.png)
AD DS: Auditoria
Atualizado: março de 2009
Aplica-se a: Windows Server 2008
No Windows Server® 2008, agora é possível configurar a auditoria do AD DS (Serviços de Domínio Active Directory®) usando uma nova subcategoria da diretiva de auditoria (Alterações no Serviço de Diretório) para registrar em log valores antigos e novos quando forem feitas alterações em objetos AD DS e nos respectivos atributos.
 Observação |
|---|
| Esse novo recurso de auditoria também se aplica aos Serviços AD LDS. No entanto, esse debate se refere apenas ao AD DS. |
O que a auditoria do AD DS faz?
A diretiva de auditoria global Auditoria de acesso ao serviço de diretório controla se a auditoria de eventos do serviço de diretório deve ser habilitada ou desabilitada. Essa configuração de segurança determina se eventos são registrados no log de Segurança quando certas operações são executadas em objetos do diretório. Você pode controlar quais operações devem ser auditadas modificando a SACL (lista de controle de acesso do sistema) de um objeto. No Windows Server 2008, essa diretiva fica habilitada por padrão.
Se você definir essa configuração de diretiva (modificando a Diretiva de Controladores de Domínio padrão), poderá especificar se devem ser auditadas as operações com êxito, as operações com falha ou se não devem ser feitas auditorias. As auditorias de operações com êxito geram uma entrada de auditoria quando o usuário consegue acessar um objeto AD DS que tem uma SACL especificada. As auditorias de operações com falha geram uma entrada de auditoria quando o usuário tenta com êxito acessar um objeto AD DS que tem uma SACL especificada.
Você pode definir uma SACL em um objeto AD DS usando a guia Segurança da caixa de diálogo de propriedades do objeto. A Auditoria de acesso ao serviço de diretório é aplicada da mesma maneira que a Auditoria de acesso a objetos; todavia, ela se aplica apenas a objetos AD DS, e não a objetos do sistema de arquivos e do Registro.
Quem estaria interessado nesse recurso?
Esse recurso se aplica a administradores do AD DS que são responsáveis por configurar a auditoria no diretório. Os administradores definem SACLs apropriadas nos objetos que desejam auditar.
Em geral, as permissões para modificar SACLs e exibir o log de Segurança são atribuídas apenas para membros dos grupos Administradores, incluindo Admins. do Domínio, Builtin\Administradores e Admins. de Empresa.
Que funcionalidade existente foi alterada?
O Windows Server 2008 adiciona a capacidade de auditoria do AD DS para registrar em log os valores antigos e novos de um atributo quando uma alteração bem-sucedida é feita no atributo. Antes, a auditoria do AD DS só registrava em log o nome do atributo que era alterado; ela não registrava os valores anteriores e atuais do atributo.
Fazendo auditoria no acesso ao AD DS
Nos sistemas operacionais Windows 2000 Server e Windows Server 2003, havia uma diretiva de auditoria, chamada Auditoria de acesso ao serviço de diretório, que controlava se a auditoria de eventos do serviço de diretórios deveria ser habilitada ou desabilitada. No Windows Server 2008, essa diretiva é dividida em quatro subcategorias:
-
Acesso ao Serviço de Diretório
-
Alterações no Serviço de Diretório
-
Replicação do Serviço de Diretório
-
Replicação Detalhada do Serviço de Diretório
A capacidade de auditar alterações feitas em objetos do AD DS é habilitada com a nova sub-categoria de auditoria, Alterações no Serviço de Diretório. Os tipos de alterações que podem ser auditadas são operações criar, modificar, mover e cancelar exclusão executadas em relação a um objeto. Os eventos gerados por essas operações aparecem no log de Segurança.
Essa nova subcategoria de auditoria adiciona os seguintes recursos à auditoria do AD DS:
-
Quando uma operação de modificação bem-sucedida é executada em relação a um atributo de objeto, o AD DS registra em log os valores anteriores e atuais do atributo. Se o atributo tiver mais de um valor, somente os valores alterados como resultado da operação de modificação serão registrados em log.
-
Se for criado um novo objeto, os valores dos atributos que forem preenchidos no momento da criação serão registrados em log. Se atributos forem adicionadas durante a operação de criação, esses novos valores de atributo serão registrados em log. Na maioria dos casos, o AD DS designa valores padrão para os atributos (como sAMAccountName). Os valores desses atributos de sistema não são registrados em log.
-
Se um objeto for movido dentro de um domínio, a localização anterior e a nova (no formato do nome diferenciado) serão registradas em log. Quando um objeto é movido para outro domínio, um evento de criação é gerado no controlador de domínio do domínio de destino.
-
Se a exclusão de um objeto é cancelada, o local para onde o objeto é movido também é registrado em log. Além disso, se atributos são adicionados, modificados ou excluídos durante uma operação de cancelamento de exclusão, os valores desses atributos são registrados em log.
|
Observação |
|---|
| Se um objeto é excluído, não são gerados eventos de auditoria de alteração. Contudo, um evento de auditoria é gerado se a subcategoria Acesso ao Serviço de Diretório está habilitada. |
Depois que a subcategoria Alterações no Serviço de Diretório é habilitada, o AD DS registra eventos no log de Segurança quando alterações são feitas em objetos que um administrador configurou para auditoria. A tabela a seguir descreve estes eventos.
| ID do evento | Tipo de evento | Descrição do evento |
|---|---|---|
|
5136 |
Modificar |
Este evento é registrado em log quando uma modificação bem-sucedida é feita em um atributo do diretório. |
|
5137 |
Criar |
Este evento é registrado em log quando um novo objeto é criado no diretório. |
|
5138 |
Desfazer exclusão |
Este evento é registrado em log quando a exclusão de um objeto do diretório é cancelada. |
|
5139 |
Mover |
Este evento é registrado em log quando um objeto é movido no domínio. |
Por que essa alteração é importante?
A capacidade de identificar a maneira pela qual os atributos de objetos são alterados torna os logs de eventos mais úteis como mecanismo de controle das alterações que ocorrem durante a vida útil de um objeto.
O que funciona de maneira diferente?
No Windows Server 2008, você implementa o novo recurso de auditoria usando os seguintes controles:
-
Diretiva de auditoria global
-
SACL
-
Esquema
Diretiva de auditoria global
Quando habilitada, a diretiva de auditoria global Auditoria de acesso ao serviço de diretório habilita todas as subcategorias da diretiva de serviço de diretório. Você pode definir essa diretiva de auditoria global na Diretiva de Grupo Controladores de Domínio Padrão (em Configurações de Segurança\Diretivas Locais\Diretiva de Auditoria). No Windows Server 2008, essa diretiva de auditoria global fica habilitada por padrão. Portanto, a subcategoria Alterações no Serviço de Diretório também fica habilitada por padrão. Essa subcategoria só é definida para eventos com êxito.
No Windows 2000 Server e no Windows Server 2003, a diretiva Auditoria de acesso ao serviço de diretório era o único controle de auditoria disponível para o Active Directory. Os eventos que eram gerados por esse controle não mostravam os valores antigos e novos de nenhuma modificação. Essa configuração gerava eventos de auditoria no log de Segurança com o número de identificação 566. No Windows Server 2008, a subcategoria da diretiva de auditoria Acesso ao Serviço de Diretório ainda gera os mesmos eventos, mas o número de identificação do evento mudou para 4662.
Com a nova subcategoria da diretiva de auditoria Alterações no Serviço de Diretório, as alterações bem-sucedidas feitas no diretório são registradas junto com os valores de atributo anteriores e atuais. As configurações das subcategorias Acesso ao Serviço de Diretório e Alterações no Serviço de Diretório são armazenadas no banco de dados da LSA (autoridade de segurança local). Elas podem ser consultadas com as novas APIs de LSA.
As duas subcategorias de auditoria são independentes uma da outra. Você pode desabilitar Acesso ao Serviço de Diretório e ainda assim conseguirá ver os eventos de alteração gerados se a subcategoria Alterações no Serviço de Diretório estiver habilitada. De modo semelhante, se você desabilitar Alterações no Serviço de Diretório e habilitar Acesso ao Serviço de Diretório, poderá ver os eventos do log de Segurança que tiverem o número de identificação 4662.
É possível usar a ferramenta de linha de comando Auditpol.exe para visualizar ou definir subcategorias de diretiva de auditoria. Não existe uma ferramenta de interface do Windows disponível no Windows Server 2008 para visualizar ou definir subcategorias da diretiva de auditoria.
SACL
A SACL faz parte do descritor de segurança de um objeto que especifica quais operações de uma entidade de segurança devem ser auditadas. A SACL do objeto ainda é a autoridade absoluta para determinar se uma verificação de acesso deve ou não ser auditada.
O conteúdo da SACL é controlado pelos administradores de segurança do sistema local. Os administradores de segurança são usuários que receberam o privilégio Gerenciar a Auditoria e o Log de Segurança (SeSecurityPrivilege). Por padrão, esse privilégio é atribuído ao grupo Administradores interno.
Se não houver nenhuma ACE (entrada de controle de acesso) na SACL que exija que as modificações de atributo sejam registradas em log, mesmo que a subcategoria Alterações no Serviço de Diretório esteja habilitada, nenhum evento de auditoria de alteração será registrado em log. Por exemplo, se não houver uma ACE em uma SACL que exija que o acesso à Propriedade de Gravação no atributo de número de telefone de um objeto do usuário seja auditado, nenhum evento de auditoria será gerado quando o atributo de número de telefone for alterado, mesmo que a subcategoria Alterações no Serviço de Diretório esteja habilitada.
Esquema
Para evitar a possibilidade de um número excessivo de eventos gerados, o esquema tem um controle adicional que você pode usar para criar exceções quanto ao que deve ser auditado.
Por exemplo, se você deseja ver as todas as alterações de atributo feitas em um objeto de usuário, com exceção de um ou dois atributos, poderá definir um sinalizador no esquema para os atributos que não devem ser auditados. A propriedade searchFlags de cada atributo define se o atributo deve ser indexado, replicado no catálogo global ou algum outro comportamento parecido. Há sete bits definidos atualmente para a propriedade searchFlags.
Se o bit 9 (valor 256) estiver definido para um atributo, o AD DS não registrará os eventos de alteração quando forem feitas modificações no atributo. Isso se aplica a todos os objetos que contêm esse atributo.
Que configurações foram adicionadas ou alteradas?
Existem novas configurações de chave do Registro e configurações de Diretiva de Grupo para auditoria do AD DS.
Configurações do Registro
Os valores de chave do Registro a seguir são usados para configurar a auditoria do AD DS.
| Nome da configuração | Localização | Valores possíveis |
|---|---|---|
|
MaximumStringBytesToAudit |
HKEY_LOCAL_MACHINE\ System\CurrentControlSet\ Services\NTDS\Parameters |
|
Configurações de Diretiva de Grupo
Não é possível visualizar as subcategorias da diretiva de auditoria usando o Editor de Diretiva de Grupo Local (GPedit.msc). Você só consegue visualizá-las com a ferramenta de linha de comando Auditpol.exe. O seguinte exemplo de comando auditpol habilita a subcategoria de auditoria Alterações no Serviço de Diretório:
auditpol /set /subcategory:"directory service changes" /success:enable
Contribuições da comunidade
ADICIONAR
Deseja participar?
