Auditorias no Windows 2000

  • Artigo

Por Fabiano de Santana, MCP - MCSA 2000 Security - MCSE 2000 Security - MCSA 2003 - MCSE 2003

Podemos controlar as atividades dos usuários e do sistema em um computador Windows 2000, utilizando a auditoria. Com isso, podemos detectar tentativas de invasão em nossa rede.

Quando ocorrer algum evento relacionado com a auditoria habilitada, o Windows 2000 grava esse evento no log de segurança. Para visualizarmos esses eventos utilizamos o Event Viewer (Visualizador de Eventos). As informações gravadas no log de segurança são as seguintes:

  • Ação executada.

  • Usuário que executou a ação.

  • Êxito ou falha na ação, e quando ocorreu a ação.

  • Computador no qual a ação foi executada.

Configuramos as auditorias através das diretivas de segurança, e podem ser habilitadas em um computador local ou em uma GPO.

Os tipos de auditorias que podem ser realizadas pelo Windows 2000 são:

  • Audit Account Logon Events (Logon de Conta): ocorre quando um usuário efetua logon em um domínio.

  • Audit Account Management (Gerenciamento de Contas): ocorre quando o administrador cria, altera ou exclui uma conta ou grupo de usuário.

  • Audit Directory Service Access (Acesso ao Serviço de Diretórios): ocorre quando um usuário obtém acesso a um recurso do AD.

  • Audit Logon Events (Logon): ocorre quando um usuário efetua logon e logoff em um computador local.

  • Audit Object Access (Acesso a Objetos): ocorre quando um usuário acessa um arquivo, pasta ou impressora. Os objetos devem estar configurados para a auditoria.

  • Audit Policy Change (Alteração de Diretiva): ocorre quando as opções de segurança do usuário, direitos do usuário e diretivas de auditoria são alterados.

  • Audit Privilege Use (Uso de Privilégios): ocorre quando um usuário utiliza um direito, por exemplo, alterar hora do sistema e apropriar-se de um arquivo.

  • Audit Process Tracking (Monitoração de Processos): ocorre quando algum aplicativo executa uma ação.

  • Audit System Events (Sistema): ocorre quando o computador é desligado e reiniciado.

Ao configurar as auditorias, tenha em mente que quanto mais auditorias forem habilitadas, menor será o desempenho do computador. Portanto, habilite somente as auditorias que lhe fornecerá informações necessárias.

Ao habilitarmos uma auditoria, deveremos informar quais eventos serão auditados. Esses eventos podem ser: Success (Sucesso) ou Failure (Falha).

Para configurarmos a auditoria em um computador local, utilizamos o console Local Security Settings (Diretivas de Segurança Local). Somente membros do grupo Administrators (Administradores) podem habilitar a auditoria.

Cc668439.Auditorias01(pt-br,TechNet.10).jpg
Figura 1 - Local Security Settings - Diretivas de Segurança Local

Quando formos configurar a auditoria Object Access (Acesso a Objetos), devemos executar duas tarefas:

  • 1ª - Habilitar a auditoria Object Access (Acesso a Objetos).

  • 2ª - Selecionar os objetos e os tipos de acesso que serão auditados.

Exemplo prático - Habilitar as auditorias via GPO.

  • Efetue logon com uma conta de usuário com direitos administrativos;

  • Abra o console Active Directory Users and Computers (Usuários e Computadores do AD);

  • Clique com o botão direito sobre o domínio e escolha a opção Properties (Propriedades);

  • Clique na aba Group Policy (Diretiva de Grupo);

  • Dê 2 cliques sobre a GPO desejada ou selecione a GPO e clique em Edit (Editar);

  • Acesse a opção Computer Configuration (Configuração do Computador), Windows Settings (Configurações do Windows), Security Settings (Configurações de Segurança), Local Policies (Diretivas Locais), Audit Policy (Diretiva de Auditoria). Observe que aqui podemos configurar todas as diretivas de auditoria;

    Cc668439.Auditorias02(pt-br,TechNet.10).jpg
    Figura 2 - Audit Policy - Diretiva de Auditoria

  • Clique 2 vezes sobre a auditoria que deseja habilitar e selecione as opções Success (Sucesso) ou Failure (Falha) ou ambas as opções;

    Cc668439.Auditorias03(pt-br,TechNet.10).jpg
    Figura 3 - Habilitar a Diretiva de Auditoria

  • Clique em OK.

Exemplo prático - Configurar a auditoria de acesso a objetos via GPO.

  • Habilite a auditoria Object Access (Acesso a Objetos), seguindo os passos do exemplo anterior;

  • Agora abra o Windows Explorer e selecione uma pasta ou arquivo do qual deseja realizar a auditoria;

  • Clique com o botão direito sobre a pasta ou arquivo e escolha a opção Properties (Propriedades);

  • Clique na aba Security (Segurança) e clique em Advanced (Avançado);

  • Clique na aba Auditing (Auditoria) e clique em Add (Adicionar);

  • Selecione o grupo ou usuário que será auditado e clique em OK;

  • Será exibida uma janela para que você configure os eventos a serem auditados. Selecione os eventos desejados e clique em OK;

    Cc668439.Auditorias04(pt-br,TechNet.10).jpg
    Figura 4 - Eventos a serem auditados

  • Para auditar mais usuários ou grupos, repita os procedimentos acima;

  • Clique em Apply (Aplicar) e OK 2 vezes.

Para maiores informações sobre as auditorias, visite os sites abaixo:

Conclusão

Finalizamos aqui o artigo sobre Auditorias.

Em caso de dúvidas sobre o conteúdo deste artigo, ou para enviar sugestões sobre novos tutoriais que você gostaria de ver publicados neste site, entre com contato através do e-mail: fabianodesantana@terra.com.br.

E visitem nossa página www.juliobattisti.com.br/fabiano.