Monitorar o Active Directory em busca de sinais de comprometimento
Aplica-se a: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 e Windows Server 2012
Lei Número Cinco: vigilância eterna é o preço da segurança. - Dez leis imutáveis da administração de segurança
Um sistema de monitoramento de log de eventos sólido é uma parte crucial de qualquer design seguro do Active Directory. Muitos comprometimentos de segurança do computador podem ser descobertos no início do evento se as vítimas aplicaram o monitoramento e os alertas apropriados do log de eventos. Relatórios independentes há muito tempo apoiam essa conclusão. Por exemplo, o Relatório de Violação de Dados da Verizon de 2009 afirma:
"A aparente ineficácia do monitoramento de eventos e da análise de logs continua sendo um enigma. A oportunidade de detecção existe. Os investigadores observaram que 66% das vítimas tinham evidências suficientes disponíveis nos logs para descobrir que a violação tinha sido mais diligente na análise desses recursos."
Essa falta de monitoramento dos logs de eventos ativos continua sendo uma fraqueza consistente nos planos de defesa de segurança de muitas empresas. O Relatório de Violação de Dados da Verizon de 2012 descobriu que, embora 85% das violações tenham levado várias semanas para serem observadas, 84% das vítimas tinham evidências da violação nos logs de eventos.
Política de auditoria do Windows
Veja a seguir links para o blog de suporte corporativo oficial da Microsoft. O conteúdo desses blogs fornece orientações, diretrizes e recomendações sobre auditoria para ajudar você a aprimorar a segurança da sua infraestrutura do Active Directory e são um recurso inestimável na criação de uma política de auditoria.
- A auditoria de acesso a objetos globais é mágica – Descreve um mecanismo de controle, chamado Configuração Avançada de Política de Auditoria, que foi adicionado ao Windows 7 e ao Windows Server 2008 R2 e permite definir quais tipos de dados você deseja auditar com facilidade sem precisar se esforçar para gerenciar os scripts e o auditpol.exe.
- Apresentação das alterações de auditoria no Windows 2008 – Apresenta as alterações de auditoria feitas no Windows Server 2008.
- Truques de auditoria interessantes no Vista e no 2008 – Explica os recursos interessantes de auditoria do Windows Vista e do Windows Server 2008 que podem ser usados para solucionar problemas ou ver o que está acontecendo no seu ambiente.
- Guia completo para auditoria no Windows Server 2008 e no Windows Vista – contém uma compilação de recursos de auditoria e informações contidas no Windows Server 2008 e no Windows Vista.
Os links a seguir fornecem informações sobre os aprimoramentos na auditoria do Windows no Windows 8 e no Windows Server 2012, bem como informações sobre a auditoria do AD DS no Windows Server 2008.
- Novidades da auditoria de segurança – Fornece uma visão geral dos novos recursos de auditoria de segurança no Windows 8 e no Windows Server 2012.
- Guia passo a passo de auditoria do AD DS – descreve o novo recurso de auditoria do AD DS (Active Directory Domain Services) no Windows Server 2008. Além disso, fornece procedimentos para implementar esse novo recurso.
Categorias de Auditoria do Windows
Antes do Windows Vista e do Windows Server 2008, o Windows tinha apenas nove categorias de política de auditoria de log de eventos:
- Eventos de logon de conta
- Gerenciamento de Contas
- Acesso do Serviço de Diretório
- Eventos de logon
- Acesso a objetos
- Alteração da Política
- Uso de Privilégios
- Acompanhamento de processos
- Eventos do sistema
Essas nove categorias de auditoria tradicionais formam uma política de auditoria. Cada categoria de política de auditoria pode ser habilitada para eventos de Sucesso, Falha ou Sucesso e Falha. As descrições deles estão incluídas na próxima seção.
Descrições da categoria de política de auditoria
As categorias de política de auditoria habilitam os tipos de mensagem de log de eventos a seguir.
Auditar eventos de logon de conta
Os Eventos de Logon de Conta de Auditoria relatam cada instância de uma entidade de segurança (por exemplo, usuário, computador ou conta de serviço) que está fazendo logon ou logoff de um computador quando outro computador é usado para validar a conta. Os eventos de logon da conta são gerados quando uma conta de entidade de segurança de domínio é autenticada em um controlador de domínio. A autenticação de um usuário local em um computador local gera um evento de logon registrado no log de segurança local. Nenhum evento de logoff de conta é registrado em log.
Essa categoria gera muito "ruído", pois o Windows está constantemente fazendo logon e logoff de contas nos computadores locais e remotos durante o curso normal dos negócios. Apesar dessa inconveniência, todo plano de segurança deve incluir o sucesso e a falha dessa categoria de auditoria.
Auditar o gerenciamento de contas
Essa configuração de auditoria determina se o acompanhamento de usuários e grupos deve ser feito. Por exemplo, usuários e grupos devem ser rastreados quando uma conta de usuário ou de computador, um grupo de segurança ou um grupo de distribuição é criado, alterado ou excluído. Usuários e grupos também devem ser rastreados quando uma conta de usuário ou de computador é renomeada, desabilitada ou habilitada e quando uma senha de usuário ou de computador é alterada. Um evento pode ser gerado para usuários ou grupos adicionados ou removidos de outros grupos.
Auditoria de acesso do serviço de diretório
Essa configuração de política determina se é necessário auditar o acesso da entidade de segurança a um objeto do Active Directory que tenha uma SACL (lista de controle de acesso do sistema) própria especificada. Em geral, essa categoria só deve ser habilitada em controladores de domínio. Essa configuração gera muito "ruído" se habilitada.
Eventos de logon de auditoria
Os eventos de logon são gerados quando uma entidade de segurança local é autenticada em um computador local. Os Eventos de Logon registram os logons de domínio que ocorrem no computador local. Os eventos de logoff da conta não são gerados. Quando habilitados, os Eventos de Logon geram muito "ruído", mas essa política deve ser habilitada por padrão em qualquer plano de auditoria de segurança.
Auditar o acesso a objetos
O Acesso a Objetos pode gerar eventos quando objetos definidos posteriormente com a auditoria habilitada são acessados (por exemplo, Aberto, Lido, Renomeado, Excluído ou Fechado). Depois que a categoria de auditoria principal estiver habilitada, o administrador precisará definir individualmente os objetos que terão a auditoria habilitada. Muitos objetos do sistema Windows são fornecidos com a auditoria habilitada e, portanto, a habilitação dessa categoria geralmente começará a gerar eventos antes que o administrador tenha definido qualquer um deles.
Essa categoria apresenta muito "ruído" e vai gerar de cinco a 10 eventos para cada acesso ao objeto. Pode ser difícil para os administradores novos na auditoria de objetos obter informações úteis. Ela só deve ser habilitada quando necessário.
Alteração da política de auditoria
Essa configuração de política determina se é necessário auditar cada incidência de uma alteração nas políticas de atribuição de direitos de usuário, nas políticas de Firewall do Windows, nas políticas de relações de confiança ou alterações na política de auditoria. Essa categoria deve ser habilitada em todos os computadores. Ela gera muito pouco "ruído".
Auditar o uso de privilégios
Há dezenas de direitos de usuário e permissões no Windows (por exemplo, Fazer logon como um trabalho em lotes e Atuar como parte do sistema operacional). Essa configuração de política determina se cada instância de uma entidade de segurança deve ser auditada exercendo um direito ou um privilégio de usuário. A habilitação dessa categoria resulta em muito "ruído", mas pode ser útil no acompanhamento de contas de entidade de segurança que usam privilégios elevados.
Auditar o acompanhamento de processos
Essa configuração de política determina se é necessário auditar informações detalhadas de acompanhamento de processos para eventos como ativação de programa, saída de processo, manipulação de duplicação e acesso indireto a objetos. É útil para rastrear usuários mal-intencionados e os programas usados por eles.
A habilitação de Auditar Acompanhamento de Processos gera um grande número de eventos. Portanto, ela é definida normalmente como Sem Auditoria. No entanto, essa configuração pode oferecer um grande benefício durante uma resposta a incidentes do log detalhado dos processos iniciados e da hora em que foram iniciados. Para controladores de domínio e outros servidores de infraestrutura de função única, essa categoria pode ser ativada com segurança o tempo todo. Os servidores de função única não geram muito tráfego de acompanhamento de processos durante o curso normal das tarefas. Dessa forma, eles poderão ser habilitados para capturar eventos não autorizados se eles ocorrerem.
Auditoria de eventos do sistema
Os eventos do sistema são quase uma categoria genérica "catch-all", que registra vários eventos que afetam o computador, a segurança do sistema ou o log de segurança. Ela inclui eventos de desligamentos e reinicializações do computador, falhas de energia, alterações de horário do sistema, inicializações de pacote de autenticação, limpezas de log de auditoria, problemas de representação e uma série de outros eventos gerais. Em geral, a habilitação dessa categoria de auditoria gera muito "ruído"; porém, como ela gera eventos bastante úteis, é recomendável habilitá-la.
Políticas de Auditoria Avançadas
A partir do Windows Vista e do Windows Server 2008, a Microsoft aprimorou a maneira como as seleções de categoria do log de eventos podem ser feitas pela criação de subcategorias abaixo de cada categoria de auditoria principal. As subcategorias permitem que a auditoria seja muito mais granular do que poderia ser de outra forma usando as categorias principais. Usando subcategorias, você pode habilitar apenas partes de determinada categoria principal e ignorar a geração de eventos que não são úteis. Cada subcategoria de política de auditoria pode ser habilitada para eventos de Êxito, Falha ou Êxito e Falha.
Para listar todas as subcategorias de auditoria disponíveis, analise o contêiner da Política de Auditoria Avançada em um Objeto de Política de Grupo ou digite o seguinte comando em qualquer computador que execute o Windows Server 2012, Windows Server 2008 R2, Windows Server 2008, Windows 8, Windows 7 ou Windows Vista:
auditpol /list /subcategory:*
Para ver uma lista de subcategorias de auditoria configuradas no momento em um computador que executa o Windows Server 2012, Windows Server 2008 R2 ou Windows 2008, digite o seguinte comando:
auditpol /get /category:*
A captura de tela a seguir mostra um exemplo do auditpol.exe listando a política de auditoria atual.
Observação
A Política de Grupo nem sempre relata com precisão o status de todas as políticas de auditoria habilitadas, ao contrário do auditpol.exe. Confira Como obter a política de auditoria efetiva no Windows 7 e 2008 R2 para obter mais detalhes.
Cada categoria principal tem várias subcategorias. Veja abaixo uma lista de categorias, subcategorias e descrições das respectivas funções.
Descrições das subcategorias de auditoria
As subcategorias de política de auditoria habilitam os seguintes tipos de mensagem de log de eventos:
Logon da conta
Validação de credenciais
Essa subcategoria relata os resultados de testes de validação em credenciais enviadas para uma solicitação de logon da conta de usuário. Esses eventos ocorrem no computador que é autoritativo para as credenciais. Para contas de domínio, o controlador de domínio é autoritativo; para contas locais, o computador local é autoritativo.
Em ambientes de domínio, a maioria dos eventos de logon de conta é registrada no log de segurança dos controladores de domínio que são autoritativos para as contas de domínio. Contudo, esses eventos podem ocorrer em outros computadores da organização quando contas locais forem usadas para fazer logon.
Operações do tíquete de serviço Kerberos
Essa subcategoria relata os eventos gerados por processos de solicitação de tíquete Kerberos no controlador de domínio que é autoritativo para a conta de domínio.
Serviço de autenticação Kerberos
Essa subcategoria relata os eventos gerados pelo serviço de autenticação Kerberos. Esses eventos ocorrem no computador que é autoritativo para as credenciais.
Outros eventos de logon de conta
Essa subcategoria relata os eventos que ocorrem em resposta às credenciais enviadas para uma solicitação de logon de conta de usuário que não estão relacionadas à validação de credenciais ou a tíquetes Kerberos. Esses eventos ocorrem no computador que é autoritativo para as credenciais. Para contas de domínio, o controlador de domínio é autoritativo; já para contas locais, o computador local é autoritativo.
Em ambientes de domínio, a maioria dos eventos de logon de conta é registrada no log de segurança dos controladores de domínio que são autoritativos para as contas de domínio. Contudo, esses eventos podem ocorrer em outros computadores da organização quando contas locais forem usadas para fazer logon. Os exemplos podem incluir o seguinte:
- Desconexões de sessão dos Serviços de Área de Trabalho Remota
- Novas sessões dos Serviços de Área de Trabalho Remota
- Como bloquear e desbloquear uma estação de trabalho
- Como invocar uma proteção de tela
- Como ignorar uma proteção de tela
- Detecção de um ataque de reprodução de Kerberos, no qual uma solicitação de Kerberos é recebida duas vezes com informações idênticas
- Acesso a uma rede sem fio permitido a uma conta de usuário ou de computador
- Acesso a uma rede 802.1X com fio permitido a uma conta de usuário ou de computador
Gerenciamento de Contas
Gerenciamento de contas de usuário
Essa subcategoria relata cada evento de gerenciamento de conta de usuário, como:
- Conta de usuário criada, alterada ou excluída
- Conta de usuário renomeada, desabilitada ou habilitada
- Senha definida ou alterada
Se essa configuração de política de auditoria for habilitada, os administradores poderão acompanhar eventos para detectar a criação de contas de usuário mal-intencionadas, acidentais e autorizadas.
Gerenciamento de contas do computador
Essa subcategoria relata cada evento de gerenciamento de contas de computador, como quando uma conta de computador é criada, alterada, excluída, renomeada, desabilitada ou habilitada.
Gerenciamento do grupo de segurança
Essa subcategoria relata cada evento de gerenciamento de grupo de segurança, como quando um grupo de segurança é criado, alterado ou excluído ou quando um membro é adicionado ou removido de um grupo de segurança. Se essa configuração de política de auditoria for habilitada, os administradores poderão acompanhar eventos para detectar a criação de contas de grupo de segurança mal-intencionadas, acidentais e autorizadas.
Gerenciamento do grupo de distribuição
Essa subcategoria relata cada evento de gerenciamento de grupo de distribuição, como quando um grupo de distribuição é criado, alterado ou excluído ou quando um membro é adicionado ou removido de um grupo de distribuição. Se essa configuração de política de auditoria for habilitada, os administradores poderão acompanhar eventos para detectar a criação de contas de grupo mal-intencionadas, acidentais e autorizadas.
Gerenciamento de grupo de aplicativos
Essa subcategoria relata cada evento de gerenciamento de grupo de aplicativos em um computador, como quando um grupo de aplicativos é criado, alterado ou excluído ou quando um membro é adicionado ou removido de um grupo de aplicativos. Se essa configuração de política de auditoria for habilitada, os administradores poderão acompanhar eventos para detectar a criação de contas de grupo de aplicativos mal-intencionadas, acidentais e autorizadas.
Outros eventos de gerenciamento de contas
Essa subcategoria relata outros eventos de gerenciamento de conta.
Acompanhamento detalhado do processo
O monitoramento detalhado do Acompanhamento de Processos inclui a criação e o encerramento de processos.
Criação de processos
Essa subcategoria relata a criação de um processo e o nome do usuário ou do programa que o criou.
Encerramento do processo
Essa subcategoria relata quando um processo é encerrado.
Auditoria da DPAPI
Essa subcategoria relata chamadas criptografadas ou descriptografadas para a DPAPI (interface de programação de aplicativo de proteção de dados). A DPAPI é usada para proteger informações secretas, como informações de senhas e chaves armazenadas.
Eventos de RPC
Essa subcategoria relata os eventos de conexão RPC (chamada de procedimento remoto).
Acesso do Serviço de Diretório
Acesso do Serviço de Diretório
Essa subcategoria relata quando um objeto do AD DS é acessado. Somente os objetos com SACLs configuradas geram eventos de auditoria e somente quando eles são acessados de uma forma que corresponda às entradas da SACL. Esses eventos são semelhantes aos eventos de acesso ao serviço de diretório em versões anteriores do Windows Server. Essa subcategoria só se aplica aos controladores de domínio.
Alterações do Serviço de Diretório
Essa subcategoria relata as alterações em objetos do AD DS. Os tipos de alterações relatadas são operações de criação, modificação, movimentação e cancelamento da exclusão que são executadas em um objeto. A auditoria de alterações de serviço de diretório, quando apropriado, indica os valores antigos e novos das propriedades alteradas dos objetos alterados. Somente os objetos com SACLs geram eventos de auditoria e somente quando eles são acessados de uma forma que corresponda às entradas da SACL. Alguns objetos e propriedades não fazem com que eventos de auditoria sejam gerados devido a configurações na classe de objeto no esquema. Essa subcategoria só se aplica aos controladores de domínio.
Replicação do Serviço de Diretório
Essa subcategoria relata quando a replicação entre dois controladores de domínio é iniciada e encerrada.
Replicação detalhada do serviço de diretório
Essa subcategoria relata informações detalhadas sobre as informações replicadas entre controladores de domínio. Esses eventos podem ser muito altos em volume.
Logon/Logoff
Logon
Essa subcategoria relata quando um usuário tenta fazer logon no sistema. Esses eventos ocorrem no computador acessado. Para logons interativos, a geração desses eventos ocorre no computador em que o usuário faz logon. Se for feito um logon de rede para acessar um compartilhamento, esses eventos são gerados no computador que hospeda o recurso acessado. Se essa configuração for definida como Sem auditoria, será difícil ou impossível determinar o usuário que acessou ou tentou acessar os computadores da organização.
Servidor de Políticas de Rede
Essa subcategoria relata os eventos gerados por solicitações de acesso de usuário do RADIUS (IAS) e do NAP (Proteção de Acesso à Rede). Essas solicitações podem ser Conceder, Negar, Descartar, Colocar em Quarentena, Bloquear e Desbloquear. A auditoria dessa configuração resultará em um volume médio ou alto de registros em servidores NPS e IAS.
Modo Principal do IPsec
Essa subcategoria relata os resultados dos protocolos IKE e AuthIP (Authenticated IP) durante as negociações do Modo Principal.
Modo Estendido do IPsec
Essa subcategoria relata os resultados do AuthIP durante as negociações do Modo Estendido.
Outros eventos de logon/logoff
Essa subcategoria relata outros eventos relacionados ao logon e logoff, como desconexões e reconexões de sessão dos Serviços de Área de Trabalho Remota, o uso da conta Executar como para execução de processos em outra conta, além do bloqueio e do desbloqueio de uma estação de trabalho.
Logoff
Essa subcategoria relata quando um usuário faz logoff do sistema. Esses eventos ocorrem no computador acessado. Para logons interativos, a geração desses eventos ocorre no computador em que o usuário faz logon. Se for feito um logon de rede para acessar um compartilhamento, esses eventos são gerados no computador que hospeda o recurso acessado. Se essa configuração for definida como Sem auditoria, será difícil ou impossível determinar o usuário que acessou ou tentou acessar os computadores da organização.
Bloqueio de conta
Essa subcategoria relata quando a conta de um usuário é bloqueada como resultado de muitas tentativas de logon com falha.
Modo Rápido do IPsec
Essa subcategoria relata os resultados dos protocolos IKE e AuthIP durante as negociações do Modo Rápido.
Logon especial
Essa subcategoria informa quando um logon especial é usado. Um logon especial é um logon que tem privilégios equivalentes ao de um administrador e pode ser usado para elevar um processo a um nível mais alto.
Alteração da Política
Auditoria de alteração de política
Essa subcategoria relata as alterações na política de auditoria, incluindo alterações da SACL.
Alteração da política de autenticação
Essa subcategoria relata as alterações na política de autenticação.
Alteração da política de autorização
Essa subcategoria relata as alterações na política de autorização, incluindo alterações de permissões (DACL).
Alteração da política de nível de regra do MPSSVC
Essa subcategoria relata as alterações nas regras de política usadas pelo Serviço de Proteção da Microsoft (MPSSVC.exe). Esse serviço é usado pelo Firewall do Windows.
Alteração da política da plataforma de filtragem
Essa subcategoria relata a adição e a remoção de objetos da WFP, incluindo filtros de inicialização. Esses eventos podem ser muito altos em volume.
Outros eventos de alteração de política
Essa subcategoria relata outros tipos de alterações na política de segurança, como a configuração do TPM (Trusted Platform Module) ou de provedores de criptografia.
Uso de Privilégios
O Uso de Privilégio abrange privilégios confidenciais e não confidenciais.
Uso de privilégios confidenciais
Essa subcategoria relata quando uma conta de usuário ou um serviço usa um privilégio confidencial. Um privilégio confidencial inclui os seguintes direitos de usuário:
- Atuar como parte do sistema operacional
- Fazer backup de arquivos e pastas
- Criar um objeto de token, depurar programas
- Permitir que contas de computador e usuário sejam confiáveis para delegação
- Gerar auditorias de segurança, representar um cliente após a autenticação
- Carregar e descarregar drivers de dispositivo
- Gerenciar a auditoria e o log de segurança
- Modificar valores de ambiente de firmware
- Substituir um token no nível do processo, restaurar arquivos e diretórios
- Assumir a propriedade de arquivos ou de outros objetos.
A auditoria dessa subcategoria criará um alto volume de eventos.
Uso de privilégios não confidenciais
Essa subcategoria relata quando uma conta de usuário ou um serviço usa um privilégio não confidencial. Um privilégio não confidencial inclui os seguintes direitos de usuário:
- Acessar Gerenciador de credenciais como chamador confiável
- Acesso a este computador da rede
- Adicionar estações de trabalho ao domínio
- Ajustar cotas de memória para um processo
- Permitir logon localmente
- Permitir logon por meio dos Serviços de Área de Trabalho Remota
- Ignorar a verificação completa
- Alterar a hora do sistema
- Criar um arquivo de página
- Create global objects
- Criar objetos compartilhados permanentemente
- Criar vínculos simbólicos
- Negar acesso a este computador na rede
- Negar o logon como um trabalho em lotes
- Negar o logon como um serviço
- Negar o logon localmente
- Negar o logon por meio dos Serviços de Área de Trabalho Remota
- Forçar o desligamento a partir de um sistema remoto
- Aumentar um conjunto de trabalho de processo
- Aumentar prioridade de agendamento
- Bloquear páginas na memória
- Fazer logon como um trabalho em lotes
- Fazer logon como um serviço
- Modificar um rótulo de objeto
- Executar tarefas de manutenção de volume
- Traçar um perfil de um único processo
- Traçar um perfil do desempenho do sistema
- Remover o computador da estação de encaixe
- Desligar o sistema
- Sincronizar dados do serviço de diretório.
A auditoria dessa subcategoria criará um volume muito alto de eventos.
Outros eventos de uso de privilégios
Essa configuração de política de segurança não é atualmente usada.
Acesso a objetos
A categoria Acesso ao Objeto inclui subcategorias de Sistema de Arquivos e Registro.
Sistema de Arquivos
Essa subcategoria relata quando os objetos do sistema de arquivos são acessados. Somente os objetos do sistema de arquivos com SACLs geram eventos de auditoria e somente quando eles são acessados de uma forma que corresponda às entradas da SACL. Por si só, essa configuração de política não causará a auditoria de nenhum evento. Ela determina se é necessário auditar o evento de um usuário que acessa um objeto do sistema de arquivos que tem uma SACL (lista de controle de acesso do sistema) especificada, permitindo efetivamente que a auditoria ocorra.
Se a configuração de acesso ao objeto de auditoria estiver definida como Sucesso, uma entrada de auditoria será gerada sempre que um usuário acessar com sucesso um objeto com uma SACL especificada. Se essa configuração de política estiver definida como Falha, uma entrada de auditoria será gerada sempre que um usuário não conseguir acessar um objeto com uma SACL especificada.
Registro
Essa subcategoria relata quando os objetos do Registro são acessados. Somente os objetos do Registro com SACLs geram eventos de auditoria e somente quando eles são acessados de uma forma que corresponda às entradas da SACL. Por si só, essa configuração de política não causará a auditoria de nenhum evento.
Objeto de kernel
Essa subcategoria relata quando os objetos de kernel, como processos e mutexes, são acessados. Somente os objetos de kernel com SACLs geram eventos de auditoria e somente quando eles são acessados de uma forma que corresponda às entradas da SACL. Normalmente, os objetos de kernel só recebem SACLs se as opções de auditoria AuditBaseObjects ou AuditBaseDirectories estão habilitadas.
SAM
Essa subcategoria relata quando os objetos de banco de dados de autenticação do SAM (Gerenciador de Contas de Segurança) locais são acessados.
Serviços de Certificação
Essa subcategoria relata quando as operações dos Serviços de Certificação são executadas.
Aplicativo gerado
Essa subcategoria relata quando os aplicativos tentam gerar eventos de auditoria usando as APIs (interfaces de programação de aplicativo) de auditoria do Windows.
Manipulação de identificador
Essa subcategoria relata quando um identificador de um objeto é aberto ou fechado. Somente os objetos com SACLs geram esses eventos e somente quando a tentativa da operação de identificador corresponde às entradas da SACL. Os eventos de Manipulação de Identificador são gerados apenas para tipos de objetos em que a subcategoria de acesso ao objeto correspondente está habilitada (por exemplo, sistema de arquivos ou Registro).
Comp. de Arquivos
Essa subcategoria relata quando um compartilhamento de arquivo é acessado. Por si só, essa configuração de política não causará a auditoria de nenhum evento. Ela determina se é necessário auditar o evento de um usuário que acessa um objeto de compartilhamento de arquivo que tenha uma SACL (lista de controle de acesso do sistema) especificada, permitindo efetivamente que a auditoria ocorra.
Remoção de pacotes da plataforma de filtragem
Essa subcategoria relata quando os pacotes são removidos pela WFP (Plataforma para Filtros do Windows). Esses eventos podem ser muito altos em volume.
Conexão da plataforma de filtragem
Essa subcategoria relata quando as conexões são permitidas ou bloqueadas pela WFP. Esses eventos podem ter um volume alto.
Outros eventos de acesso a objetos
Essa subcategoria relata outros eventos relacionados ao acesso a objetos, como trabalhos do Agendador de Tarefas e objetos COM+.
Sistema
Alteração no estado de segurança
Essa subcategoria relata as alterações no estado de segurança do sistema, como quando o subsistema de segurança é iniciado e interrompido.
Extensão do sistema de segurança
Essa subcategoria relata o carregamento do código de extensão, como pacotes de autenticação pelo subsistema de segurança.
Integridade do Sistema
Essa subcategoria relata as violações de integridade do subsistema de segurança.
Driver do IPSec
Essa subcategoria relata as atividades do driver do protocolo IPsec.
Outros eventos do sistema
Essa subcategoria relata outros eventos do sistema.
Para obter mais informações sobre as descrições de subcategoria, confira a ferramenta Gerenciador de Conformidade de Segurança da Microsoft.
Cada organização deve analisar as categorias e as subcategorias abordadas anteriormente e habilitar aquelas que mais bem se adaptem ao ambiente. As alterações na política de auditoria sempre devem ser testadas antes da implantação em um ambiente de produção.
Como configurar a política de auditoria do Windows
A política de auditoria do Windows pode ser definida usando as políticas de grupo, o auditpol.exe, as APIs ou as edições do Registro. Os métodos recomendados para configurar a política de auditoria para a maioria das empresas são a Política de Grupo ou o auditpol.exe. A definição da política de auditoria de um sistema exige permissões de conta de nível do administrador ou as permissões delegadas apropriadas.
Observação
O privilégio Gerenciar auditoria e log de segurança precisa ser fornecido às entidades de segurança (os Administradores o têm por padrão) para permitir a modificação das opções de auditoria de acesso a objetos de recursos individuais, como arquivos, objetos do Active Directory e chaves do Registro.
Como definir a política de auditoria do Windows usando a Política de Grupo
Para definir a política de auditoria usando políticas de grupo, configure as categorias de auditoria apropriadas localizadas em Configuração do Computador\Configurações do Windows\Configurações de Segurança\Políticas Locais\Política de Auditoria (confira a captura de tela a seguir para ver um exemplo do Editor de Política de Grupo Local, gpedit.msc). Cada categoria de política de auditoria pode ser habilitada para eventos de Sucesso, Falha ou Sucesso e Falha.
A Política de Auditoria Avançada pode ser definida por meio do Active Directory ou de políticas de grupo local. Para definir a Política de Auditoria Avançada, configure as subcategorias apropriadas localizadas em Configuração do Computador\Configurações do Windows\Configurações de Segurança\Política de Auditoria Avançada (confira a captura de tela a seguir para ver um exemplo do Editor de Política de Grupo Local, gpedit.msc). Cada subcategoria de política de auditoria pode ser habilitada para eventos de Sucesso, Falha ou Sucesso e Falha.
Como definir a política de auditoria do Windows usando o Auditpol.exe
O Auditpol.exe (para definir a política de auditoria do Windows) foi introduzido no Windows Server 2008 e no Windows Vista. Inicialmente, apenas o auditpol.exe poderá ser usado para definir a Política de Auditoria Avançada, mas a Política de Grupo pode ser usada no Windows Server 2012, no Windows Server 2008 R2 ou no Windows Server 2008, no Windows 8 e no Windows 7.
O Auditpol.exe é um utilitário de linha de comando. A sintaxe é mostrada a seguir:
auditpol /set /<Category|Subcategory>:<audit category> /<success|failure:> /<enable|disable>
Exemplos de sintaxe do Auditpol.exe:
auditpol /set /subcategory:"user account management" /success:enable /failure:enable
auditpol /set /subcategory:"logon" /success:enable /failure:enable
auditpol /set /subcategory:"IPSEC Main Mode" /failure:enable
Observação
O Auditpol.exe define a Política de Auditoria Avançada localmente. Se a política local entrar em conflito com o Active Directory ou a Política de Grupo local, em geral, as configurações da Política de Grupo prevalecerão sobre as configurações do auditpol.exe. Quando houver vários conflitos de grupo ou de política local, apenas uma política prevalecerá (ou seja, fará a substituição). As políticas de auditoria não serão mescladas.
Como gerar um script no Auditpol
A Microsoft fornece um exemplo de script para os administradores que desejam definir a Política de Auditoria Avançada usando um script em vez de digitar manualmente cada comando do auditpol.exe.
Observação A Política de Grupo nem sempre relata com precisão o status de todas as políticas de auditoria habilitadas, ao contrário do auditpol.exe. Confira Como obter a política de auditoria efetiva no Windows 7 e Windows 2008 R2 para obter mais detalhes.
Outros comandos do Auditpol
O Auditpol.exe pode ser usado para salvar e restaurar uma política de auditoria local e para exibir outros comandos relacionados à auditoria. Estes são os outros comandos do auditpol.
auditpol /clear – Usado para limpar e redefinir políticas de auditoria locais
auditpol /backup /file:<filename> – Usado para fazer backup de uma política de auditoria local atual em um arquivo binário
auditpol /restore /file:<filename> – Usado para importar um arquivo de política de auditoria salvo anteriormente para uma política de auditoria local
auditpol /<get/set> /option:<CrashOnAuditFail> /<enable/disable> – Se essa configuração de política de auditoria estiver habilitada, ela fará com que o sistema pare imediatamente (com a mensagem STOP: C0000244 {Falha na auditoria}) caso uma auditoria de segurança não possa ser registrada por qualquer motivo. Normalmente, um evento não é registrado quando o log de auditoria de segurança está cheio e o método de retenção especificado para o log de segurança é Não Substituir Eventos ou Substituir Eventos por Dias. Normalmente, essa política só é habilitada em ambientes que precisam de maior garantia de que o log de segurança está sendo registrado. Se ele estiver habilitado, os administradores precisarão observar de perto o tamanho do log de segurança e girar os logs, conforme necessário. Ele pode ser definido com a Política de Grupo modificando a opção de segurança Auditoria: Desligar o sistema imediatamente se não for possível registrar auditorias de segurança em log (padrão= Desabilitado).
auditpol /<get/set> /option:<AuditBaseObjects> /<enable/disable> – Essa configuração de política de auditoria determina se o acesso de objetos do sistema global deve ser auditado. Se essa política for habilitada, ela fará com que objetos do sistema, como mutexes, eventos, semáforos e dispositivos DOS sejam criados com uma SACL (lista de controle de acesso do sistema) padrão. A maioria dos administradores considera a auditoria de objetos do sistema global repleta de "ruído", e eles só a habilitam se suspeitam de invasores mal-intencionados. Somente os objetos nomeados recebem uma SACL. Se a política de auditoria de acesso ao objeto de auditoria (ou subcategoria de auditoria de objeto kernel) também for habilitada, o acesso a esses objetos do sistema será auditado. Ao definir essa configuração de segurança, as alterações só entrarão em vigor quando você reiniciar o Windows. Essa política também pode ser definida com a Política de Grupo modificando a opção de segurança Auditar o acesso de objetos globais do sistema (padrão= Desabilitado).
auditpol /<get/set> /option:<AuditBaseDirectories> /<enable/disable> – Essa configuração de política de auditoria especifica que os objetos de kernel nomeados (como mutexes e semáforos) deverão receber SACLs quando forem criados. AuditBaseDirectories afeta os objetos de contêiner, enquanto AuditBaseObjects afeta os objetos que não podem conter outros objetos.
auditpol /<get/set> /option:<FullPrivilegeAuditing> /<enable/disable> - Esta configuração de política de auditoria especifica se o cliente gera um evento quando um ou mais dos seguintes privilégios são atribuídos a um token de segurança do usuário:
- AssignPrimaryTokenPrivilege
- AuditPrivilege
- BackupPrivilege
- CreateTokenPrivilege
- DebugPrivilege
- EnableDelegationPrivilege
- ImpersonatePrivilege
- LoadDriverPrivilege
- RestorePrivilege
- SecurityPrivilege
- SystemEnvironmentPrivilege
- TakeOwnershipPrivilege
- TcbPrivilege.
Se essa opção não estiver habilitada (padrão= Desabilitado), os privilégios BackupPrivilege e RestorePrivilege não serão registrados. A habilitação dessa opção pode causar muito ruído no log de segurança (às vezes, centenas de eventos por segundo) durante uma operação de backup. Essa política também pode ser definida com a Política de Grupo modificando a opção de segurança Auditoria: Auditar o uso do privilégio de Backup e Restauração.
Observação
Algumas informações fornecidas aqui são obtidas do Tipo de Opção de Auditoria da Microsoft e da ferramenta Microsoft SCM.
Como impor a auditoria tradicional ou a auditoria avançada
No Windows Server 2012, no Windows Server 2008 R2, no Windows Server 2008, no Windows 8, no Windows 7 e no Windows Vista, os administradores podem optar por habilitar as nove categorias tradicionais ou usar as subcategorias. É uma escolha binária que precisa ser feita em cada sistema Windows. As categorias principais ou as subcategorias podem ser habilitadas, não ambas.
Para impedir que a política de categoria tradicional herdada substitua as subcategorias da política de auditoria, habilite a configuração de política Forçar as configurações de subcategoria da política de auditoria (Windows Vista ou posterior) a substituir as configurações de categoria da política de auditoria localizada em Configuração do Computador\Configurações do Windows\Configurações de Segurança\Políticas Locais\Opções de Segurança.
Recomendamos que as subcategorias sejam habilitadas e configuradas em vez das nove categorias principais. Isso exige que uma configuração de Política de Grupo seja habilitada (para permitir que as subcategorias substituam as categorias de auditoria) com a configuração das diferentes subcategorias que dão suporte às políticas de auditoria.
As subcategorias de auditoria podem ser configuradas usando vários métodos, incluindo a Política de Grupo e o programa de linha de comando auditpol.exe.