Ameaças e contramedidas

Capítulo 6: Log de eventos

Atualizado em: 27 de dezembro de 2005

O log de eventos registra eventos no computador, e o log de Segurança registra eventos de auditoria. O recipiente de log de eventos da Diretiva de Grupo é usado para definir atributos relacionados a logs de eventos do aplicativo, da segurança e do sistema, como tamanho máximo de log, direitos de acesso para cada log, definições e métodos de retenção. A pasta de trabalho do Microsoft® Excel® chamada "Windows Default Security and Services Configuration", incluída neste guia, documenta as configurações de log de eventos padrão.

Nesta página

Configurações do Log de Eventos
Mais informações

Configurações do Log de Eventos

Você pode configurar os parâmetros do log de eventos no seguinte local do Editor de objeto de diretiva de grupo:

Configuração do Computador\Definições do Windows\Definições de Segurança\Log de Eventos\Definições para Logs de Eventos

Tamanho máximo do log de eventos

Esta configuração de diretiva especifica o tamanho máximo dos logs de eventos de Aplicativo, Segurança e Sistema. Embora as UIs (interfaces de usuário) tanto do Editor de Objetos da Diretiva de Grupo quanto do snap-in Visualizar eventos do Console de Gerenciamento Microsoft (MMC) permitam que você insira valores grandes de até quatro GB, existem fatores que tornam o tamanho máximo efetivo desses logs bem menor.

O serviço Log de eventos usa arquivos mapeados na memória e é executado como um dos serviços sob o processo Services.exe como Eventlog.dll. Quando os arquivos são carregados desta maneira, o arquivo inteiro é carregado na memória do computador. Todas as versões atuais de Microsoft Windows® têm uma limitação arquitetônica com arquivos mapeados na memória: nenhum processo pode ter mais de um GB de arquivos mapeados na memória no total. Isso significa que todos os serviços executados no processo Services.exe devem compartilhar o pool de um GB. A memória é atribuída em porções contíguas de 64 KB, e se o computador não puder atribuir memória adicional para expandir arquivos mapeados na memória, ocorrerão problemas.

Para o serviço Log de eventos, o uso de arquivos mapeados na memória significa que independentemente da quantidade de memória que a configuração Tamanho máximo do log de eventos especificar, eventos do log podem não mais ser registrados no log quando o computador não tiver mais memória disponível para o arquivo mapeado na memória. As mensagens de erro não serão mais exibidas, os eventos simplesmente não deverão aparecer no log de eventos, ou eles substituirão outros que foram anteriormente gravados. A fragmentação dos arquivos de log na memória leva a importantes problemas de desempenho em computadores ocupados.

Por causa destas limitações—mesmo que o limite teórico para arquivos mapeados na memória sugira o contrário e as UIs de Visualizar Eventos e do Editor de Objeto de Diretiva de Grupo permitam especificar até quatro GB por log—a Microsoft verificou que o limite prático é aproximadamente 300 MB na maioria dos servidores -- isso é, 300 MB para todos os logs de eventos combinados. No Microsoft Windows XP, servidores membros e servidores autônomos, o tamanho combinado de eventos de log de Aplicativos, Segurança, e Sistema não excede em 300 MB. Em controladores de domínio, o tamanho combinado desses três logs mais o serviço de diretório Active Directory®, DNS e logs de Replicação não deve exceder 300 MB.

Estas limitações causaram problemas para alguns clientes da Microsoft, mas a única forma de remover as limitações exige alterações fundamentais na forma como os eventos de sistema são registrados. A Microsoft está reescrevendo o sistema de log de eventos para resolver esses problemas na próxima versão do Windows.

Embora não haja uma equação simples para determinar o melhor tamanho de log para um servidor específico, você pode calcular um tamanho razoável. O evento médio ocupa aproximadamente 500 bytes em cada log, e os tamanhos de arquivo de log devem ser um múltiplo de 64 KB. Se você puder calcular o número médio de eventos que são gerados por dia para cada tipo de log em sua organização, você poderá determinar um bom tamanho para cada tipo de arquivo de log.

Por exemplo, se o seu servidor de arquivos gera diariamente 5.000 eventos no log de Segurança e você quer estar sempre seguro de ter no mínimo 4 semanas de dados disponíveis, pode configurar o seu tamanho em cerca de 70 MB. (500 bytes * 5000 eventos/dia * 28 dias = 70.000.000 bytes.) Então, verifique os servidores ocasionalmente pelas próximas quatro semanas para verificar seus cálculos e se os logs mantêm eventos suficientes para as suas necessidades. O tamanho do log de eventos e a disposição de logs devem ser definidos para corresponder aos requisitos de negócio e de segurança que você determinou quando criou o plano de segurança de sua organização.

Os valores possíveis para a configuração Tamanho máximo do log de eventos são:

  • Um valor definido pelo usuário em kilobytes entre 64 e 4.194.240. No entanto, ele deve ser um múltiplo de 64.
Vulnerabilidade

Se você aumentar significativamente o número de objetos a auditar em sua organização, haverá um risco de que o log de Segurança alcance sua capacidade e force o desligamento do computador se você tiver ativado a configuração Auditoria: Desligar o sistema imediatamente se não for possível o log de auditorias seguras. Se ocorrer um desligamento como esse, o computador não poderá ser usado até que um administrador limpe o log de segurança. Para evitar esse desligamento, você pode desativar a configuração Auditoria: Desligar o sistema imediatamente se não for possível o log de auditorias seguras descrita no Capítulo 5, "Opções de segurança," e aumentar o tamanho do log de Segurança. Alternativamente, você pode configurar a rotação automática de log como descrito no artigo do Microsoft Knowledge Base "The event log stops logging events before reaching the maximum log size" em https://support.microsoft.com/default.aspx?kbid=312571.

Contramedida

Você deve ativar diretivas sensatas de tamanho de log para todos os computadores de sua organização, de modo que os usuários legítimos possam ser responsabilizados por suas ações, a atividade não autorizada possa ser detectada e rastreada, e os problemas de computador possam ser detectados e diagnosticados.

Impacto potencial

Quando os logs de eventos ficam cheios, eles param de registrar informações, a menos que o método de retenção para cada um esteja configurado de modo que o computador substitua as entradas antigas pelas recentes. Para atenuar o risco de perda de dados recentes, você pode configurar o método de retenção de modo que os eventos mais antigos sejam substituídos conforme necessário.

A conseqüência dessa configuração é que os eventos mais antigos serão removidos dos logs. Os invasores tiram proveito de tal configuração, porque podem gerar um grande número de eventos alheios para substituir qualquer evidência de seu ataque. Estes riscos podem ser um pouco reduzidos se você automatizar o arquivamento e backup de dados de log de eventos.

O ideal é que os eventos especificamente monitorados sejam enviados a um servidor usando o MOM (Microsoft Operations Manager) ou alguma outra ferramenta de monitoramento automatizado. Esta configuração é especialmente importante porque um invasor que comprometer um servidor com êxito poderá limpar o log de Segurança. Se todos os eventos forem enviados para um sistema de monitoramento, você será capaz de coletar informações judiciais sobre as atividades do invasor.

Impedir que o grupo de convidados locais acesse os logs de eventos

Esta configuração de diretiva determina se os convidados podem acessar os logs de eventos Aplicativo, Segurança e Sistema.

Os valores possíveis para a configuração Impedir que o grupo de convidados locais acesse os logs de eventos são:

  • Ativado

  • Desativado

  • Não Definido

Observação: esta configuração de diretiva não aparece no objeto Diretiva de Computador Local.

Esta configuração de diretiva só afeta computadores que executam Windows 2000 e versões subseqüentes do Windows.

Vulnerabilidade

Um invasor que tenha feito logon com êxito em um computador com privilégios de convidado pode descobrir informações importantes sobre o computador se for capaz de exibir os logs de eventos. Ele poderá usar essas informações para implementar explorações adicionais

Contramedida

Ative a configuração Impedir que o grupo de convidados locais acesse os logs de eventos para as diretivas dos três logs de eventos.

Impacto potencial

Nenhum. Essa é a configuração padrão.

Reter logs de eventos

Esta configuração de diretiva determina o número de dias de dados de log de eventos a reter para os logs Aplicativo, Segurança e Sistema se o método de retenção especificado para o log for Por Dias. Defina esta configuração apenas se você arquivar o log em intervalos programados e tiver certeza de que o tamanho máximo dele seja grande o suficiente para acomodar o intervalo.

Os valores possíveis para a configuração Reter logs de eventos são:

  • Um número em dias definido pelo usuário entre 1 e 365

  • Não Definido

Observação: esta configuração de diretiva não aparece no objeto Diretiva de Computador Local.

Para ter acesso ao log Segurança, um usuário deve possuir o direito Gerenciar o log de auditoria e de segurança.

Vulnerabilidade

Se você arquivar o log em intervalos programados:

  1. Abra a caixa de diálogo Propriedades para esta diretiva.

  2. Especifique o número apropriado de dias na configuração Reter log de aplicativo.

  3. Selecione Substituir eventos periodicamente para o método de retenção de log de eventos.

Além disso, certifique-se de que o tamanho máximo de log seja grande o suficiente para acomodar o intervalo.

Contramedida

Defina a configuração Reter logs de eventos para as diretivas dos três logs de eventos como Não Definido.

Impacto potencial

Nenhum. Essa é a configuração padrão.

Método de retenção para logs de eventos

Esta configuração de diretiva determina o método de disposição para os logs Aplicativo, Segurança e Sistema.

Se você não quiser arquivar o log Aplicativo:

  1. Abra a caixa de diálogo Propriedades para esta diretiva.

  2. Marque a caixa de seleção Definir a configuração da diretiva.

  3. Clique em Substituir eventos quando necessário.

Se você quiser arquivar o log em intervalos programados:

  1. Abra a caixa de diálogo Propriedades para esta diretiva.

  2. Marque a caixa de seleção Definir a configuração da diretiva.

  3. Clique em Substituir eventos periodicamente.

  4. Especifique o número apropriado de dias na configuração Reter log de aplicativo. Certifique-se de que o tamanho máximo de log é grande o suficiente para acomodar o intervalo.

Se você quiser reter todos os eventos no log:

  1. Abra a caixa de diálogo Propriedades para esta diretiva.

  2. Marque a caixa de seleção Definir a configuração da diretiva.

  3. Clique em Não substituir eventos (limpar o log manualmente).

Esta opção requer que o log seja limpo manualmente. Nesta configuração, novos eventos são descartados quando o tamanho máximo de log é alcançado.

Os valores possíveis para a configuração Método de retenção para logs de eventos são:

  • Substituir eventos periodicamente

  • Substituir eventos quando necessário

  • Não substituir eventos (limpar o log manualmente)

  • Não Definido

Observação: esta configuração de diretiva não aparece no objeto Diretiva de Computador Local.

Vulnerabilidade

Se você aumentar significativamente o número de objetos a auditar em sua organização, há um risco de que o log de Segurança alcance sua capacidade e force o desligamento do computador. Se ocorrer um desligamento como esse, o computador não poderá ser usado até que um administrador limpe o log de segurança. Para evitar esse desligamento, você pode desativar a configuração Auditoria: Desligar o sistema imediatamente se não for possível o log de auditorias seguras descrita no Capítulo 5, "Opções de segurança," e depois aumentar o tamanho do log de Segurança.

Se você definir o Método de retenção do log de eventos como Manual ou Substituir eventos periodicamente, é possível que eventos recentes importantes não sejam registrados ou que ocorra um ataque de negação de serviço.

Contramedida

Defina o método de retenção dos três logs de eventos com a opção Substituir eventos quando necessário. Alguns recursos recomendam que essa configuração seja Manual; porém, a sobrecarga administrativa que essa configuração impõe é muito alta para muitas organizações.

De preferência, todos os eventos significativos serão enviados para um servidor de monitoramento usando MOM ou alguma outra ferramenta de monitoramento automatizado.

Impacto potencial

Quando os logs de eventos ficam cheios, eles param de registrar informações, a menos que o método de retenção esteja configurado de modo que o computador possa substituir as entradas antigas pelas recentes.

Delegar acesso aos logs de eventos

No Microsoft Windows Server™ 2003, é possível personalizar as permissões em cada log de eventos de um computador. Esse recurso não estava disponível nas versões anteriores do Windows. Algumas organizações podem conceder acesso somente leitura a um ou mais eventos de log do Sistema para alguns membros da equipe da TI. A ACL (Lista de Controle de Acesso) é armazenada como uma seqüência SDDL (Descriptor Definition Language), em um valor REG_SZ chamado “CustomSD” para cada log de evento no registro, como a seguir:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\EventLog\CustomSD Crie um valor de Registro REG_SZ O:BAG:SYD:(D;;0xf0007;;;AN)(D;;0xf0007;;;BG) (A;;0xf0007;;;SY)(A;;0x7;;;BA)(A;;0x5;;;SO)(A;;0x1;;;IU)(A;;0x1;;;SU) (A;;0x1;;;S-1-5-3)(A;;0x2;;;LS)(A;;0x2;;;NS)

Você pode editar este valor e reiniciar o computador; a nova configuração entrará em vigor.

Cuidado: tome cuidado ao editar os valores do Registro porque não existe função "desfazer" na ferramenta do Editor do Registro. Se cometer um erro, você terá que corrigi-lo manualmente. Além disso, você pode configurar as ACLs acidentalmente em um log de eventos de forma que ninguém poderá acessá-lo. Antes de prosseguir, tenha certeza de que você realmente entendeu a SDDL e as permissões padrão colocadas em cada log de evento. Teste toda alteração antes de implementá-la em seu ambiente de produção.

Para obter mais informações sobre como configurar a segurança para logs de eventos no Windows Server 2003, consulte "How to: Set Event Log Security Locally or by Using Group Policy in Windows Server 2003" em https://support.microsoft.com/default.aspx?kbid=323076.

Para obter mais informações sobre SDDL, consulte "Security Descriptor Definition Language" no MSDN® em https://msdn.microsoft.com/library/default.asp?url=/library/en-us/secauthz/
security/security_descriptor_definition_language.asp.

Mais informações

Os links seguintes fornecem informações adicionais sobre o log de eventos no Windows Server 2003 e no Windows XP.

Neste artigo

Download

Receba o Guia Ameaças e Contramedidas

Notificações de atualizações

Inscreva-se para informar-se sobre atualizações e novos lançamentos

Comentários

Envie-nos seus comentários ou sugestões

Dd459106.pageLeft(pt-br,TechNet.10).gif 7 de 14 Dd459106.pageRight(pt-br,TechNet.10).gif