Exportar (0) Imprimir
Expandir Tudo
4 de 7 pessoas classificaram isso como útil - Avalie este tópico

Novidades na Auditoria de Segurança do Windows

Atualizado: março de 2010

Aplica-se a: Windows Server 2008 R2

Quais são as principais alterações?

Há um número de aprimoramentos de auditoria no Windows Server® 2008 R2 e Windows® 7 que aumenta o nível de detalhes em logs de auditoria de segurança e simplificam a implantação e o gerenciamento de diretivas de auditoria Esses aprimoramentos incluem:

  • Auditoria de Acesso a Objetos Globais No Windows Server 2008 R2 e Windows 7, os administradores podem definir as SACLs (listas de controle de acesso do sistema) de todo o computador para o registro ou sistema de arquivos. A SACL específica é aplicada, automaticamente, a cada objeto desse tipo. Isso pode ser útil para verificar se todos os arquivos críticos, as pastas e as configurações do registro em um computador estão protegidos, e para identificar a ocorrência de uma problema com um recurso do sistema.

  • Relatório "Razão do acesso". A lista de ACEs (entradas de controle de acesso) fornece os privilégios, nos quais a decisão para permitir ou negar acesso ao objeto foi baseada. Isso pode ser útil para documentar as permissões, como associados a um grupo, que permite ou evita a ocorrência de um evento de auditoria particular.

  • Configurações de diretiva de auditoria avançadas. As 53 novas configurações podem ser usadas no lugar de nove configurações básicas de auditoria, em Diretivas Locais\Diretiva de Auditoria, para permitir que os administradores direcionem, de forma específica, os tipos de atividades que eles querem fazer auditoria e eliminem as atividades de auditoria desnecessárias que podem tornar os logs de auditoria mais difíceis de gerenciar e decifrar.

As seções a seguir descrevem esses aprimoramentos mais detalhadamente.

O que esses aprimoramentos de auditoria fazem?

No Windows XP, os administradores possuem nove categorias de eventos de auditoria de segurança que podem ser monitorados para êxito, falha ou êxito e falha. Esses eventos estão completamente corretos no escopo e podem ser disparados por uma variedade de ações similares, muitas delas podem gerar um grande número de entradas de log de eventos.

No Windows Vista® e Windows Server 2008, o número de eventos de auditoria aumentou de nove para 53, permitindo que um administrador seja mais seletivo no número e nos tipos de eventos para fazer auditoria. No entanto, diferentemente dos nove eventos básicos do Windows XP, esses novos eventos de auditoria não são integrados à Diretiva de Grupo e só podem ser implantados por meio de scripts de logon gerados com a ferramenta de linha de comando Auditpol.exe.

No Windows Server 2008 R2 e Windows 7, todas as funcionalidades de auditoria foram integradas com a Diretiva de Grupo. Isso permite que os administradores configurem, implantem e gerenciem essas configurações no GPMC (Console de Gerenciamento de Diretiva de Grupo) ou no snap-in Diretiva de Segurança Local para um site de domínio ou uma OU (unidade organizacional). O Windows Server 2008 R2 e Windows 7 fazem com que os profissionais de TI acompanhem, de maneira mais fácil, as atividades significantes, definidas precisamente, que ocorrem na rede.

Os aprimoramentos de diretiva de auditoria no Windows Server 2008 R2 e Windows 7 permitem que os administradores conectem regras de negócios e diretivas de auditoria. Por exemplo, a aplicação de configurações de diretiva de auditoria, por um domínio ou uma OU, permitirá que os administradores documentem a conformidade com as regras, como:

  • Acompanhar toda a atividade do administrador de grupos em servidores com informações financeiras.

  • Acompanhar todos os arquivos acessados por grupos definidos de funcionários.

  • Confirmar que a SACL correta foi aplicada a cada arquivo, pasta e chave de registro quando eles foram acessados.

Quem se interessará por esse recurso?

Os aprimoramentos de auditoria no Windows Server 2008 R2 e Windows 7 suportam as necessidades de profissionais de TI responsáveis pela implementação, manutenção e monitoramento da segurança contínua de ativos físicos e de informação de uma organização.

Essas configurações podem ajudar os administradores a responder os seguintes tipos de questões:

  • Quem está acessando os nossos ativos?

  • Quais ativos estão sendo acessados?

  • Quando e onde eles foram acessados?

  • Como eles obtiveram acesso?

A percepção de segurança e o desejo de ter uma pista forense são motivos significantes por trás dessas questões. A qualidade dessa informação é exigida e avaliada por auditores em um número crescente de organizações.

Existe alguma consideração específica?

Um número de considerações especiais é aplicado a várias tarefas associadas aos aprimoramentos de auditoria no Windows Server 2008 R2 e Windows 7:

  • Criando uma diretiva de auditoria: Para criar uma diretiva de auditoria de segurança avançada do Windows, é preciso usar o GPMC ou o snap-in Diretiva de Segurança Local em um computador executando o Windows Server 2008 R2 ou Windows 7. (Você pode usar o GPMC em um computador executando Windows 7, após instalar as Ferramentas de Administração do Servidor Remoto).

  • Aplicando configurações de diretiva de auditoria. Se você estiver usando a Diretiva de Grupo para aplicar as configurações de diretiva de auditoria avançadas e as configurações de acesso a objetos, os computadores clientes precisarão executar o Windows Server 2008 R2 ou Windows 7. Além disso, apenas computadores executando o Windows Server 2008 R2 ou Windows 7 podem fornecer os dados do relatório "razão do acesso",

  • Desenvolvendo um modelo de diretiva de auditoria. Para planejar configurações de auditoria de segurança avançadas e configurações de acesso a objetos globais, é preciso usar o GPMC que direciona um controlador de domínio executando o Windows Server 2008 R2.

  • Distribuindo a diretiva de auditoria. Após desenvolver um GPO (objeto de Diretiva de Grupo) que inclui configurações de auditoria de segurança avançadas, ele poderá ser distribuído por meio de controladores de domínio executando qualquer sistema operacional de servidor do Windows. No entanto, se você não puder colocar computadores clientes executando o Windows 7 em uma OU separada, use o filtro de WMI (Instrumentação de Gerenciamento do Windows) para verificar se as configurações de diretiva avançadas foram aplicadas somente a computadores clientes executando o Windows 7.

noteObservação
As configurações de diretiva de auditoria avançadas também podem ser aplicadas a computadores clientes executando o Windows Vista. No entanto, as diretivas de auditoria para esses computadores clientes precisam ser criadas e aplicadas, separadamente, por meio dos scripts de logon Auditpol.exe.

ImportantImportante
A utilização das configurações de diretiva de auditoria básicas em Diretivas Locais/Diretiva de Auditoria e das configurações avançadas em Configuração de Diretiva de Auditoria Avançada pode causar resultados inesperados. Portanto, os dois conjuntos de configurações de diretiva de auditoria não devem ser combinados. Se usar as configurações Configuração de Diretiva de Auditoria Avançada, habilite a configuração de diretiva Auditoria: Forçar as configurações da subcategoria de diretiva de auditoria (Windows Vista ou posterior) a substituir as configurações da categoria de diretiva de auditoria, em Diretivas Locais\Opções de Segurança. Isso evitará conflitos entre configurações parecidas, fazendo com que a auditoria de segurança básica seja ignorada.

Além disso, para planejar e implantar diretivas de auditoria de evento de segurança, os administradores precisam direcionar um número de questões estratégicas e operacionais, inclusive:

  • Por que precisamos de uma diretiva de auditoria?

  • Quais atividades e eventos são mais importantes para a nossa organização?

  • Quais tipos de eventos de auditoria nós podemos omitir da estratégia de auditoria?

  • Quantos recursos de rede e quanto tempo do administrador nós queremos dedicar para gerar, coletar e armazenar eventos e analisar dados?

Quais edições incluem esse recurso?

Todas as versões do Windows Server 2008 R2 e Windows 7, que podem processar Diretivas de Grupo, podem ser configuradas para usar esses aprimoramentos de auditoria de segurança. As versões do Windows Server 2008 R2 e Windows 7, que não podem ingressar a um domínio, não tem acesso a esses recursos. Não há diferença no suporte de auditoria de segurança entre as versões de 32 bits e 64 bits do Windows 7.

Que nova funcionalidade este recurso oferece?

A nova funcionalidade a seguir é fornecida pelo Windows Server 2008 R2 e Windows 7: Auditoria de Acesso a Objetos Globais, configurações "razão do acesso" e configurações de diretiva de auditoria avançadas.

Auditoria de Acesso a Objetos Globais

Com a Auditoria de Acesso a Objetos Globais, os administradores podem definir SACLs de computadores por tipo de objeto para o registro ou sistema de arquivo. A SACL específica é aplicada, automaticamente, a cada objeto desse tipo.

Os auditores poderão provar que todos os recursos do sistema estão protegidos por uma diretiva de auditoria, apenas exibindo os conteúdos da configuração da diretiva Auditoria de Acesso a Objetos Globais. Por exemplo, a configuração da diretiva "acompanhar todas as alterações feitas pelos administradores do grupo" será o suficiente para mostrar que essa diretiva está em vigor.

As SACLs de recurso também são úteis para cenários de diagnóstico. Por exemplo, configurando uma diretiva Auditoria de Acesso a Objetos Globais, para registrar todas as atividades de um usuário específico, e habilitando as diretivas de auditoria Falhas de Acesso em um recurso (registro e sistema de arquivo) ajudará os administradores a identificar rapidamente qual objeto, em um sistema, está negando acesso ao usuário.

noteObservação
Se uma diretiva Auditoria de Acesso a Objetos Globais e uma SACL de arquivo ou pasta (ou uma única SACL de configuração de registro ou uma diretiva Auditoria de Acesso a Objetos Globais) forem configuradas em um computador, a SACL eficaz será derivada da combinação entre a diretiva Auditoria de Acesso a Objetos Globais e a SACL de arquivo ou pasta. Isso significa que um evento de auditoria será gerado se uma atividade corresponder à diretiva Auditoria de Acesso a Objetos Globais ou à SACL de arquivo ou pasta.

Configurações "Razão do acesso"

Há vários eventos no Windows para auditar sempre uma operação com ou sem êxito. Os eventos normalmente incluem o usuário, o objeto e a operação, mas não incluem o porquê da operação ser permitida ou negada. As análises forenses e os cenários de suporte melhoraram no Windows Server 2008 R2 e Windows 7, registrando o motivo, com base em permissões, pelo qual alguém teve acesso a recursos corporativos.

Configurações de diretiva de auditoria avançadas

No Windows Server 2008 R2 e Windows 7, as diretivas de auditoria aprimoradas podem ser configuradas e implantadas por meio da Diretiva de Grupo, que reduz o custo e as despesas de gerenciamento e aumenta significativamente a flexibilidade e a eficácia da auditoria de segurança.

As seções a seguir descrevem os novos eventos e categorias de eventos disponíveis no nó Configuração de Diretiva de Auditoria Avançada da Diretiva de Grupo.

Eventos de logon da conta

Os eventos dessa categoria ajudam o domínio do documento em tentativas de autenticação dos dados da conta, tanto para um controlador de domínio como para um SAM (Gerenciador de Contas de Segurança). Diferentemente de eventos de logon e logoff, que acompanham tentativas de acesso a um computador particular, os eventos dessa categoria são relatados no banco de dados que está sendo usado.

 

Configuração Descrição

Validação de credenciais

Eventos de auditoria gerados por testes de validação em credenciais de logon da conta do usuário.

Operações de tíquete de serviço Kerberos

Eventos de auditoria gerados por solicitações de tíquete de serviço Kerberos.

Outros eventos de logon da conta

Eventos de auditoria gerados por respostas a solicitações de credenciais, enviadas por um logon da conta de usuário ,que não são validação de credenciais ou tíquetes Kerberos.           

Serviço de autenticação Kerberos

Eventos de auditoria gerados por solicitações de TGT (tíquete de concessão de tíquete) de autenticação Kerberos.

Eventos de gerenciamento de conta

As configurações dessa categoria podem ser usadas para monitorar alterações em grupos e contas de computadores e usuários.

 

Configuração Descrição

Gerenciamento de contas do usuário

Alterações de auditoria em contas do usuário

Gerenciamento de contas do computador

Eventos de auditoria gerados por alterações em contas do computador, como quando uma conta do computador é criada, alterada ou excluída.

Gerenciamento de grupos de segurança

Eventos de auditoria gerados por alterações em grupos de segurança.

Gerenciamento de grupos de distribuição

Eventos de auditoria gerados por alterações em grupos de distribuição.

noteObservação
Os eventos dessa subcategoria são registrados somente em controladores de domínio.

Gerenciamento de grupos de aplicativo

Eventos de auditoria gerados por alterações em grupos de aplicativo.

Outros eventos de gerenciamento da conta

Eventos de auditoria gerados por outras alterações em contas do usuário que não foram abordadas nessa categoria.

Eventos de acompanhamento detalhados

Os eventos de acompanhamento detalhados podem ser usados para monitorar as atividades de aplicativos individuais para entender como um computador está sendo usado e as atividades de usuários nesse computador.

 

Configuração Descrição

Criação de processos

Eventos de auditoria gerados quando um processo for criado ou iniciado. O nome do aplicativo ou usuário que criou o processo também sofre auditoria.

Término de processos

Eventos de auditoria gerados no fim do processo.

Atividade DPAPI

Eventos de auditoria gerados quando são feitas solicitações de criptografia ou descriptografia à DPAPI (interface do aplicativo de Proteção de Dados). A DPAPI é usada para proteger informações secretas, como senha armazenada ou informação de chave. Para obter mais informações sobre DPAPI, consulte Proteção de Dados do Windows.

Eventos de RPC

Conexões de RPC (chamada de procedimento remoto) de entrada de auditoria.

Eventos de acesso de DS

Os eventos de acesso de DS fornecem uma pista de auditoria de nível baixo de tentativas de acesso e modificação de objetos nos AD DS (Serviços de Domínio Active Directory®). Esses eventos são registrado somente em controladores de domínio.

 

Configuração Descrição

Acesso ao Serviço de Diretório

Eventos de auditoria gerados quando um objeto de AD DS é acessado.

Apenas os objetos de AD DS que correspondem à SACL são registrados

Os eventos dessa subcategoria são parecidos com os eventos de Acesso ao Serviço de Diretório disponíveis nas versões anteriores do Windows.

Alterações no Serviço de Diretório

Eventos de auditoria gerados por alterações em objetos AD DS. Os eventos são registrados quando um objeto é criado, excluído, modificado, movido ou sua exclusão for desfeita.                                

Replicação do Serviço de Diretório

Replicação de auditoria entre dois controladores de domínio AD DS.

Replicação Detalhada do Serviço de Diretório

Eventos de auditoria gerados por replicação detalhada de AD DS entre controladores de domínio.

Eventos de logon/logoff

Os eventos de logon e logoff permitem que você acompanhe tentativas de logon em um computador de forma interativa ou em uma rede. Esses eventos são especialmente úteis para acompanhar atividades do usuário e identificar possíveis ataques em recursos da rede.

 

Configuração Descrição

Logon

Eventos de auditoria gerados por tentativas de logon na conta do usuário em um computador.

Logoff

Eventos de auditoria gerados pelo encerramento de uma sessão de logon. Esses eventos ocorrem no computador que foi acessado. Para um logon interativo, o evento de auditoria de segurança é gerado no computador em que foi feito o logon na conta do usuário.

Bloqueio da conta

Eventos de auditoria gerados por uma falha na tentativa de logon em uma conta bloqueada.

Modo Principal IPsec

Eventos de auditoria gerados uma um protocolo IKE ou protocolo Authenticated IP durante negociações de Modo Principal.

Modo Rápido IPsec

Eventos de auditoria gerados uma um protocolo IKE ou protocolo Authenticated IP durante negociações de Modo Rápido.

Modo Estendido IPsec

Eventos de auditoria gerados uma um protocolo IKE ou protocolo Authenticated IP durante negociações de Modo Estendido.

Logon especial

Eventos de auditoria gerados por logons especiais

Outros eventos de logon/logoff

Outros eventos de auditoria relacionados ao logon e logoff que não estão concluídos na categoria Logon/Logoff.

Servidor de diretivas de rede (em inglês)

Eventos de auditoria gerados por solicitação de acesso ao usuário de RADIUS (IAS) e NAP (Proteção de Acesso à Rede). Essas solicitações podem ser Conceder, Negar, Descartar, Quarentena, Bloquear, Desbloquear.

Eventos de acesso a objetos

Os eventos de acesso a objetos permitem que você acompanhe tentativas de acesso a objetos específicos ou tipos de objetos em uma rede ou computador. Para auditar um arquivo, diretório, chave de registro ou qualquer outro objeto, você precisa habilitar a categoria Acesso a Objetos para eventos de êxito e falha. Por exemplo, a subcategoria Sistema de Arquivos precisa ser habilitada para fazer auditoria em operações de arquivo, e a subcategoria Registro precisa ser habilitada para fazer auditoria no acesso de registro.

É difícil provar que essa diretiva está em vigor para um auditor externo. Não há uma maneira fácil de verificar se as SACLs apropriadas foram definidas em todos os objetos herdados.

 

Configuração Descrição

Sistema de arquivos

Auditoria de tentativas do usuário de acessar objetos do sistema do arquivo. Um evento de auditoria de segurança é gerado somente para objetos que tem SACLs e somente se o tipo de acesso for solicitado, como Gravar, Ler ou Modificar, e se a conta que está fazendo a solicitação correspondente às configurações na SACL.

Registro

Auditoria tentativas de acessar objetos de registro. Um evento de auditoria de segurança é gerado somente para objetos que tem SACLs e somente se o tipo de acesso for solicitado, como Ler, Gravar ou Modificar, e se a conta que está fazendo a solicitação correspondente às configurações na SACL.

Objeto Kernel

Auditoria de tentativas de acesso ao kernel do sistema, que inclui mutexes e sinais. Apenas objetos kernel com uma SACL correspondente geram eventos de auditoria de segurança.

noteObservação
A configuração de auditoria Auditoria: Auditoria de acesso de objetos de sistema global controla a SACL padrão de objetos kernel.

SAM

Eventos de auditoria gerados por tentativas de acesso aos objetos de SAM (Gerenciador de Contas de Segurança).

Serviços de certificação

Auditoria de operações de AD CS (Serviços de Certificados do Active Directory)

Aplicativo gerado

Aplicativos de auditoria que geram eventos por meio das APIs (interfaces de programação de aplicativo) de auditoria do Windows. Os aplicativos criados para usar a API de auditoria do Windows usam essa subcategoria para registrar eventos de auditoria relacionados à sua função.

Manipulação do identificador

Eventos de auditoria gerados quando um identificador de um objeto é aberto ou fechado. Apenas objetos com uma SACL correspondente geram eventos de auditoria de segurança.

Compartilhamento de arquivos

Auditoria de tentativas de acesso a uma pasta compartilhada. No entanto, nenhum evento de auditoria de segurança foi gerado quando uma pasta foi criada, excluída ou suas permissões de compartilhamento foram alteradas.

Compartilhamento de arquivos detalhado

Auditoria de tentativas de acesso a arquivos e pastas em uma pasta compartilhada. A configuração Compartilhamento de arquivos detalhado registra um evento todas as vezes que um arquivo ou pasta foi acessado, enquanto a configuração Compartilhamento de arquivos registra somente um evento para qualquer conexão estabelecida entre um cliente e um compartilhamento de arquivos. Os eventos de auditoria Compartilhamento de Arquivos Detalhado inclui informações detalhadas sobre permissões ou outros critérios usados para conceder ou negar acesso.

Descarte de pacote da plataforma para filtros

Pacotes de auditoria descartados pela WFP (Plataforma para Filtros do Windows).

Conexão da plataforma para filtros

Conexões de auditoria permitidas ou bloqueadas pela WFP.

Outros eventos de acesso a objetos

Eventos de auditoria gerados pelo gerenciamento de trabalhos de Agendador de Tarefas ou objetos de COM+.

Eventos de alteração de diretivas

Os eventos de alteração de diretivas permitem que você acompanhe alterações de diretivas de segurança importantes em uma rede ou sistema local. Como essas diretivas são normalmente estabelecidas por administradores, para ajudar a proteger recursos da rede, qualquer alteração ou tentativa de alterar essas políticas pode ser um aspecto importante do gerenciamento de segurança de uma rede.

 

Configuração Descrição

Alteração de diretiva de auditoria

Alterações de auditoria nas configurações de diretiva de auditoria de segurança.

Alteração de diretiva de autenticação

Eventos de auditoria gerados por alterações em diretivas de autenticação.

Alteração de diretiva de autorização

Eventos de auditoria gerados por alterações em diretivas de autorização.

Alteração de diretiva de nível de regra MPSSVC

Eventos de auditoria gerados por alterações nas regras de auditoria usadas pelo Firewall do Windows.

Alteração na diretiva da plataforma de filtragem

Eventos de auditoria gerados por alterações em WFP.

Outros eventos de alteração de diretiva

Eventos de auditoria gerados por outras alterações em diretivas de segurança que não foram auditadas na categoria Alteração de Diretiva.                                                       

Eventos de uso de privilégio

Os privilégios em uma rede são concedidos para usuários ou computadores para tarefas definidas concluídas. Os eventos de uso de privilégios permitem que você acompanhe o uso de certos privilégios em um ou mais computadores.

 

Configuração Descrição

Uso de privilégio confidencial

Eventos de auditoria gerados pelo uso de privilégios confidenciais (direitos do usuário), como ação como parte do sistema operacional, backup de arquivos e diretórios, representação do computador cliente ou a geração de auditorias de segurança.

Uso de privilégio não confidencial

Eventos de auditoria gerados pelo uso de privilégios não confidenciais (direitos do usuário), como logon local ou com a conexão de uma área de trabalho remota, alteração do tempo do sistema ou remoção do computador de uma base de encaixe.

Outros eventos de uso de privilégio

Não usado.

Eventos do sistema

Os eventos do sistema permitem que você acompanhe alterações de alto nível para um computador que não está incluído em outras categorias e que possui possíveis implicações de segurança.

 

Configuração Descrição

Alteração do estado de segurança

Eventos de auditoria gerados por alterações no estado de segurança do computador.

Extensão do sistema de segurança

Eventos de auditoria relacionados a extensões ou serviços do sistema de segurança                                                                    

Integridade do sistema

Eventos de auditoria que violam a integridade do subsistema de segurança.

Driver IPsec

Eventos de auditoria gerados pelo driver de filtro do IPsec.

Outros eventos de sistema

Auditoria de qualquer um dos eventos a seguir:

  • Inicialização e desligamento do Firewall do Windows.

  • Processamento da diretiva de segurança pelo Firewall do Windows.

  • Arquivo de chave de criptografia e operações de migração.

Isso foi útil para você?
(1500 caracteres restantes)
Agradecemos os seus comentários

Contribuições da comunidade

ADICIONAR
Mostrar:
© 2014 Microsoft. Todos os direitos reservados.