Perguntas frequentes sobre auditoria de segurança avançada
Este tópico para o profissional de TI lista perguntas e respostas sobre noções básicas, implantação e gerenciamento de políticas de auditoria de segurança.
O que é auditoria de segurança do Windows e por que desejo usá-la?
Qual é a diferença entre políticas de auditoria localizadas em Políticas Locais\Política de Auditoria e políticas de auditoria localizadas em Configuração Avançada de Política de Auditoria?
Qual é a interação entre configurações de política de auditoria básicas e configurações de política de auditoria avançadas?
Como as configurações de auditoria são mescladas por Política de Grupo?
Qual é a diferença entre uma DACL de objeto e uma SACL de objeto?
Por que as políticas de auditoria são aplicadas por computador, em vez de por usuário?
Quais são as diferenças na funcionalidade de auditoria entre as versões do Windows?
Posso usar uma política de auditoria avançada de um controlador de domínio no qual o Windows Server 2003 ou o Windows 2000 Server esteja em execução?
Qual é a diferença entre eventos com êxito e falha? Há algo de errado caso receba uma auditoria de falha?
Como posso definir uma política de auditoria afetando todos os objetos em um computador?
Como descubro por que alguém foi capaz de acessar um recurso?
Como sei quando alterações foram feitas para acessar configurações de controle, por quem e quais foram as alterações?
Como posso reverter políticas de auditoria de segurança da política de auditoria avançada para a política de auditoria básica?
Como posso monitorar se alterações foram feitas em configurações de política de auditoria?
Como posso minimizar o número de eventos gerados?
Quais são as melhores ferramentas para modelar e gerenciar a política de auditoria?
Onde posso encontrar informações sobre todos os eventos possíveis que posso receber?
Onde posso encontrar informações mais detalhadas?
O que é auditoria de segurança do Windows e por que desejo usá-la?
Auditoria de segurança é um exame metódico e uma revisão de atividades que podem afetar a segurança de um sistema. Nos sistemas operacionais Windows, a auditoria de segurança é definida mais rigidamente como os recursos e os serviços que permitem que um administrador faça logon e examine os eventos de atividades relacionadas à segurança especificados.
Centenas de eventos ocorrem quando o sistema operacional Windows e os aplicativos que são executados nele realizam as tarefas. Monitorar esses eventos pode fornecer informações úteis para ajudar os administradores na solução de problemas e na investigação de atividades relacionadas à segurança.
Qual é a diferença entre políticas de auditoria localizadas em Políticas Locais\Política de Auditoria e políticas de auditoria localizadas em Configuração Avançada de Política de Auditoria?
As configurações da política de auditoria de segurança básicas em Configurações de Segurança\Políticas Locais\Política de Auditoria e as configurações da política de segurança avançadas em Configurações de Segurança\Configuração Avançada de Política de Auditoria\Políticas de Auditoria do Sistema aparentemente se sobrepẽm, mas são registradas e aplicadas de maneira diferente. Ao aplicar configurações da política de auditoria básicas ao computador local usando o snap-in Política de Segurança Local (secpol.msc), você está editando a política de auditoria efetiva, de maneira que alterações feitas em configurações da política de auditoria básica serão exibidas exatamente conforme configuradas em Auditpol.exe.
Existem várias diferenças adicionais entre as configurações da política de auditoria de segurança nestas duas localizações.
Existem nove configurações da política de auditoria básicas em Configurações de Segurança\Políticas Locais\Política de Auditoria e configurações em Configuração Avançada de Política de Auditoria. As configurações disponíveis em Configurações de Segurança\Configuração Avançada de Política de Auditoria resolvem problemas semelhantes aos resolvidos pelas nove configurações básicas em Políticas Locais\Política de Auditoria, mas permitem que os administradores sejam mais seletivos no número e nos tipos de eventos de auditoria. Por exemplo, a política de auditoria básica oferece uma única configuração de logon de conta, e a política de auditoria avançada oferece quatro. Habilitar a configuração de logon de conta básica única seria o equivalente da configuração de todas as quatro configurações de logon de conta avançadas. Em comparação, definir uma configuração de política de auditoria avançada única não gera eventos de auditoria para atividades nas quais você não tenha interesse em acompanhar.
Além disso, se você habilitar uma auditoria de sucesso para a configuração Auditoria de eventos de logon de conta básica, somente os eventos de sucesso serão registrados em log para todos os comportamentos relacionados ao logon de conta. Em comparação, dependendo das necessidades da organização, você pode configurar a auditoria de sucesso para uma configuração de logon de conta avançada, a auditoria de falha para uma segunda configuração de logon de conta avançada, a auditoria de êxito e falha para uma terceira configuração de logon de conta avançada ou sem auditoria.
As nove configurações básicas em Configurações de Segurança\Políticas Locais\Política de Auditoria foram introduzidas no Windows 2000. Por isso, elas estão disponíveis em todas as versões do Windows lançadas desde então. As configurações de política de auditoria avançada foram introduzidas no Windows Vista e no Windows Server 2008. As configurações avançadas só podem ser usadas em computadores nos quais o Windows 7, o Windows Server 2008 e versões posteriores estejam em execução.
Qual é a interação entre configurações de política de auditoria básicas e configurações de política de auditoria avançadas?
Configurações de política de auditoria básica não são compatíveis com configurações de política de auditoria avançada aplicadas usando-se Política de Grupo. Quando as configurações de política de auditoria avançada são aplicadas usando-se Política de Grupo, as configurações de política de auditoria do computador atual são limpas antes das configurações de política de auditoria avançada serem aplicadas. Depois de aplicar configurações de política de auditoria avançada usando Política de Grupo, você só poderá definir de maneira confiável a política de auditoria de sistema do computador usando as configurações de política de auditoria avançada.
Editar e aplicar as configurações de política de auditoria avançada em Política de Segurança Local modifica o Objeto de Política de Grupo (GPO) local, de maneira que alterações feitas aqui talvez não sejam exatamente refletidas em Auditpol.exe caso haja políticas de outros GPOs de domínio ou scripts de logon. Ambos os tipos de políticas podem ser editados e aplicados usando-se GPOs de domínio, e essas configurações substituirão todas as configurações de política de auditoria local conflitantes. No entanto, como a política de auditoria básica é gravada na política de auditoria efetiva, essa política de auditoria deve ser removida explicitamente quando uma alteração for desejada, ou ela permanecerá na política de auditoria efetiva. Alterações de política aplicadas usando-se as configurações de Política de Grupo local ou de domínio serão refletidas assim que a nova política for aplicada.
Importante
Independentemente de aplicar políticas de auditoria avançada usando a Política de Grupo ou scripts de logon, não use ambas as configurações de política de auditoria básica em Políticas Locais\Política de Auditoria e as configurações avançadas em Configurações de Segurança\Configuração Avançada de Política de Auditoria. Usar as configurações de política de auditoria avançada e básica podem causar resultados inesperados no relatório de auditoria.
Caso você use definições de Configuração Avançada de Política de Auditoria ou scripts de logon para aplicar políticas de auditoria avançada, não se esqueça de habilitar a configuração de política Auditoria: forçar configurações de subcategorias de políticas de auditoria (Windows Vista ou superior) para substituir configurações de categorias de políticas de auditoria em Políticas Locais/Opções de Segurança. Isso impedirá conflitos entre configurações semelhantes, forçando a auditoria de segurança básica a ser ignorada.
Como as configurações de auditoria são mescladas por Política de Grupo?
Por padrão, as opções de política definidas em GPOs e vinculadas a níveis superiores de sites, domínios e OUs do Active Directory são herdadas por todas as OUs em níveis inferiores. No entanto, uma política herdada pode ser substituída por um GPO vinculado em um nível inferior.
Por exemplo, convém usar um GPO de domínio para atribuir um grupo de toda a organização de configurações de auditoria, mas querer que uma determinada UO obtenha um grupo definido de configurações adicionais. Para isso, você pode vincular um segundo GPO a essa UO de nível inferior específica. Por isso, uma configuração de auditoria de logon aplicada no nível da OU substituirá uma configuração de auditoria de logon conflitante aplicada no nível de domínio (a menos que você tenha seguido etapas especiais para aplicar o processamento de loopback de Política de Grupo).
As regras que controlam como as configurações de Política de Grupo são aplicadas se propagam para o nível de subcategoria de configurações da política de auditoria. Isso significa que as configurações de política de auditoria definidas em GPOs diferentes serão mescladas se não houver configurações de política definidas em um nível inferior. A tabela a seguir ilustra esse comportamento.
| Subcategoria de auditoria | Configuração definida em um GPO da UO (prioridade mais alta) | Configuração definidas em um GPO de domínio (prioridade mais baixa) | Política resultante para o computador de destino |
|---|---|---|---|
Auditoria de compartilhamento de arquivos detalhada |
Êxito |
Falha |
Êxito |
Auditoria de criação do processo |
Desabilitada |
Êxito |
Desabilitada |
Auditoria de logon |
Êxito |
Falha |
Falha |
Qual é a diferença entre uma DACL de objeto e uma SACL de objeto?
Todos os objetos nos Serviços de Domínio do Active Directory (AD DS) e todos os objetos protegíveis em um computador local ou na rede têm descritores de segurança para ajudar a controlar o acesso aos objetos. Os descritores de segurança incluem informações sobre quem possui um objeto, quem pode acessá-lo e de que maneira, além de quais tipos de acesso são auditados. Os descritores de segurança contêm a lista de controle de acesso (ACL) de um objeto, que inclui todas as permissões de segurança que se aplicam a esse objeto. O descritor de segurança de um objeto pode conter dois tipos de ACLs:
Uma lista de controle de acesso discricionário (DACL) que identifica os usuários e os grupos com acesso permitido ou negado
Uma lista de controle de acesso do sistema (SACL) que controla como o acesso é auditado
O modelo de controle de acesso usado no Windows é administrado no nível do objeto definindo-se diferentes níveis de acesso, ou permissões, para objetos. Caso as permissões sejam configuradas para um objeto, o descritor de segurança contém uma DACL com identificadores de segurança (SIDs) para os usuários e os grupos com acesso permitido ou negado.
Caso a auditoria esteja configurada para o objeto, o descritor de segurança também contém uma SACL que controla como o subsistema de segurança audita tentativas de acessar o objeto. No entanto, a auditoria não está totalmente configurada, a menos que uma SACL tenha sido configurada para um objeto e uma configuração de política de auditoria Acesso a Objeto tenha sido definida e aplicada.
Por que as políticas de auditoria são aplicadas por computador, em vez de por usuário?
No auditoria de segurança no Windows, o computador, os objetos no computador e os recursos relacionados são os destinatários principais de ações por clientes, inclusive aplicativos, outros computadores e usuários. Em uma violação de segurança, usuários mal-intencionados podem usar credenciais alternativas para ocultar a identidade, ou aplicativos mal-intencionados podem imitar usuários legítimos para executar tarefas indesejadas. Por isso, a maneira mais consistente de aplicar uma política de auditoria é se concentrar no computador, nos objetos e nos recursos desse computador.
Além disso, como recursos de política de auditoria podem variar entre computadores que executam versões diferentes do Windows, a melhor maneira de garantir que a política de auditoria seja aplicada corretamente é basear essas configurações no computador, e não no usuário.
No entanto, nos casos em que queira que as configurações de auditoria se apliquem apenas a grupos de usuários especificados, você pode fazer isso configurando SACLs nos objetos relevantes para habilitar a auditoria de um grupo de segurança contendo apenas os usuários especificados. Por exemplo, você pode configurar uma SACL para uma pasta chamada Payroll Data em Accounting Server 1. Ela pode auditar tentativas de membros da UO Payroll Processors para excluir objetos dessa pasta. A configuração de política de auditoria Acesso a Objeto\Auditoria de Sistema de Arquivos se aplica a Accounting Server 1, mas como ele requer uma SACL de recurso correspondente, somente ações de membros da UO Payroll Processors na pasta Payroll Data geram eventos de auditoria.
Quais são as diferenças na funcionalidade de auditoria entre as versões do Windows?
Configurações de política de auditoria básica estão disponíveis em todas as versões do Windows desde o Windows 2000, e elas podem ser aplicadas localmente ou usando-se Política de Grupo. As configurações de política de auditoria avançada foram introduzidas no Windows Vista e no Windows Server 2008, mas as configurações só podem ser aplicadas usando-se scripts de logon nessas versões. As configurações de política de auditoria avançada, que foram introduzidas no Windows 7 e no Windows Server 2008 R2, podem ser definidas e aplicadas usando-se configurações de Política de Grupo locais e de domínio.
Posso usar políticas de auditoria avançada de um controlador de domínio no qual o Windows Server 2003 ou o Windows 2000 Server esteja em execução?
Para usar as configurações de política de auditoria avançada, o controlador de domínio deve ser instalado em um computador no qual o Windows Server 2012 R2, o Windows Server 2012, o Windows Server 2008 R2, o Windows Server 2008 ou o Windows Server 2003 com Service Pack 2 (SP2) esteja em execução. Não há suporte para o Windows 2000 Server.
Qual é a diferença entre eventos com êxito e falha? Há algo de errado caso receba uma auditoria de falha?
Um evento de auditoria de êxito é disparado quando uma ação definida, como acessar um compartilhamento de arquivos, é concluída com êxito.
Um evento de auditoria de falha é disparado quando uma ação definida, como um logon de usuário, não é concluída com êxito.
A aparência dos eventos de auditoria de falha no de log de eventos não necessariamente significa que algo está errado com o sistema. Por exemplo, caso você configure eventos de Logon de Auditoria, um evento de falha pode simplesmente significar que um usuário digitou a senha incorretamente.
Como posso definir uma política de auditoria afetando todos os objetos em um computador?
Administradores de sistema e auditores querem cada vez mais verificar se uma política de auditoria está aplicada a todos os objetos em um sistema. Tem sido difícil realizar isso porque as listas de controle de acesso do sistema (SACLs) que regem a auditoria são aplicadas por objeto. Por isso, para verificar se uma política de auditoria foi aplicada a todos os objetos, você precisaria verificar cada objeto para se certificar de que nenhuma alteração tenha sido feita – mesmo que temporariamente em uma única SACL.
Introduzida no Windows Server 2008 R2 e no Windows 7, a auditoria de segurança permite que administradores definam políticas de auditoria de acesso a objetos globais para todo o sistema de arquivos ou para o Registro em um computador. A SACL especificada acaba sendo aplicada automaticamente a todos os objetos desse tipo. Pode ser útil verificar se todos os arquivos, as pastas e as configurações do registro críticos em um computador estejam protegidos e identificar quando ocorre um problema com um recurso do sistema. Caso uma SACL de arquivo ou de pasta e uma política de auditoria de acesso a objetos globais (ou uma única SACL de configuração do Registro e uma política de auditoria de acesso a objetos globais) sejam configuradas em um computador, a SACL efetiva é derivada da combinação da SACL de arquivo ou de pasta e a política de auditoria de acesso a objetos globais. Isso significa que um evento de auditoria é gerado caso uma atividade corresponda à SACL de arquivo ou de pasta ou à política de auditoria de acesso a objetos globais.
Como descubro por que alguém foi capaz de acessar um recurso?
Não costuma bastar saber apenas que um objeto como um arquivo ou uma pasta foi acessado. Convém saber também por que o usuário conseguiu acessar esse recurso. Você pode obter esses dados forenses definindo a configuração Auditoria de Manipulação de Identificador com a configuração de auditoria Auditoria de Sistema de Arquivos ou Auditoria de Registro.
Como sei quando alterações foram feitas para acessar configurações de controle, por quem e quais foram as alterações?
Para controlar alterações de controle de acesso em computadores nos quais o Windows Server 2016 Technical Preview, o Windows Server 2012 R2, o Windows Server 2012 Windows 7, o Windows Server 2008 R2, o Windows Vista ou o Windows Server 2008 esteja em execução, você precisa habilitar as seguintes configurações, que controlam alterações feitas em DACLs:
Subcategoria Auditoria de Sistema de Arquivos: habilitar para êxito, falha ou êxito e falha
Configuração Auditoria de Alteração de Políticas de Autorização: habilitar para êxito, falha ou êxito e falha
Uma SACL com permissões Gravar e Assumir propriedade: aplicam-se ao objeto que você deseja monitorar
No Windows XP e no Windows Server 2003, você precisa usar a subcategoria Auditoria de alteração de política.
Como posso reverter políticas de auditoria de segurança da política de auditoria avançada para a política de auditoria básica?
Aplicar configurações de política de auditoria avançadas substitui todas as configurações de política de auditoria de segurança básicas. Caso altere depois a configuração de política de auditoria avançada para Não configurado, você precisa concluir as seguintes etapas para restaurar as configurações de política de auditoria de segurança básica originais:
Defina todas as subcategorias de Política de Auditoria Avançada como Não configurado.
Exclua todos os arquivos audit.csv da pasta %SYSVOL% no controlador de domínio.
Reconfigure e aplique as configurações de política de auditoria básicas.
A menos que você complete todas essas etapas, as configurações de política de auditoria básica não serão restauradas.
Como posso monitorar se alterações foram feitas em configurações de política de auditoria?
As alterações feitas em políticas de auditoria de segurança são eventos de segurança críticos. Você pode usar a configuração Auditoria de Alteração de Políticas de Auditoria para determinar se o sistema operacional gera eventos de auditoria quando os seguintes tipos de atividades ocorrem:
Permissões e configurações de auditoria no objeto de política de auditoria são alteradas
A política de auditoria do sistema é alterada
As origens de evento de segurança são registradas ou o registro delas foi cancelado
As configurações de auditoria por usuário são alteradas
O valor padrão de CrashOnAuditFail é modificado
As configurações de auditoria em um arquivo ou em uma chave do Registro são alteradas
Uma lista Grupos Especiais foi alterada
Como posso minimizar o número de eventos gerados?
Encontrar o equilíbrio certo entre auditar atividade de rede e computador suficiente e auditar pouca atividade de rede e computador pode ser um desafio. Você pode conseguir esse equilíbrio identificando os recursos mais importantes, as atividades críticas e os usuários ou os grupos de usuários. Em seguida, crie uma política de auditoria de segurança que segmente esses recursos, atividades e usuários. Diretrizes e recomendações úteis para desenvolver uma estratégia de auditoria de segurança efetiva podem ser encontradas em Planejamento e implantação de políticas de auditoria de segurança avançada.
Quais são as melhores ferramentas para modelar e gerenciar políticas de auditoria?
A integração de configurações de política de auditoria avançada a Política de Grupo de domínio, introduzidas no Windows 7 e no Windows Server 2008 R2, foi projetada para simplificar o gerenciamento e a implementação de políticas de auditoria de segurança na rede de uma organização. Assim, ferramentas usadas para planejar e implantar objetos de política de grupo para um domínio também podem ser usadas para planejar e implantar políticas de auditoria de segurança.
Em um computador individual, a ferramenta de linha de comando Auditpol pode ser usada para concluir várias tarefas importantes de gerenciamento relacionadas à política de auditoria.
Além disso, existem vários produtos de gerenciamento do computador, como os Serviços de Coleta de Auditoria nos produtos do Microsoft System Center Operations Manager, que podem ser usados para coletar e filtrar dados de evento.
Onde posso encontrar informações sobre todos os eventos possíveis que posso receber?
Os usuários que examinam o log de eventos de segurança pela primeira vez podem ficar um pouco sobrecarregados pelo número de eventos de auditoria armazenados (que podem chegar rapidamente aos milhares) e pelas informações estruturadas incluídas para cada evento de auditoria. As informações adicionais sobre esses eventos, e as configurações usadas para gerá-las, podem ser obtidas nos seguintes recursos:
Detalhes do evento de segurança do Windows 8 e do Windows Server 2012
Eventos de auditoria de segurança do Windows 7 e do Windows Server 2008 R2
Eventos de auditoria de segurança do Windows Server 2008 e do Windows Vista
Configurações de políticas de auditoria de segurança avançada
Onde posso encontrar informações mais detalhadas?
Para saber mais sobre políticas de auditoria de segurança, consulte os seguintes recursos: