Exportar (0) Imprimir
Expandir Tudo

Novidades na auditoria de segurança

Publicado: fevereiro de 2012

Atualizado: junho de 2013

Aplica-se a: Windows 8, Windows Server 2012

Este documento descreve os aprimoramentos de auditoria de segurança para Windows 8 e Windows Server 2012. Esses aprimoramentos ajudam os profissionais de TI que trabalham com Windows 8 e Windows Server 2012 a monitorar, solucionar problemas e aplicar compatibilidade de segurança em uma rede.

A auditoria de segurança é uma das ferramentas mais avançadas para ajudar a manter a segurança de uma empresa. Uma das metas principais das auditorias de segurança é verificar a conformidade regulatória. Por exemplo, os padrões do setor como Sarbanes Oxley, HIPAA e Payment Card Industry (PCI) exigem que as empresas sigam um conjunto restrito de regras relacionadas à segurança e privacidade de dados. As auditorias de segurança ajudam a estabelecer a presença ou ausência de tais políticas e comprovam a conformidade ou não conformidade com esses padrões.

Além disso, elas ajudam a detectar comportamentos anormais, identificar e eliminar lacunas na política de segurança e impedir comportamentos irresponsáveis por meio da criação de um registro de atividades do usuário, que pode ser usado para análises periciais.

Para aproveitar ao máximo a auditoria de segurança, os administradores devem enfrentar os seguintes desafios técnicos:

Controlar volume de auditoria Uma das maiores considerações sobre auditorias de segurança é o custo de coletar, armazenar e analisar eventos de auditoria. Se as políticas de auditoria forem muito amplas, o volume de eventos de auditoria coletado será maior, e isso aumentará os custos. Se as políticas de auditoria forem muito limitadas, você poderá perder eventos importantes.

Analisar eventos de auditoria    Filtrar o volume de auditoria e obter os dados mais relevantes é sempre difícil . No caso de políticas de auditoria abrangentes, nem todos os eventos de auditoria serão relevantes. Neste cenário, responder a uma pergunta como "Quem está acessando meus dados confidenciais?" pode ser difícil.

Gerenciar centralmente políticas de auditoria   A Auditoria de Acesso a Objetos Globais foi introduzida no Windows 7 e Windows Server 2008 R2 como um meio de criar e gerenciar centralmente políticas de auditoria para o sistema de arquivos e o registro. Porém, os clientes devem enfrentar dois grandes desafios:

  • As políticas de vários GPOs não estão mescladas. Por isso, no computador cliente a política efetiva de Auditoria de Acesso a Objetos Globais vem do GPO vencedor.

  • A Auditoria de Acesso a Objetos Globais gerar um grande volume de auditoria.

Dispositivos de armazenamento removível de auditoria   Muitas organizações se preocupam com o fato de dados confidenciais serem copiados em dispositivos de armazenamento removíveis que não são controlados por seus departamentos de TI. O Windows 7 e o Windows Server 2008 R2 não oferecem suporte à auditoria de dispositivos de armazenamento removíveis. Como resultado, as empresas perdem a visibilidade sobre os usuários que acessaram dados confidenciais depois que foram copiados para um dispositivo de armazenamento removível.

No Windows Server 2012, você pode criar políticas de auditoria usando políticas de auditoria baseadas em expressão e propriedades de recurso. Isso possibilita cenários cuja execução era impossível ou muito difícil.

Depois que os administradores criam e aplicam as políticas de auditoria, a próxima questão que eles devem considerar é a coleta de informações significativas dos eventos de auditoria registrados. As políticas de auditoria com base em expressões podem ajudar a reduzir o volume de auditorias. Porém, os usuários também precisam de um modo para consultar esses eventos a fim de obterem informações significativas e fazer perguntas como "Quem está acessando meus dados importantes?" ou "Houve uma tentativa não autorizada de acessar dados confidenciais?" O Windows Server 2012 aprimora os eventos de acesso a dados existentes registrando em log informações adicionais com relação às declarações de usuário, computador e recursos. Esses eventos são gerados por servidor.

noteObservação
Para fornecer uma exibição completa de ventos na organização, a Microsoft está trabalhando com parceiros para fornecer ferramentas de análise e coleta de eventos, como Serviços de Coleta de Auditoria do System Center Operations Manager .

A tabela a seguir resume as alterações efetuadas na auditoria de segurança no Windows Server 2012.

 

Recurso/funcionalidade Versões anteriores do Windows Windows Server 2012

Políticas de auditoria com base em expressões

X

Auditoria de acesso a arquivos

X

X (informações adicionais)

Auditoria aprimorada de logon do usuário

X

X (informações adicionais)

Auditoria de novos tipos de objetos que podem ser protegidos

X

Auditoria de dispositivos de armazenamento removíveis

X

As seções a seguir descrevem esses recursos de auditoria de segurança com mais detalhes.

O Windows Server 2012 introduz as políticas de auditoria de segurança com base em expressões. O Controle de Acesso Dinâmico do Windows Server 2012 permite que você crie políticas de auditoria de destino usando expressões com base em declarações de usuário, computador e recurso.

A seguir são apresentados exemplos de políticas de auditoria baseadas em expressão que os administradores podem aplicar ao Windows Server 2012 :

  • Realizar auditoria de todos que não têm autorização de segurança elevada e tentam acessar documentos com alto valor comercial.

  • Realizar auditoria de todos os fornecedores quando tentam acessar documentos relacionados a projetos em que não estão trabalhando.

Políticas estritamente definidas, como essas, podem ajudam a ajustar o volume dos eventos de auditoria e limitá-los apenas aos dados ou usuários mais importantes.

As políticas de auditoria baseadas em expressão podem ser criadas diretamente em um arquivo ou pasta ou centralmente por meio da Política de Grupo usando Auditoria de Acesso a Objetos Globais.

O Windows Server 2012 permite que você crie políticas de auditoria baseadas em expressão usando a Auditoria de Acesso a Objetos Globais. Além disso, ele mescla as política de Auditoria de Acesso a Objetos Globais de vários GPOs localizados em computadores clientes. Isso possibilita o seguinte cenário:

A política de TI da empresa exige a auditoria do acesso de leitura e gravação a todos os documentos marcados como HBI (grande impacto sobre os negócios). Além disso, o departamento financeiro exige a auditoria do acesso de leitura e gravação a todos os documentos pertencentes a ele. O administrador de TI da empresa pode implementar uma política que abranja toda a empresa por meio da criação de uma Política de Auditoria de Acesso a Objetos Globais (para monitorar o acesso a dados HBI) em um Objeto de Política de Grupo (GPO), direcionando o GPO para todos os servidores de arquivos na empresa. De modo semelhante, o administrador do servidor de arquivos do departamento financeiro pode criar outro GPO e desenvolver a Política de Auditoria de Acesso a Objetos Globais para monitorar o acesso a todos os dados financeiros.

A auditoria de acesso a arquivo é incluída no Windows Server 2012 e Windows 8. Com a aplicação da política de auditoria adequada, o sistema operacional Windows gerará um evento de auditoria sempre que um usuário acessar um arquivo.

No Windows Server 2012 e Windows 8, os eventos de Acesso a Arquivo Existente (4656, 4663) contêm informações sobre os atributos do arquivo que foi acessado. Essas informações adicionais podem ser usadas por ferramentas de filtragem de logs de eventos a fim de ajudá-lo a identificar os eventos de auditoria mais relevantes para uma análise mais detalhada. Para obter mais informações, consulte Auditoria de Manipulação de Identificador e Auditoria de SAM.

O Windows Server 2012 e Windows 8 incluem auditoria de logon de usuário. Com a aplicação da política de auditoria adequada, os sistemas operacionais Windows gerarão um evento de auditoria (4624) sempre que um usuário fizer logon local ou remoto em um computador. (Para obter mais informações, consulte Logon de Auditoria). No Windows Server 2012 e Windows 8, um novo evento (4626) contém informações sobre os atributos do arquivo que foi acessado. Essas informações adicionais podem ser aproveitadas por ferramentas de gerenciamento de logs de auditoria para permitir a filtragem de eventos baseada em atributos de arquivo e usuário.

As empresas podem limitar ou impedir que os usuários utilizem dispositivos de armazenamento removíveis usando a Política de Acesso a Armazenamento Removível. Porém, em versões anteriores dos sistemas operacionais Windows e Windows Server, os administradores não podiam rastrear o uso de dispositivos de armazenamento removíveis. Se você configurar essa configuração de política no Windows Server 2012 e Windows 8, um evento de auditoria será gerado sempre que o usuário tentar acessar um dispositivo de armazenamento removível. As auditorias com êxito (evento 4663) registram tentativas bem-sucedidas de gravação ou leitura a partir de um dispositivo de armazenamento removível. As auditorias sem êxito (evento 4656) registram tentativas malsucedidas de acesso a objetos de dispositivos de armazenamento removíveis.

noteObservação
Para registrar os eventos de falha de dispositivo de armazenamento removível, a configuração Auditoria de Manipulação de Identificador também deverá ser definida.

Esta política de auditoria é exibida em Computer Configuration\Windows Settings\Security Settings\Advanced Audit Policy Configuration\System Audit Policies\Object Access.

A tabela a seguir fornece recursos adicionais para avaliar a auditoria de segurança no Windows 8 e Windows Server 2012.

 

Tipo de conteúdo Referências

Avaliação do produto

O documento a seguir contém informações adicionais sobre como aplicar novos recursos de auditoria de segurança com o Controle de Acesso Dinâmico: Cenário: auditoria de acesso ao arquivo .

Isso foi útil para você?
(1500 caracteres restantes)
Agradecemos os seus comentários

Contribuições da comunidade

A Microsoft está realizando uma pesquisa online para saber sua opinião sobre o site do MSDN. Se você optar por participar, a pesquisa online lhe será apresentada quando você sair do site do MSDN.

Deseja participar?
Mostrar:
© 2014 Microsoft