiver configurada como êxito, uma entrada de auditoria será gerada cada vez que um usuário acessar com êxito um objeto com uma SACL especificada. Se essa configuração de política estiver configurada como falha, uma entrada de auditoria será gerada cada vez que um usuário falhar em uma tentativa de acessar um objeto com uma SACL especificada.

Registro

Essa subcategoria relata quando os objetos do registro são acessados. Somente objetos do registro com SACLs causam a geração de eventos de auditoria e somente quando eles são acessados de maneira correspondente às entradas da SACL. Por si só, essa configuração de política não causará a auditoria de nenhum evento.

Objeto kernel

Essa subcategoria relata quando objetos kernel, como processos e mutexes, são acessados. Somente objetos kernel com SACLs causam a geração de eventos de auditoria e somente quando eles são acessados de maneira correspondente às entradas da SACL. Normalmente, os objetos kernel só recebem SACLs se as opções de auditoria AuditBaseObjects ou AuditBaseDirectories estiverem habilitadas.

SAM

Essa subcategoria relata quando os objetos de banco de dados de autenticação SAM (Gerenciador de contas de segurança) locais são acessados.

Serviços de certificação

Essa subcategoria relata quando as operações de serviços de certificação são executadas.

Gerado pelo aplicativo

essa subcategoria relata quando os aplicativos tentam gerar eventos de auditoria usando o Windows as APIs (interfaces de programação de aplicativo) de auditoria.

Manipulação de identificador

Essa subcategoria relata quando um identificador para um objeto é aberto ou fechado. Somente objetos com SACLs fazem com que esses eventos sejam gerados e somente se a operação de identificador tentada corresponder às entradas da SACL. Os eventos de manipulação de identificadores são gerados somente para tipos de objeto em que a subcategoria de acesso a objeto correspondente está habilitada (por exemplo, sistema de arquivos ou registro).

Comp. de Arquivos

Essa subcategoria relata quando um compartilhamento de arquivos é acessado. Por si só, essa configuração de política não causará a auditoria de nenhum evento. Ele determina se deve-se auditar o evento de um usuário que acessa um objeto de compartilhamento de arquivo que tem uma SACL (lista de controle de acesso) do sistema especificada, permitindo que a auditoria ocorra com eficiência.

Remoção de pacote de plataforma de filtragem

essa subcategoria relata quando os pacotes são descartados pela WFP (plataforma de filtragem de Windows). Esses eventos podem ser muito altos no volume.

Conexão da plataforma de filtragem

Essa subcategoria relata quando as conexões são permitidas ou bloqueadas pela WFP. Esses eventos podem ser de alto volume.

Outros eventos de acesso de objeto

Essa subcategoria relata outros eventos relacionados ao acesso a objetos, como Agendador de Tarefas trabalhos e objetos COM+.

Sistema

Alteração do estado de segurança

Essa subcategoria relata as alterações no estado de segurança do sistema, como quando o subsistema de segurança é iniciado e interrompido.

Extensão do sistema de segurança

Essa subcategoria relata o carregamento do código de extensão, como pacotes de autenticação pelo subsistema de segurança.

Integridade do Sistema

Essa subcategoria relata violações de integridade do subsistema de segurança.

Driver IPsec

Essa subcategoria relata as atividades do driver de IPsec (Internet Protocol Security).

Outros eventos do sistema

Essa subcategoria relata outros eventos do sistema.

Para obter mais informações sobre as descrições de subcategorias, consulte a ferramenta Microsoft Security Compliance Manager.

Cada organização deve revisar as categorias e subcategorias cobertas anteriormente e habilitar as que melhor se ajustam ao seu ambiente. As alterações na política de auditoria devem ser sempre testadas antes da implantação em um ambiente de produção.

configurando Windows política de auditoria

Windows política de auditoria pode ser definida usando políticas de grupo, auditpol.exe, APIs ou edições do registro. Os métodos recomendados para configurar a política de auditoria para a maioria das empresas são Política de Grupo ou auditpol.exe. Definir a diretiva de auditoria de um sistema requer permissões de conta de nível de administrador ou permissões delegadas apropriadas.

Observação

O privilégio gerenciar auditoria e log de segurança deve ser fornecido a entidades de segurança (os administradores têm isso por padrão) para permitir a modificação de opções de auditoria de acesso a objetos de recursos individuais, como arquivos, Active Directory objetos e chaves do registro.

configurando Windows política de auditoria usando Política de Grupo

para definir a política de auditoria usando políticas de grupo, configure as categorias de auditoria apropriadas localizadas em configuração do computador \ Windows Configurações política do Configurações \local Policies\Audit (consulte a captura de tela a seguir para obter um exemplo do Editor de Política de Grupo Local (gpedit. msc)). Cada categoria de política de auditoria pode ser habilitada para eventos de êxito, falhaou êxito e falha.

monitoring AD

A política de auditoria avançada pode ser definida usando Active Directory ou políticas de grupo local. para definir a política de auditoria avançada, configure as subcategorias apropriadas localizadas em configuração do computador \ Windows Configurações \Security Configurações política de auditoria do \Advanced (consulte a captura de tela a seguir para obter um exemplo do Editor de Política de Grupo Local (gpedit. msc)). Cada subcategoria de diretiva de auditoria pode ser habilitada para eventos de êxito, falhaou êxito e falha .

Screenshot that shows an example from the Local Group Policy Editor (gpedit.msc).

configurando Windows política de auditoria usando Auditpol.exe

Auditpol.exe (para configuração Windows política de auditoria) foi introduzida no Windows Server 2008 e Windows Vista. inicialmente, somente auditpol.exe pode ser usado para definir a política de auditoria avançada, mas Política de Grupo pode ser usado em Windows Server 2012, Windows server 2008 R2 ou Windows server 2008, Windows 8 e Windows 7.

Auditpol.exe é um utilitário de linha de comando. A sintaxe dela é a seguinte:

auditpol /set /<Category|Subcategory>:<audit category> /<success|failure:> /<enable|disable>

Auditpol.exe exemplos de sintaxe:

auditpol /set /subcategory:"user account management" /success:enable /failure:enable

auditpol /set /subcategory:"logon" /success:enable /failure:enable

auditpol /set /subcategory:"IPSEC Main Mode" /failure:enable

Observação

Auditpol.exe a Política de Auditoria Avançada localmente. Se a política local estiver em conflito com o Active Directory ou Política de Grupo local, Política de Grupo configurações geralmente se sobressiem auditpol.exe configurações. Quando existirem vários conflitos de política local ou de grupo, apenas uma política será predominante (ou seja, substituir). As políticas de auditoria não serão mescladas.

Auditoria de scriptpol

A Microsoft fornece um script de exemplo para administradores que querem definir a Política de Auditoria Avançada usando um script em vez de digitar manualmente em cada auditpol.exe comando.

Nota Política de Grupo sempre relata com precisão o status de todas as políticas de auditoria habilitadas, enquanto auditpol.exe faz. Confira Obter a Política de Auditoria Efetiva no Windows 7 e Windows 2008 R2 para obter mais detalhes.

Outros comandos auditpol

Auditpol.exe pode ser usado para salvar e restaurar uma política de auditoria local e para exibir outros comandos relacionados à auditoria. Aqui estão os outros comandos auditpol.

auditpol /clear – Usado para limpar e redefinir políticas de auditoria local

auditpol /backup /file:<filename> – Usado para fazer o back-up de uma política de auditoria local atual em um arquivo binário

auditpol /restore /file:<filename> – Usado para importar um arquivo de política de auditoria salvo anteriormente para uma política de auditoria local

auditpol /<get/set> /option:<CrashOnAuditFail> /<enable/disable> - Se essa configuração de política de auditoria estiver habilitada, ela faz com que o sistema pare imediatamente (com STOP: C0000244 {Audit Failed} message) se uma auditoria de segurança não puder ser registrada por qualquer motivo. Normalmente, um evento não é registrado quando o log de auditoria de segurança está cheio e o método de retenção especificado para o log de segurança é Não Substituir Eventos ou Substituir Eventos por Dias. Normalmente, ela só é habilitada por ambientes que precisam de maior garantia de que o log de segurança está registrando em log. Se habilitada, os administradores deverão observar de perto o tamanho do log de segurança e girar os logs conforme necessário. Ele também pode ser definido com Política de Grupo modificando a opção de segurança Audit: desligar o sistema imediatamente se não for possível registrar auditorias de segurança (default=disabled).

auditpol /<get/set> /option:<AuditBaseObjects> /<enable/disable> – Essa configuração de política de auditoria determina se é preciso auditar o acesso de objetos globais do sistema. Se essa política estiver habilitada, ela faz com que objetos do sistema, como mutexes, eventos, semáforos e dispositivos DOS, sejam criados com uma SACL (lista de controle de acesso do sistema) padrão. A maioria dos administradores considera a auditoria de objetos globais do sistema como muito "barulhento" e eles só o habilitam se há suspeita de invasão mal-intencionada. Somente objetos nomeados receberão uma SACL. Se a política de auditoria de acesso a objeto de auditoria (ou subcategoria de auditoria de Objeto kernel) também estiver habilitada, o acesso a esses objetos do sistema será auditado. Ao definir essa configuração de segurança, as alterações não terão efeito até que você reinicie Windows. Essa política também pode ser definida com Política de Grupo modificando a opção de segurança Auditar o acesso de objetos globais do sistema (default=disabled).

auditpol /<get/set> /option:<AuditBaseDirectories> /<enable/disable> – Essa configuração de política de auditoria especifica que objetos de kernel nomeados (como mutexes e semáforos) devem receber SACLs quando eles são criados. AuditBaseDirectories afeta objetos de contêiner, enquanto AuditBaseObjects afeta objetos que não podem conter outros objetos.

auditpol /<get/set> /option:<FullPrivilegeAuditing> /<enable/disable> - Essa configuração de política de auditoria especifica se o cliente gera um evento quando um ou mais desses privilégios são atribuídos a um token de segurança do usuário: AssignPrimaryTokenPrivilege, AuditPrivilege, BackupPrivilege, CreateTokenPrivilege, DebugPrivilege, EnableDelegationPrivilege, ImpersonatePrivilege, LoadDriverPrivilege, RestorePrivilege, SecurityPrivilege, SystemEnvironmentPrivilege, TakeOwnershipPrivilege e TcbPrivilege. Se essa opção não estiver habilitada (default=Disabled), os privilégios BackupPrivilege e RestorePrivilege não serão registrados. A habilitação dessa opção pode tornar o log de segurança extremamente barulhento (às vezes, centenas de eventos por segundo) durante uma operação de backup. Essa política também pode ser definida com Política de Grupo modificando a opção de segurança Audit: Auditaro uso do privilégio backup e restauração .

Observação

Algumas informações fornecidas aqui foram retiradas do Tipo de Opção de Auditoria da Microsoft e da ferramenta Microsoft SCM.

Impor auditoria tradicional ou auditoria avançada

No Windows Server 2012, Windows Server 2008 R2, Windows Server 2008, Windows 8, Windows 7 e Windows Vista, os administradores podem optar por habilitar as nove categorias tradicionais ou usar as subcategorias. É uma opção binária que deve ser feita em cada Windows sistema. As categorias principais podem ser habilitadas ou as subcategorias, não podem ser ambas.

Para impedir que a política de categoria tradicional herdada substitua as subcategorias da política de auditoria, você deve habilitar a configuração de subcategoria Forçar política de auditoria (Windows Vista ou posterior) para substituir a configuração de política de categoria de política de auditoria localizada em Configuração do Computador\Windows Configurações\Segurança Configurações \Políticas Locais\Opções de Segurança.

Recomendamos que as subcategorias sejam habilitadas e configuradas em vez das nove categorias principais. Isso requer que uma configuração Política de Grupo seja habilitada (para permitir que subcategorias substituam as categorias de auditoria) juntamente com a configuração das diferentes subcategorias que dão suporte a políticas de auditoria.

As subcategorias de auditoria podem ser configuradas usando vários métodos, incluindo Política de Grupo e o programa de linha de comando, auditpol.exe.

Próximas etapas