Ameaças e contramedidas

Capítulo 3: Diretiva de auditoria

Atualizado em: 27 de dezembro de 2005

Um log de auditoria registra uma entrada toda vez que os usuários realizam certas ações especificadas. Por exemplo, a modificação de um arquivo ou de uma diretiva pode disparar uma entrada de auditoria que mostra a ação que foi executada, a conta de usuário associada e a data e hora da ação. Você pode auditar tanto as tentativas de ações bem-sucedidas como as falhas.

Em um computador, o estado do sistema operacional e dos aplicativos é dinâmico. Por exemplo, é possível alterar temporariamente os níveis de segurança para permitir a resolução imediata de um problema de administração ou rede. No entanto, tais alterações são freqüentemente esquecidas e nunca desfeitas. Se os níveis de segurança não forem adequadamente redefinidos, um computador poderá deixar de atender aos requisitos de segurança da empresa.

Análises de segurança regulares permitem que os administradores controlem e determinem que existem medidas de segurança adequadas em vigor para cada computador como parte de um programa de gerenciamento de risco corporativo. Essas análises concentram-se em informações bastante específicas sobre todos os aspectos de um computador relacionados à segurança, que os administradores podem usar para ajustar os níveis de segurança. O mais importante é que essas informações podem ajudar a detectar quaisquer falhas de segurança que possam ocorrer no computador com o tempo.

As auditorias de segurança são extremamente importantes para qualquer rede corporativa, uma vez que os logs de auditoria podem constituir a única indicação de que ocorreu uma violação de segurança. Se a violação for descoberta de uma outra maneira, as definições de auditoria adequadas irão gerar um log de auditoria que contém informações importantes sobre a violação.

Freqüentemente, os logs de falhas são muito mais informativos do que logs de êxito, porque as falhas normalmente indicam os erros. Por exemplo, um logon bem-sucedido a um computador por um usuário normalmente seria considerado normal. No entanto, se alguém tentar sem êxito fazer logon a um computador várias vezes, isso pode indicar uma tentativa de um invasor violar o computador com as credenciais de conta de outra pessoa. Os logs de eventos registram eventos no computador e, em sistemas operacionais Microsoft® Windows®, há logs de eventos separados para aplicativos, eventos de segurança e eventos de sistema. O Log de segurança registra eventos de auditoria. O recipiente de log de eventos da Diretiva de Grupo é usado para definir atributos relacionados a logs de eventos de Aplicativo, Segurança e Sistema, como tamanho máximo de log, direitos de acesso para cada log, definições e métodos de retenção. Este guia inclui uma pasta de trabalho do Microsoft Excel®, "Windows Default Security and Services Configuration," que documenta as configurações padrão.

Antes que quaisquer processos de auditoria sejam implementados, uma organização deve determinar como os processos coletarão, organizarão e analisarão os dados. Pouco valem os volumes grandes de dados de auditoria se não houver um plano relacionado para explorá-los. Além disso, as configurações de auditoria podem afetar o desempenho do computador. O efeito de uma determinada combinação de configurações pode ser insignificante em um computador de usuário final, mas bastante evidente em um servidor ocupado. Portanto, você deve executar alguns testes de desempenho antes de implantar novas configurações de auditoria em seu ambiente de produção.

Você pode definir as configurações de diretiva de Auditoria no seguinte local do Editor de Objeto de Diretiva de Grupo:

Configuração do Computador\Configurações do Windows\Configurações de Segurança\Diretivas Locais
\Diretiva de Auditoria

Nesta página

Configurações de auditoria
Exemplo de auditoria: Resultados de um evento de logon de usuário
Mais informações

Configurações de auditoria

As vulnerabilidades, as contramedidas e os impactos potenciais de todas as configurações de auditoria são idênticos. Portanto, esses termos são descritos só uma vez. Cada descrição é então seguida por explicações breves de cada configuração.

As opções para cada uma das configurações de auditoria são:

• Success. Uma entrada de auditoria é gerada quando a ação solicitada tem êxito.

• Failure. Uma entrada de auditoria é gerada quando a ação solicitada falha.

• Sem auditoria. Nenhuma entrada de auditoria é gerada para a ação associada.

Vulnerabilidade

Se nenhuma configuração de auditoria for definida, será difícil ou impossível determinar o que aconteceu durante um incidente de segurança. Entretanto, se as configurações de auditoria forem definidas de modo que um número excessivo de atividades autorizadas gere eventos, o log de eventos Segurança será preenchido com dados inúteis. Além disso, você pode afetar o desempenho geral do computador se definir configurações de auditoria para um grande número de objetos.

Contramedida

Você deve ativar configurações sensatas de Diretiva de Auditoria para todos os computadores de sua organização, de modo que os usuários possam ser responsabilizados por suas ações, e a atividade não autorizada possa ser detectada e controlada.

Impacto potencial

Se nenhuma configuração de auditoria for definida, ou se as configurações de auditoria forem permissivas demais nos computadores de sua organização, não haverá evidência suficiente disponível para análise pericial depois que ocorrerem incidentes de segurança. No entanto, se as configurações de auditoria forem restritas demais, entradas criticamente importantes no relatório de segurança poderão ser encobertas por todas as entradas insignificantes, e o desempenho do computador poderá ser seriamente afetado. As empresas que operam em certos setores regulamentados podem ter obrigações legais de registrar certos eventos ou atividades.

Eventos de logon de conta de auditoria

Esta configuração de diretiva determina se deve-se auditar cada instância de logon ou logoff de usuário em um computador diferente daquele que registra o evento e valida a conta. Se você definir esta configuração de diretiva, poderá especificar se quer auditar êxitos, falhas ou até mesmo não auditar o tipo de evento. Auditorias de êxito geram uma entrada de auditoria quando uma tentativa de logon de conta é bem-sucedida, o que é uma informação útil para fins contábeis e depois de incidentes legais, de modo que você possa determinar quem efetuou logon bem-sucedido e em qual computador. As auditorias de falha geram uma entrada de auditoria quando há falha de tentativa de logon de conta, o que é útil para a detecção de invasão. No entanto, esta configuração de diretiva também cria o potencial para um ataque de negação de serviço (DoS). Quando a configuração Auditoria: Desligar o sistema imediatamente se não for possível o log de auditorias seguras está ativada, um invasor pode gerar milhão de falhas de logon, ocupar todo o log de eventos de Segurança e forçar o desligamento do computador.

Se você definir a configuração Eventos de logon de conta de auditoria como Success em um controlador de domínio, uma entrada será registrado para cada usuário que seja validado nesse controlador de domínio, mesmo que na verdade o usuário faça logon em uma estação de trabalho ou servidor que faça parte do domínio.

Auditoria de gerenciamento de contas

Esta configuração de diretiva determina se deve-se auditar cada evento de gerenciamento de conta em um computador. Exemplos de eventos de gerenciamento de contas:

• Uma conta de usuário ou de grupo é criada, alterada ou excluída.

• Uma conta de usuário é renomeada, desativada ou ativada.

• Uma senha é definida ou alterada.

Se você definir a configuração Auditoria de gerenciamento de contas, poderá especificar se quer auditar êxitos, falhas ou até mesmo não auditar o tipo de evento. Auditorias de êxito geram uma entrada de auditoria quando um evento de gerenciamento de contas é bem-sucedido, e você deve ativá-las em todos os computadores da empresa. Quando uma organização responde a incidentes de segurança, é fundamental que sejam capazes de rastrear quem criou, alterou ou excluiu uma conta. As auditorias de falha geram uma entrada de auditoria quando um evento de gerenciamento de contas falha.

Auditoria de acesso ao serviço de diretório

Esta configuração de diretiva determina se deve-se auditar o acesso de usuário de um objeto do serviço de diretório Active Directory® que tenha uma lista de controle de acesso ao sistema (SACL) associada. A SACL é uma lista de usuários e grupos cujas ações num objeto devem ser auditadas numa rede baseada em Microsoft Windows.

Se você definir a configuração Auditoria de acesso ao serviço de diretório, poderá especificar se quer auditar êxitos, falhas ou até mesmo não auditar o tipo de evento. As auditorias de êxito geram uma entrada de auditoria quando um usuário acessa com êxito um objeto do Active Directory que tenha uma SACL indicando que o usuário deve ser auditado para a ação solicitada. As auditorias de falhas geram uma entrada de auditoria quando um usuário tenta sem sucesso acessar um objeto do Active Directory que tenha uma SACL que exija auditoria. (Ambos os tipos de entradas de auditoria são criados antes que o usuário seja notificado de que a solicitação teve êxito ou fracassou.) Se você ativar esta configuração de diretiva e configurar SACLs em objetos de diretório, um volume grande de entradas poderá ser gerado nos logs de Segurança dos controladores de domínio. Você só deve ativar essas configurações se realmente quiser usar as informações criadas.

Observação: é possível configurar uma SACL em um objeto do Active Directory usando a guia Segurança na caixa de diálogo Propriedades do objeto. Esse método é análogo à Auditoria de acesso a objetos, exceto que ela se aplica apenas a objetos do Active Directory e não a objetos do sistema de arquivos e do Registro.

Auditoria de eventos de logon

Esta configuração de diretiva determina se deve-se auditar cada instância de logon, logoff e conexão de rede de um usuário no computador que registra o evento de auditoria. Se você registrar eventos de auditoria de logon de conta bem-sucedidos em um controlador de domínio, as tentativas de logon de estações de trabalho não gerarão auditorias de logon. Apenas tentativas de logon interativo e de rede ao próprio controlador de domínio geram eventos de logon no controlador do domínio. Em resumo, eventos de logon de contas são gerados onde a conta existe, e os eventos de logon são gerados onde a tentativa de logon ocorre.

Se você definir a configuração Auditoria de eventos de logon, poderá especificar se quer auditar êxitos, falhas ou até mesmo não auditar o tipo de evento. Auditorias de êxito geram uma entrada de auditoria quando uma tentativa de logon é bem-sucedida, o que é uma informação útil para fins de responsabilização e exames pós-incidentes, de modo que você possa determinar quem efetuou um logon bem-sucedido e em qual computador. As auditorias de falha geram uma entrada de auditoria quando há falha de tentativa de logon, o que é útil para a detecção de invasão. No entanto, esta configuração também cria uma condição de DoS potencial, porque um invasor pode gerar milhões de falhas de logon, ocupando todo o log de eventos de Segurança e forçando o desligamento do servidor.

Auditoria de acesso a objetos

Esta configuração de diretiva determina se deve-se auditar o evento de um usuário que acessa um objeto—por exemplo, um arquivo, pasta, chave do Registro ou impressora—que tenha uma SACL que especifique um requisito de auditoria.

Se você definir a configuração Auditoria de acesso a objetos, poderá especificar se quer auditar êxitos, falhas ou até mesmo não auditar o tipo de evento. As auditorias de êxito geram uma entrada de auditoria quando um usuário acessa com sucesso um objeto que tem uma SACL. As auditorias de falha geram uma entrada de auditoria quando um usuário tenta sem sucesso acessar um objeto que tenha uma SACL (alguns eventos de falha são esperados no curso de operações normais do computador). Por exemplo, muitos aplicativos (como o Microsoft Word) sempre tentam abrir arquivos com privilégios de leitura e gravação. Se os aplicativos não puderem fazer isso, eles tentarão abrir os arquivos com privilégios somente leitura. Se você ativar a auditoria de falhas e a SACL apropriada no arquivo, um evento de falha será registrado quando tal evento ocorrer.

No Windows Server™ 2003 com Service Pack 1 (SP1), você pode auditar o acesso a objetos que estejam armazenados na metabase do Internet Information Server (IIS). Para ativar a auditoria de objetos de metabase, ative Auditoria de acesso a objetos no computador de destino e, em seguida, defina SACLs nos objetos de metabase específicos cujo acesso você quer auditar.

Se você definir a configuração de diretiva Auditoria de acesso a objetos e configurar SACLs em objetos, um volume grande de entradas pode ser gerado nos logs de Segurança em computadores de sua organização. Você só deve ativar essas configurações se realmente quiser usar as informações registradas.

Observação: você deve executar um processo de dois passos para ativar a capacidade de auditar um objeto, tal como um arquivo, pasta, impressora ou chave do Registro, no Windows Server 2003. Depois que ativar a diretiva de auditoria de acesso a objetos, você deve determinar os objetos cujo acesso quer controlar e então modificar suas SACLs de forma correspondente. Por exemplo, se você quer auditar alguma tentativa de usuário para abrir um arquivo específico, pode configurar um atributo de Êxito ou Falha diretamente no arquivo que você quer controlar para aquele evento específico, com Windows Explorer ou Diretiva de Grupo.

Auditoria de alteração de diretivas

Esta configuração de diretiva determina se deve-se auditar ou não cada instância de uma alteração das diretivas de atribuição de direitos de usuário, diretivas do Firewall do Windows, diretivas de auditoria ou diretivas de confiança.

Se você definir a configuração Auditoria de alteração de diretivas, poderá especificar se quer auditar êxitos, falhas ou até mesmo não auditar o tipo de evento. As auditorias de êxito geram uma entrada de auditoria quando uma alteração de diretivas de atribuição de direitos de usuário, diretivas de auditoria ou diretivas de confiança tiver êxito. Estas informações de auditoria são úteis para propósitos de responsabilização e para ajudar a determinar quem modificou com êxito as diretivas no domínio ou em computadores individuais. As auditorias de falha geram uma entrada de auditoria quando uma alteração de diretivas de atribuição de direitos de usuário, diretivas de Auditoria ou diretivas de confiança falha.

Se você ativar a configuração Auditoria de alteração de diretivas no Windows XP com SP2 e no Windows Server 2003 com SP1, o log de alterações de configuração do componente Firewall do Windows também será ativado.

Auditoria de uso de privilégios

Esta configuração de diretiva determina se deve-se auditar cada instância de um usuário que exerça um direito.

Se você definir a configuração Auditoria de uso de privilégios, poderá especificar se quer auditar êxitos, falhas ou até mesmo não auditar o tipo de evento. Auditorias de êxito geram uma entrada de auditoria quando o exercício de um direito de usuário é bem-sucedido. Auditorias de falha geram uma entrada de auditoria quando o exercício de um direito de usuário falha. Se você ativar esta configuração de diretiva, o volume de eventos que é gerado pode ser muito grande e será difícil consultá-los. Você só deverá ativar essa configuração se tiver um plano de como usar as informações geradas.

Os eventos de auditoria não são gerados para o uso dos direitos de usuário a seguir, mesmo se auditorias de êxito ou auditorias de falha forem especificadas para esta configuração de diretiva:

• Ignorar a verificação completa

• Depurar programas

• Criar objeto identificador

• Repor identificador de nível de processo

• Gerar auditorias de segurança

• Fazer backup de arquivos e diretórios

• Restaurar arquivos e diretórios

Auditoria de controle de processos

Esta configuração de diretiva determina se deve-se auditar ou não informações de rastreamento detalhadas para eventos como ativação de programas, saída de processo, duplicação de identificadores e acesso indireto a objetos.

Se você definir a configuração Auditoria de controle de processos, poderá especificar se quer auditar êxitos, falhas ou até mesmo não auditar o tipo de evento. Auditorias de êxito geram uma entrada de auditoria quando o processo que está sendo controlado é bem-sucedido. Auditorias de falha geram uma entrada de auditoria quando o processo que está sendo controlado falha.

Se você ativar a configuração Auditoria de controle de processos no Windows XP com SP2 e no Windows Server 2003 com SP1, o Windows também registrará informações sobre o modo de operação e o status do componente Firewall do Windows.

Quando ativada, a configuração Auditoria de controle de processos gera um grande número de eventos. Esta configuração de diretiva normalmente é configurada como Sem auditoria. No entanto, as informações que esta configuração de diretiva gera podem ser muito benéficas durante a resposta a um incidente, porque fornece um log detalhado dos processos que foram iniciados e quando isso ocorreu.

Auditoria de eventos de sistema

Esta configuração de diretiva determina se deve-se auditar quando um usuário reinicia ou desliga o computador ou quando ocorre um evento que afete a segurança do computador ou o log de Segurança.

Se você definir a configuração Auditoria de eventos de sistema, poderá especificar se quer auditar êxitos, falhas ou até mesmo não auditar o tipo de evento. As auditorias de êxito geram uma entrada de auditoria quando um evento é executado com êxito. As auditorias de falha geram uma entrada de auditoria quando um evento é malsucedido. Como poucos eventos adicionais são registrados se tanto a auditoria de falhas como a de êxitos estiverem ativadas para eventos de sistema, e como esse tipo de evento é muito significativo, você deve definir esta configuração de diretiva como Ativado em todos os computadores da organização.

Exemplo de auditoria: Resultados de um evento de logon de usuário

Depois que você se familiarizar com as diferentes configurações de auditoria que estão disponível no Windows, pode ser útil considerar um exemplo específico. As auditorias são executadas da perspectiva de um computador individual, em vez de sob uma perspectiva mais abrangente, que pode ser preferível para um administrador. Como os eventos são registrados em computadores individuais, você pode necessitar examinar os logs de segurança de vários computadores e correlacionar os dados para determinar o que ocorreu.

O restante deste capítulo mostra os eventos principais que são gravados nos logs de eventos do controlador de domínio, servidor de arquivos e o computador do usuário quando um usuário autorizado faz logon em seu computador e acessa um arquivo dentro de uma pasta compartilhada hospedada pelo servidor de arquivos. Só os eventos principais são documentados—outros eventos que são gerados por estas atividades são omitidos por motivo de clareza. Os nomes das contas e os recursos envolvidos no exemplo são:

• Domínio = DOM

• Controlador de domínio = DC1

• Servidor de arquivo = FS1

• Computador de usuário final = XP1

• Usuário = John

• Pasta compartilhada no FS1 = Share

• Documento na pasta compartilhada = document.txt

O usuário faz logon em seu computador

• Eventos registrados no computador do usuário final

  • Auditoria de Êxito para Identificação de Evento 528, Logon/Logoff de usuário para usuário DOM\John no computador XP1

• Eventos registrados no controlador de domínio

  • Auditoria de Êxito para Identificação de Evento 540, Logon/Logoff de usuário para DOM de usuário\John no computador DC1.

• Eventos registrados no servidor de arquivos

  • Não aplicável.

O usuário se conecta à pasta compartilhada denominada Share

• Eventos registrados no computador do usuário final

  • Não aplicável.

• Eventos registrados no controlador de domínio

  • Auditoria de Êxito para Identificação de Evento 673, Logon de conta para usuário John@DOM.com para nome de serviço FS1$.

  • Auditoria de Êxito para Identificação de Evento 673, Logon de conta para usuário FS$@DOM.com para nome de serviço FS1$.

  • Auditoria de Êxito para Identificação de Evento ID 673, Logon de conta para usuário XP1$@DOM.com para nome de serviço FS1$.

    Observação: todas são solicitações de permissão de serviço do protocolo de autenticação Kerberos.

• Eventos registrados no servidor de arquivos

  • Auditoria de Êxito para Identificação de Evento 540, Logon/Logoff de usuário para usuário DOM\John no computador FS1.

  • Auditoria de Êxito para Identificação de Evento 560, Acesso a Objeto para usuário DOM\John para o objeto chamado C:\Share com tipos de acesso READ_CONTROL, ReadData (ou ListDirectory), ReadEA e ReadAttributes.

  • Auditoria de Êxito para Identificação de Evento 560, Acesso a Objeto para usuário DOM\John ao objeto chamado C:\Share\document.txt com tipos de acesso READ_CONTROL, ReadData (ou ListDirectory), ReadEA e ReadAttributes.

O usuário abre o arquivo document.txt

• Eventos registrados no computador do usuário final

  • Não aplicável.

• Eventos registrados no controlador de domínio

  • Não aplicável.

• Eventos registrados no servidor de arquivos

  • Auditoria de Êxito para Identificação de Evento 560, Acesso a Objeto para usuário DOM\John ao objeto chamado C:\Share\document.txt com tipos de acesso READ_CONTROL, ReadData (ou ListDirectory), WriteDate (ou AddFile), AppendDate (ou AddSubdirectory ou CreatePipeInstance), ReadEA, WriteEA, ReadAttributes e WriteAttributes.

  • Auditoria de Êxito para Identificação de Evento 560, Acesso a Objeto para usuário DOM\John ao objeto chamado C:\Share\document.txt com tipos de acesso ReadAttributes.

  • Auditoria de Êxito para Identificação de Evento 560, Acesso a Objeto para usuário DOM\John ao objeto chamado C:\Share com tipos de acesso ReadAttributes.

O usuário salva o arquivo document.txt

• Eventos registrados no computador do usuário final

  • Não aplicável.

• Eventos registrados no controlador de domínio

  • Não aplicável.

• Eventos registrados no servidor de arquivos

  • Auditoria de Êxito para Identificação de Evento 560, Acesso a Objeto para usuário DOM\John ao objeto chamado C:\Share\document.txt com tipos de acesso SYNCHRONIZE, ReadData (ou ListDirectory), WriteDate (ou AddFile), AppendDate (ou AddSubdirectory ou CreatePipeInstance), ReadEA, WriteEA, ReadAttributes e WriteAttributes.

  • Auditoria de Êxito para Identificação de Evento 560, Acesso a Objeto para usuário DOM\John ao objeto chamado C:\Share\document.txt com tipos de acesso READ_CONTROL, SYNCHRONIZE e ReadData (ou ListDirectory).

Embora esse exemplo pareça uma série complexa de eventos, ele foi bastante simplificado. As ações listadas acima na verdade geram uma dúzia de logons, logoffs e eventos de uso de privilégios no controlador de domínio e no servidor de arquivos. Quando o usuário abrir o arquivo, serão geradas marcas de eventos de acesso a objetos, e toda vez que o usuário salvar o arquivo serão gerados mais eventos. Como você pode ver, o uso de dados de auditoria pode ser um desafio sem a ajuda de ferramentas automatizadas, como o Microsoft Operations Manager.

Mais informações

Os links a seguir fornecem informações adicionais sobre tópicos relacionados a diretivas de Auditoria para computadores que executam Windows XP com SP2 ou Windows Server 2003 com SP1:

• Para obter mais informações sobre a diretiva de Auditoria, consulte a seção "Auditing Policy" na documentação TechCenter do Windows Server 2003 no Microsoft TechNet em www.microsoft.com/technet/prodtechnol/windowsserver2003/library/ServerHelp/6847e72b-9c47-42ab-b3e3-691addac9f33.mspx.

• O artigo "HOW TO: Use Group Policy to Audit Registry Keys in Windows Server 2003" em https://support.microsoft.com/default.aspx?kbid=324739 descreve como auditar o acesso a chaves do Registro com a adição de SACLs a essas chaves.

• Os artigos "Windows 2000 Security Event Descriptions (Part 1 of 2)" em https://support.microsoft.com/kb/299475/ e "Windows 2000 Security Event Descriptions (Part 2 of 2)" em https://support.microsoft.com/kb/301677/ descrevem os eventos de segurança registrados pelo Windows 2000 Server. Eles também se aplicam ao Windows Server 2003 e ao Windows XP.

Neste artigo

• Visão geral
• Capítulo 1: Introdução a ameaças e contramedidas: configurações de segurança no Windows Server 2003 e Windows XP
• Capítulo 2: Diretivas do nível de domínio
• Capítulo 3: Diretiva de auditoria
• Capítulo 4: Direitos de usuário
• Capítulo 5: Opções de segurança
• Capítulo 6: Log de eventos
• Capítulo 7: Serviços de sistema
• Capítulo 8: Diretivas de restrição de software
• Capítulo 9: Modelos administrativos do Windows XP e Windows Server 2003
• Capítulo 10: Entradas adicionais do Registro
• Capítulo 11: Contramedidas adicionais
• Capítulo 12: Conclusão
• Agradecimentos

Download

Receba o Guia Ameaças e Contramedidas

Notificações de atualizações

Inscreva-se para informar-se sobre atualizações e novos lançamentos

Comentários

Envie-nos seus comentários ou sugestões

4 de 14