Planejamento e implantação de políticas de auditoria de segurança avançada
Este tópico para o profissional de TI explica as opções que os planejadores de política de segurança devem levar em consideração e as tarefas que eles devem concluir para implantar uma política de auditoria de segurança efetiva em uma rede que inclua políticas de auditoria de segurança avançada.
As organizações investem uma grande parte de seus orçamentos de tecnologia da informação em aplicativos e serviços de segurança, como software antimalware, firewalls e criptografia. Mas não importa a quantidade de hardware ou software de segurança implantada, com que rigidez controla os direitos de usuários ou com que cuidado configura permissões de segurança nos dados, você não deve considerar o trabalho completo a menos que tenha uma estratégia de auditoria em tempo hábil bem definida para acompanhar a eficiência das defesas e identificar tentativas de evitá-las.
Para ser bem definida e estar em tempo hábil, uma estratégia de auditoria deve fornecer dados de acompanhamento úteis para os recursos mais importantes da organização, os comportamentos críticos e os riscos em potencial. Em um número cada vez maior de organizações, ela também deve apresentar uma prova absoluta de que as operações de TI são compatíveis com requisitos corporativos e regulatórios.
Infelizmente, nenhuma organização tem recursos ilimitados para monitorar todos os recursos e atividades em uma rede. Se não planejar bem, você provavelmente terá lacunas na estratégia de auditoria. No entanto, se tentar auditar todos os recursos e atividades, você poderá se ver em meio a muito mais dados de monitoramento, inclusive milhares de entradas de auditoria benignas pelas quais um analista precisa passar para identificar o conjunto mais restrito de entradas que garantem um exame mais detalhado. Isso poderia causar atrasos ou até mesmo impedir que auditores identificassem uma atividade suspeita. Assim, muito monitoramento pode deixar uma organização tão vulnerável quanto aquela sem monitoramento suficiente.
Aqui estão alguns recursos que podem ajudar você a concentrar o esforço:
Configurações de política de auditoria avançada. Você pode aplicar e gerenciar configurações de política de auditoria detalhada por meio de Política de Grupo.
Auditoria do "motivo do acesso". Você pode especificar e identificar as permissões que foram usadas para gerar um determinado evento de segurança de acesso a objetos.
Auditoria de acesso a objetos globais. Você pode definir listas de controle de acesso do sistema (SACLs) para um sistema de arquivos do computador ou Registro.
Para implantar esses recursos e planejar uma estratégia de auditoria de segurança efetiva, você precisa:
Identificar os recursos mais críticos e as atividades mais importantes que precisam ser acompanhados.
Identificar as configurações de auditoria que podem ser usadas para acompanhar essas atividades.
Avaliar as vantagens e os custos em potencial associados a cada uma.
Testar essas configurações para validar as escolhas.
Desenvolver planos para implantar e gerenciar a política de auditoria.
Sobre este guia
Este documento orientará você em meio às etapas necessárias para planejar uma política de auditoria de segurança que use os recursos de auditoria do Windows. Essa política deve identificar e atender às necessidades comerciais vitais, inclusive:
Confiabilidade da rede
Requisitos regulatórios
Proteção dos dados e da propriedade intelectual da organização
Usuários, inclusive funcionários, prestadores de serviços, parceiros e clientes
Computadores e aplicativos cliente
Servidores e os aplicativos e serviços em execução nesses servidores
A política de auditoria também deve identificar processos para gerenciar dados de auditoria depois que eles tiverem sido registrados em log, inclusive:
Coletar, avaliar e examinar dados de auditoria
Armazenar e (se necessário) descartar dados de auditoria
Planejando, criando, testando e implantando cuidadosamente uma solução baseada nos requisitos comerciais da organização, você pode fornecer a funcionalidade padronizada, a segurança e o controle de gerenciamento de que a organização precisa.
Noções básicas sobre o processo de design de política de auditoria de segurança
O processo de criação e implantação de uma política de auditoria de segurança do Windows envolve as seguintes tarefas, descritas com mais detalhes ao longo deste documento:
Identificação das metas de implantação da política de auditoria de segurança do Windows
Esta seção ajuda a definir os objetivos comerciais que orientarão a política de auditoria de segurança do Windows. Ela também ajuda a definir os recursos, os usuários e os computadores que serão o foco da auditoria de segurança.
Mapeamento da política de auditoria de segurança para grupos de usuários, computadores e recursos na organização
Esta seção explica como integrar configurações de política de auditoria de segurança a configurações de Política de Grupo de domínio para diferentes grupos de usuários, computadores e recursos. Além disso, caso a rede inclua várias versões de sistemas operacionais cliente e servidor do Windows, ela também explica quando usar configurações de política de auditoria básica e quando usar configurações de política de auditoria de segurança avançada.
Mapeamento das metas de auditoria de segurança para uma configuração de política de auditoria de segurança
Esta seção explica as categorias de configurações de auditoria de segurança do Windows disponíveis. Ela também identifica configurações de política de auditoria de segurança do Windows que podem ter uma importância especial na abordagem de cenários de auditoria.
Planejamento de monitoramento e gerenciamento de auditoria de segurança
Esta seção ajuda a planejar a coleta, a análise e o armazenamento dos dados de auditoria do Windows. Dependendo do número de computadores e tipos de atividade que você deseja auditar, os logs de eventos do Windows podem ser preenchidos rapidamente. Além disso, esta seção explica como auditores podem acessar e agregar dados de evento de vários servidores e computadores desktop. Ela também explica como atender aos requisitos de armazenamento, inclusive quantos dados de auditoria armazenar e como eles devem ser armazenados.
Implantação da política de auditoria de segurança
Esta seção apresenta recomendações e diretrizes para a implantação efetiva de uma política de auditoria de segurança do Windows. Configurar e implantar configurações de política de auditoria do Windows em um ambiente de laboratório de teste pode ajudar a confirmar que as configurações que você selecionou produzirão o tipo de dados de auditoria de que você precisa. No entanto, somente um piloto cuidadosamente testado e implantações incrementais baseadas no domínio e na estrutura de unidade organizacional (UO) permitirão confirmar se os dados de auditoria gerados podem ser monitorados e se eles atendem às necessidades de auditoria da organização.
Identificação das metas de implantação da política de auditoria de segurança do Windows
Uma política de auditoria de segurança deve dar suporte a e ser um aspecto crítico e integrado do design e da estrutura de segurança geral de uma organização.
Toda organização tem um conjunto exclusivo de dados e ativos de rede (como cliente e dados financeiros e segredos comerciais), recursos físicos (como computadores desktop, computadores portáteis e servidores) e usuários (dentre os quais podem estar diversos grupos internos, como finanças e marketing, além de grupos externos, como parceiros, clientes e usuários anônimos no site). Nem todos esses ativos, recursos e usuários justificam o custo de uma auditoria. A tarefa é identificar quais ativos, recursos e usuários dão a justificativa mais forte para o foco de uma auditoria de segurança.
Para criar o plano de auditoria de segurança do Windows, comece identificando:
O ambiente de rede geral, inclusive os domínios, as UOs e os grupos de segurança.
Os recursos na rede, os usuários desses recursos e como esses recursos estão sendo usados.
Requisitos regulatórios.
Ambiente de rede
O domínio e a estrutura de UO de uma organização dão um ponto de partida fundamental para pensar em como aplicar uma política de auditoria de segurança porque isso normalmente oferece uma base de Objetos de Política de Grupo (GPOs) e um agrupamento lógico de recursos e atividades que você pode usar para aplicar as configurações de auditoria que escolher. Também é provável que determinadas partes do domínio e da estrutura de UO já ofereçam grupos lógicos de usuários, recursos e atividades que justificam o tempo e os recursos necessários para auditá-los. Para obter informações sobre como integrar uma política de auditoria de segurança ao domínio e à estrutura de UO, consulte Mapeamento da política de auditoria de segurança para grupos de usuários, computadores e recursos na organização mais à frente neste documento.
Além do modelo de domínio, você também deve descobrir se a organização cria e mantém um modelo de risco sistemático. Um bom modelo de risco pode ajudar a identificar ameaças aos componentes principais da infraestrutura, logo, você pode definir e aplicar as configurações de auditoria que aprimoram a capacidade da organização de identificar e combater essas ameaças.
Importante
Incluir a auditoria dentro do plano de segurança da organização também possibilita orçar os recursos nas áreas onde a auditoria pode atingir os resultados mais positivos.
Para saber detalhes adicionais sobre como concluir cada uma dessas etapas e como preparar um modelo de risco detalhado, baixe o Guia de modelo de risco para infraestrutura de TI.
Dados e recursos
Para a auditoria de dados e recursos, você precisa identificar os tipos mais importantes de dados e recursos (como registros de pacientes, dados contábeis ou planos de marketing) que podem se beneficiar do monitoramento mais próximo que a auditoria do Windows pode oferecer. Alguns desses recursos de dados talvez já sejam monitorados por meio de recursos de auditoria em produtos como o Microsoft SQL Server e o Exchange Server. Assim, convém levar em consideração como os recursos de auditoria do Windows podem aprimorar a estratégia de auditoria existente. Assim como acontece com o domínio e a estrutura da UO abordados anteriormente, a auditoria de segurança deve se concentrar nos recursos mais críticos. Você também deve levar em consideração quantos dados de auditoria você será capaz de gerenciar.
Você pode registrar se esses recursos apresentam alto impacto comercial, médio impacto comercial ou baixo impacto comercial, o custo para a organização caso esses recursos de dados sejam acessados por usuários não autorizados e o risco que esse acesso pode oferecer à organização. O tipo de acesso por usuários (como leitura, modificação ou cópia) também pode oferecer níveis de risco diferentes para uma organização.
O acesso e o uso de dados são cada vez mais regidos por regulamentações, e um descumprimento pode resultar em penas severas e perda de credibilidade para a organização. Caso a conformidade regulatória seja importante na maneira como você gerencia os dados, não se esqueça de documentar essas informações também.
A tabela a seguir apresenta um exemplo de uma análise de recursos para uma organização.
| Classe do recurso | Onde está armazenado | Unidade organizacional | Impacto comercial | Requisitos de segurança ou regulatórios |
|---|---|---|---|---|
Dados de folha de pagamento |
Corp-Finance-1 |
Contabilidade: leitura/gravação em Corp-Finance-1 Gerentes de folha de pagamento departamentais: somente gravação em Corp-Finance-1 |
Alto |
Integridade financeira e privacidade do funcionário |
Registros médicos de pacientes |
MedRec-2 |
Médicos e enfermeiros: leitura/gravação em Med/Rec-2 Assistentes de laboratório: somente gravação em MedRec-2 Contabilidade: somente leitura em MedRec-2 |
Alto |
Padrões legais e regulatórios rígidos |
Informações sobre a saúde do consumidor |
Web-Ext-1 |
Criadores de conteúdo para Web de relações públicas: leitura/gravação em Web-Ext-1 Público: somente leitura em Web-Ext-1 |
Baixo |
Educação pública e imagem corporativa |
Usuários
Muitas organizações consideram útil classificar os tipos de usuários que têm e baseiam as permissões nessa classificação. Essa mesma classificação pode ajudar a identificar quais atividades do usuário devem estar sujeitas à auditoria de segurança e a quantidade de dados de auditoria que elas gerarão.
As organizações podem fazer distinções com base no tipo de direitos e permissões necessários para usuários realizarem os trabalhos. Por exemplo, sob a classificação Administradores, organizações maiores podem atribuir responsabilidades de administrador local para um único computador, para aplicativos específicos como o Exchange Server ou o SQL Server ou para um domínio inteiro. Em Usuários, permissões e configurações de Política de Grupo podem se aplicar a todos os usuários em uma organização ou apenas a um subconjunto de funcionários em um determinado departamento.
Além disso, caso a organização esteja sujeita a requisitos regulatórios, atividades de usuário, como acessar registros médicos ou dados financeiros, talvez precisem ser auditadas para verificar se você está atendendo a esses requisitos.
Para auditar de maneira efetiva a atividade do usuário, comece listando os diferentes tipos de usuários na organização e os tipos de dados que eles precisam acessar – além dos dados a que eles não devem ter acesso.
Além disso, caso usuários externos possam acessar qualquer um dos dados da organização, certifique-se de identificá-los, inclusive se eles pertencem a um parceiro comercial, cliente, ou usuário geral, os dados a que eles têm acesso e as permissões que eles têm para acessar esses dados.
A tabela a seguir ilustra uma análise dos usuários em uma rede. Embora nosso exemplo contenha uma única coluna intitulada "Considerações de auditoria possíveis", você talvez queira criar colunas adicionais para diferenciar tipos de atividade de rede distintos, como horas de logon e uso de permissão.
| Grupos | Dados | Considerações de auditoria possíveis |
|---|---|---|
Administradores de conta |
Contas de usuário e grupos de segurança |
Os administradores de conta têm privilégios completos para criar novas contas de usuário, redefinir senhas e modificar associações ao grupo de segurança. Precisamos de um mecanismo para monitorar essas alterações. |
Membros da UO de finanças |
Registros financeiros |
Os usuários em finanças têm acesso de leitura/gravação aos registros financeiros críticos, mas sem a capacidade de alterar as permissões nesses recursos. Esses registros financeiros estão sujeitos a requisitos de conformidade regulatória do governo. |
Parceiros externos |
Projeto Z |
Funcionários de organizações parceiras têm acesso de leitura/gravação a determinados dados do projeto e servidores referentes ao Projeto Z, mas não a outros servidores ou dados na rede. |
Computadores
Os requisitos de segurança e auditoria, além do volume de eventos de auditoria, podem variar consideravelmente para diferentes tipos de computadores em uma organização. Esses requisitos podem ser baseados em:
Se os computadores são servidores, computadores desktop ou computadores portáteis.
Os aplicativos importantes são executados pelos computadores, como Exchange Server, SQL Server ou Forefront Identity Manager.
Observação
Se os aplicativos de servidor (inclusive Exchange Server e SQL Server) têm configurações de auditoria. Para obter mais informações sobre como auditar no Exchange Server, consulte o Guia de segurança do Exchange 2010. Para obter mais informações sobre como auditar no SQL Server 2008, consulte Auditoria (mecanismo de banco de dados). Para o SQL Server 2012, consulte SQL Server Audit (mecanismo de banco de dados).
As versões do sistema operacional.
Observação
A versão do sistema operacional determina quais opções de auditoria estão disponíveis e o volume de dados de evento de auditoria.
O valor comercial dos dados.
Por exemplo, um servidor Web acessado por usuários externos requer configurações de auditoria diferentes de uma autoridade de certificação (CA) raiz que jamais é exposta à Internet pública ou até mesmo a usuários regulares na rede da empresa.
A tabela a seguir ilustra uma análise de computadores em uma organização.
| Tipo de computador e aplicativos | Versão do sistema operacional | Onde está localizado |
|---|---|---|
Servidores que hospedam o Exchange Server |
Windows Server 2008 R2 |
UO ExchangeSrv |
Servidores de arquivos |
Windows Server 2012 |
UOs de recursos separadas por departamento e (em alguns casos) por local |
Computadores portáteis |
Windows Vista e Windows 7 |
UOs de computadores portáteis separadas por departamento e (em alguns casos) por local |
Servidores Web |
Windows Server 2008 R2 |
UO WebSrv |
Requisitos regulatórios
Muitos setores e localidades têm requisitos rígidos e específicos para operações de rede e como os recursos são protegidos. Nos setores de serviços de saúde e finanças, por exemplo, existem diretrizes rígidas para quem tem acesso aos registros e como eles são usados. Muitos países têm regras de privacidade rígidas. Para identificar requisitos regulatórios, trabalhe junto ao departamento jurídico da organização e outros departamentos responsáveis por esses requisitos. Em seguida, leve em consideração as opções de configuração e auditoria que podem ser usadas para atender a e verificar a conformidade com essas regulamentações.
Para obter mais informações, consulte o System Center Process Pack for IT GRC.
Mapeamento da política de auditoria de segurança para grupos de usuários, computadores e recursos na organização
Usando Política de Grupo, você pode aplicar a política de auditoria de segurança a grupos de usuários, computadores e recursos definidos. Para mapear uma política de auditoria de segurança para esses grupos definidos na organização, você deve compreender as seguintes considerações para usar a Política de Grupo e aplicar configurações de política de auditoria de segurança:
As configurações de política identificadas podem ser aplicadas usando-se um ou mais GPOs. Para criar e editar um GPO, você usa o Console de Gerenciamento de Política de Grupo (GPMC). Usando o GPMC para vincular um GPO a sites, domínios e UOs do Active Directory selecionados, você aplica as configurações de política no GPO aos usuários e computadores nesses objetos do Active Directory. Uma UO é o contêiner do Active Directory de nível mais baixo ao qual você pode atribuir configurações de Política de Grupo.
Para cada configuração de política que selecionar, você precisa decidir se ela deve ser imposta em toda a organização, ou se ela deve ser aplicada apenas a usuários ou computadores selecionados. Em seguida, você pode combinar essas configurações de política de auditoria em GPOs e vinculá-los aos contêineres do Active Directory apropriados.
Por padrão, as opções definidas em GPOs vinculadas a níveis superiores de sites, domínios e OUs do Active Directory são herdadas por todas as OUs em níveis inferiores. No entanto, um GPO vinculado em um nível inferior pode substituir políticas herdadas.
Por exemplo, convém usar um GPO de domínio para atribuir um grupo de toda a organização de configurações de auditoria, mas querer que uma determinada UO obtenha um grupo definido de configurações adicionais. Para isso, você pode vincular um segundo GPO a essa UO de nível inferior específica. Por isso, uma configuração de auditoria de logon aplicada no nível da OU substituirá uma configuração de auditoria de logon conflitante aplicada no nível de domínio (a menos que você tenha seguido etapas especiais para aplicar o processamento de loopback de Política de Grupo).
Políticas de auditoria são políticas de computador. Por isso, elas devem ser aplicadas por meio de GPOs aplicados a UOs de computadores, e não a UOs de usuários. No entanto, na maioria dos casos, você pode aplicar configurações de auditoria somente para recursos e grupos de usuários especificados configurando SACLs em objetos relevantes. Isso permite a auditoria para um grupo de segurança contendo apenas os usuários que você especifica.
Por exemplo, você pode configurar uma SACL para uma pasta chamada Payroll Data em Accounting Server 1. Ela pode auditar tentativas de membros da UO Payroll Processors para excluir objetos dessa pasta. A configuração de política de auditoria Acesso a Objeto\Auditoria de Sistema de Arquivos se aplica a Accounting Server 1, mas como ele requer uma SACL de recurso correspondente, somente ações de membros da UO Payroll Processors na pasta Payroll Data geram eventos de auditoria.
As configurações de política de auditoria de segurança avançada foram introduzidas no Windows Server 2008 R2 ou no Windows 7 e podem ser aplicadas a esses sistemas operacionais e versões posteriores. Essas políticas de auditoria avançadas só podem ser aplicadas usando-se Política de Grupo.
Importante
Independentemente de aplicar políticas de auditoria avançada usando a Política de Grupo ou scripts de logon, não use ambas as configurações de política de auditoria básica em Políticas Locais\Política de Auditoria e as configurações avançadas em Configurações de Segurança\Configuração Avançada de Política de Auditoria. Usar as configurações de política de auditoria avançada e básica podem causar resultados inesperados no relatório de auditoria.
Caso você use definições de Configuração Avançada de Política de Auditoria ou scripts de logon para aplicar políticas de auditoria avançada, não se esqueça de habilitar a configuração de política Auditoria: forçar configurações de subcategorias de políticas de auditoria (Windows Vista ou superior) para substituir configurações de categorias de políticas de auditoria em Políticas Locais/Opções de Segurança. Isso impedirá conflitos entre configurações semelhantes, forçando a auditoria de segurança básica a ser ignorada.
A seguir os exemplos de como políticas de auditoria podem ser aplicadas à estrutura da UO de uma organização:
Aplique configurações de atividade de dados a uma UO contendo servidores de arquivos. Caso a organização tenha servidores contendo dados especialmente confidenciais, leve em consideração colocá-los em uma UO separada de maneira que você possa configurar e aplicar uma política de auditoria mais precisa a esses servidores.
Aplique políticas de auditoria de atividade do usuário a uma UO contendo todos os computadores da organização. Caso a organização coloque usuários em UOs com base no departamento em que trabalham, leve em consideração configurar e aplicar permissões de segurança mais detalhadas em recursos críticos que são acessados por funcionários que trabalham em áreas mais confidenciais, como administradores de rede ou o departamento jurídico.
Aplique políticas de auditoria de atividade de rede e sistema a UOs contendo os servidores mais críticos da organização, como controladores de domínio, CAs, servidores de email ou servidores de banco de dados.
Mapeamento das metas de auditoria de segurança para uma configuração de política de auditoria de segurança
Depois de identificar as metas de auditoria de segurança, você pode começar a mapeá-las para uma configuração de política de auditoria de segurança. Essa configuração de política de auditoria deve atender às metas de auditoria de segurança mais críticas, mas também deve atender às restrições da organização, como o número de computadores que precisam ser monitorados, o número de atividades que você deseja auditar, o número de eventos de auditoria que a configuração de auditoria desejada irá gerar e o número de administradores disponíveis para analisar e agir com base nos dados de auditoria.
Para criar a configuração de política de auditoria, você precisa:
Explorar todas as configurações de política de auditoria que possam ser usadas para atender às necessidades.
Escolher as configurações de auditoria que atenderão de maneira mais efetiva os requisitos de auditoria identificados na seção anterior.
Confirmar se as configurações escolhidas por você são compatíveis com os sistemas operacionais em execução nos computadores que deseja monitorar.
Decidir quais opções de configuração (Êxito, Falha ou Êxito e Falha) você deseja usar para as configurações de auditoria.
Implantar as configurações de auditoria em um ambiente de laboratório ou teste para verificar se elas atendem aos resultados desejados em termos de volume, suporte e abrangência. Em seguida, implante as configurações de auditoria em um ambiente de produção piloto para garantir que as estimativas de quantos dados de auditoria o plano de auditoria irá gerar sejam realistas e que você possa gerenciar esses dados.
Como explorar opções de política de auditoria
As configurações de política de auditoria de segurança nas versões compatíveis do Windows podem ser exibidas e definidas nos seguintes locais:
Configurações de Segurança\Políticas Locais\Política de Auditoria.
Configurações de Segurança\Políticas Locais\Opções de Segurança.
Configurações de Segurança\Configuração Avançada de Política de Auditoria. Para obter mais informações, consulte Configurações de políticas de auditoria de segurança avançada.
Como escolher as configurações de auditoria a serem usadas
Dependendo das metas, diferentes conjuntos de configurações de auditoria podem ter uma importância especial para você. Por exemplo, algumas configurações em Configurações de Segurança\Configuração Avançada de Política de Auditoria podem ser usadas para monitorar os seguintes tipos de atividade:
Dados e recursos
Usuários
Rede
Importante
As configurações descritas na Referência também podem fornecer informações úteis sobre a atividade auditada por outra configuração. Por exemplo, as configurações usadas para monitorar a atividade do usuário e a atividade de rede têm relevância óbvia para proteger os recursos de dados. Da mesma forma, tentativas de comprometer recursos de dados têm implicações enormes para o status de rede geral e potencialmente para a maneira como você está gerenciando as atividades de usuários na rede.
Atividade de dados e recursos
Para muitas organizações, comprometer os recursos de dados da organização pode causar enormes perdas financeiras, além de prestígio perdido e responsabilidade legal. Caso a organização tenha recursos de dados críticos que precisem ser protegidas de qualquer violação, as seguintes configurações podem fornecer dados de monitoramento e forenses extremamente úteis:
Acesso a Objeto\Auditoria de Compartilhamento de Arquivos. Esta configuração de política permite acompanhar o conteúdo que foi acessado, a origem (endereço IP e porta) da solicitação e a conta de usuário que foi usada para o acesso. O volume de dados de eventos gerados por essa configuração irá variar de acordo com o número de computadores cliente que tentam acessar o compartilhamento de arquivos. Em um servidor de arquivos ou controlador de domínio, o volume pode ser alto por causa do acesso SYSVOL por computadores cliente para processamento de política. Caso você não precise registrar o acesso de rotina por computadores cliente que tenham permissões no compartilhamento de arquivos, convém registrar em log eventos de auditoria somente para tentativas com falha de acessar o compartilhamento de arquivos.
Acesso a Objeto\Auditoria de Sistema de Arquivos. Esta configuração de política determina se o sistema operacional audita tentativas do usuário de acessar objetos do sistema de arquivos. Eventos de auditoria são gerados apenas para objetos (como arquivos e pastas) com SACLs configuradas e somente se o tipo de acesso solicitado (como gravação, leitura ou modificação) e a conta que faz a solicitação correspondem às configurações na SACL.
Caso a auditoria de êxito esteja habilitada, uma entrada de auditoria é gerada sempre que qualquer conta acessa um objeto do sistema de arquivos com êxito com uma SACL correspondente. Caso a auditoria de falha esteja habilitada, uma entrada de auditoria é gerada sempre que qualquer usuário tenta acessar sem êxito um objeto do sistema de arquivos com uma SACL correspondente. A quantidade de dados de auditoria gerados pela configuração de política Auditoria de Sistema de Arquivos pode variar consideravelmente, dependendo do número de objetos que foram configurados para serem monitorados.
Observação
Para auditar tentativas de usuário de acessar todos os objetos do sistema de arquivos em um computador, use as configurações de Auditoria de Acesso a Objetos Globais Registro (Auditoria de Acesso a Objetos Globais) ou Sistema de Arquivos (Auditoria de Acesso a Objetos Globais).
Acesso a Objeto\Auditoria de Manipulação de Identificador. Esta configuração de política determina se o sistema operacional gera eventos de auditoria quando um identificador de um objeto é aberto ou fechado. Apenas objetos com SACLs configuradas geram esses eventos, e somente se a operação de identificador tentada corresponder à SACL.
O volume de eventos pode ser alto, dependendo de como as SACLs estão configuradas. Quando usada com as configurações de política Auditoria de Sistema de Arquivos ou Auditoria de Registro, a configuração de política Auditoria de Manipulação de Identificador pode oferecer a um administrador dados de auditoria "do motivo de acesso" úteis que detalham as permissões precisas nas quais o evento de auditoria se baseia. Por exemplo, se um arquivo for configurado como um recurso somente leitura, mas um usuário tentar salvar as alterações no arquivo, o evento de auditoria não registrará em log apenas o evento, mas também as permissões que foram usadas (ou que foram tentadas) para salvar as alterações no arquivo.
Auditoria de Acesso a Objetos Globais. Um número cada vez maior de organizações está usando a auditoria de segurança para atender a requisitos regulatórios que regem a privacidade e a segurança de dados. Porém, demonstrar que controles rígidos estão sendo impostos pode ser extremamente difícil. Para resolver esse problema, as versões compatíveis do Windows incluem duas configurações de política Auditoria de Acesso a Objetos Globais, uma para o Registro e outra para o sistema de arquivos. Quando você define essas configurações, elas aplicam uma SACL de controle de acesso do sistema global em todos os objetos dessa classe em um sistema, que não pode ser substituída ou evitada.
Importante
As configurações de política Auditoria de Acesso a Objetos Globais devem ser definidas e aplicadas com as configurações de política de auditoria Auditoria de Sistema de Arquivos e Auditoria de Registro na categoria Acesso a Objeto. Para obter mais informações sobre como usar as configurações de política Auditoria de Acesso a Objetos Globais, consulte o Passo a passo para a auditoria de segurança avançada.
Atividade do usuário
As configurações na seção anterior estão relacionadas à atividade envolvendo arquivos, pastas e compartilhamentos de rede armazenados em uma rede, e as configurações nesta seção se concentram nos usuários, inclusive funcionários, parceiros e clientes, que podem tentar acessar esses recursos.
Na maioria dos casos, essas tentativas serão legítimas, e uma rede precisa disponibilizar dados vitais prontamente para usuários legítimos. No entanto, em outros casos, funcionários, parceiros e terceiros podem tentar acessar recursos a que eles não têm acesso legítimo. A auditoria de segurança pode ser usada para acompanhar uma ampla gama de atividades de usuário em um determinado computador para diagnosticar e resolver problemas para usuários legítimos, além de identificar e solucionar atividades ilegítimas. Estão são algumas configurações importantes que você deve avaliar para acompanhar a atividade do usuário na rede:
Logon de Conta\Auditoria de Validação de Credenciais. Esta é uma configuração de política extremamente importante porque permite acompanhar todas as tentativas bem-sucedidas e malsucedidas de apresentar credenciais para um logon de usuário. Em especial, um padrão de tentativas malsucedidas pode indicar que um usuário ou aplicativo está usando credenciais que não são mais válidas ou tentando usar diversas credenciais em sucessão na esperança de que uma dessas tentativas acabe sendo bem-sucedida. Esses eventos ocorrem no computador autoritativo para as credenciais. Para contas de domínio, o controlador de domínio é autoritativo. Para contas locais, o computador local é autoritativo.
Monitoração Detalhada\Auditoria de Criação de Processo e Monitoração Detalhada\Auditoria de Terminação de Processo. Essas configurações de política podem permitir monitorar os aplicativos que um usuário abre e fecha em um computador.
Acesso DS\Auditoria de Acesso ao Serviço de Diretório e Acesso DS\Auditoria de Alterações no Serviço de Diretório. Essas configurações de política oferecem uma trilha de auditoria detalhada de tentativas de acesso, criação, modificação, exclusão, movimentação ou cancelamento da exclusão de objetos nos Serviços de Domínio do Active Directory (AD DS). Somente administradores de domínio têm permissões para modificar objetos do AD DS, logo, é extremamente importante identificar tentativas mal-intencionadas de modificar esses objetos. Além disso, embora administradores de domínio devam estar entre os funcionários mais confiáveis de uma organização, o uso das configurações Auditoria de Acesso ao Serviço de Diretório e Auditoria de Alterações no Serviço de Diretório permite monitorar e verificar se apenas alterações aprovadas foram feitas no AD DS. Esses eventos de auditoria são registrados em log apenas em controladores de domínio.
Logon/Logoff\Auditoria de Bloqueio de Conta. Outro cenário comum de segurança ocorre quando um usuário tenta fazer logon usando uma conta que foi bloqueada. É importante identificar esses eventos e determinar se a tentativa de usar uma conta que foi bloqueada é mal-intencionada.
Logon/Logoff\Logoff de Auditoria e Logon/Logoff\Logon de Auditoria. Os eventos de logon e logoff são essenciais para controlar a atividade do usuário e detectar ataques em potencial. Os eventos de logon estão relacionados à criação de sessões de logon, e eles ocorrem no computador que foi acessado. Para um logon interativo, eventos são gerados no computador em que o logon foi feito. Para um logon de rede, como acessar um recurso compartilhado, eventos são gerados no computador que hospeda o recurso que foi acessado. Os eventos de logoff são gerados quando as sessões de logon são encerradas.
Observação
Não há nenhum evento para atividade de logoff porque logoffs com falha (como quando um sistema é desligado abruptamente) não geram um registro de auditoria. Os eventos de logoff não são 100% confiáveis. Por exemplo, o computador pode ser desligado sem um logoff e um desligamento apropriados, e um evento de logoff não é gerado.
Logon/Logoff\Auditoria de Logon Especial. Um logon especial tem direitos equivalentes aos de administrador e pode ser usado para elevar um processo para um nível superior. É recomendável controlar esses tipos de logons. Para obter mais informações sobre esse recurso, consulte artigo 947223 na Base de Dados de Conhecimento Microsoft.
Acesso a Objeto\Auditoria de Serviços de Certificação. Esta configuração de política permite acompanhar e monitorar uma grande variedade de atividades em um computador que hospeda os serviços da função Serviços de Certificados do Active Directory (AD CS) para garantir que somente usuários autorizados estejam realizando ou tentando realizar essas tarefas e que apenas tarefas autorizadas ou desejadas estejam sendo realizadas.
Acesso a Objeto\Auditoria de Sistema de Arquivos e Acesso a Objeto\Auditoria de Compartilhamento de Arquivos. Essas configurações de política estão descritas na seção anterior.
Acesso a Objeto\Auditoria de Manipulação de Identificador. Esta configuração de política e a função de fornecer dados de auditoria "de motivo do acesso" estão descritas na seção anterior.
Acesso a Objeto\Auditoria de Registro. O monitoramento de alterações feitas no Registro é um dos meios mais críticos que um administrador tem para garantir que usuários mal-intencionados não façam alterações em configurações essenciais do computador. Eventos de auditoria são gerados apenas para objetos com SACLs configuradas e somente se o tipo de acesso solicitado (como gravação, leitura ou modificação) e a conta que faz a solicitação correspondem às configurações na SACL.
Importante
Em sistemas críticos nos quais todas as tentativas de alterar configurações do Registro precisam ser acompanhadas, você pode integrar a configuração de política Auditoria de Registro às configurações de política Auditoria de Acesso a Objetos Globais para garantir que todas as tentativas de modificar as configurações do Registro em um computador sejam acompanhadas.
Acesso a Objeto\Auditoria SAM. O Gerenciador de Contas de Segurança (SAM) é um banco de dados que está presente em computadores nos quais o Windows esteja em execução que armazena contas de usuário e descritores de segurança para usuários no computador local. As alterações feitas em objetos de usuário e grupo são controladas pela categoria de auditoria Gerenciamento de Contas. No entanto, contas de usuário com direitos de usuário apropriados podem alterar os arquivos nos quais as informações de conta e senha estão armazenadas no sistema, ignorando todos os eventos Gerenciamento de Contas.
Uso de Privilégio\Auditoria de Uso de Privilégio Importante. As configurações de política Uso de Privilégio e os eventos de auditoria permitem acompanhar o uso de determinados direitos em um ou mais sistemas. Caso você defina essa configuração de política, um evento de auditoria é gerado quando solicitações de direitos confidenciais são feitas.
Atividade de rede
As configurações de política de atividade de rede a seguir permitem monitorar problemas relacionados à segurança que não necessariamente sejam abordados nas categorias de atividade de dados ou usuário, mas que podem ser igualmente importantes para status e proteção da rede.
Gerenciamento de Contas. As configurações de política nesta categoria podem ser usadas para acompanhar tentativas de criar, excluir ou modificar contas de usuário ou computador, grupos de segurança ou grupos de distribuição. Monitorar essas atividades complementa as estratégias de monitoramento selecionadas nas seções de atividade de usuário e dados.
Logon de Conta\Auditoria de Serviço de Autenticação Kerberos e Logon de Conta\Auditoria de Operações do Tíquete de Serviço Kerberos. As configurações de política de auditoria na categoria Logon de Conta monitoram atividades que estão relacionadas ao uso de credenciais de conta de domínio. Essas configurações de política complementam as configurações de política na categoria Logon/Logoff. A configuração de política Auditoria de Serviço de Autenticação Kerberos permite monitorar o status e as ameaças em potencial ao serviço Kerberos. A configuração de política Auditoria de Operações do Tíquete de Serviço Kerberos permite monitorar o uso de tíquetes de serviço Kerberos.
Observação
As configurações de política Logon de Conta só se aplicam a atividades de conta de domínio específicas, independentemente do computador acessado, e as configurações de política Logon/Logoff se aplicam ao computador que hospeda os recursos que estão sendo acessados.
Conta Logon\Auditoria de Outros Eventos de Logon de Conta. Esta configuração de política pode ser usada para acompanhar várias atividades de rede diferentes, inclusive tentativas de criar conexões de Área de Trabalho Remota, conexões de rede com fio e conexões sem fio.
Acesso DS. As configurações de política nesta categoria permitem monitorar os serviços de função do AD DS, que fornecem dados de conta, validam logons, mantêm permissões de acesso de rede e oferecem outros serviços que são críticos para o funcionamento adequado e seguro de uma rede. Por isso, auditar os direitos de acessar e modificar a configuração de um controlador de domínio pode ajudar uma organização a manter uma rede segura e confiável. Além disso, uma das principais tarefas realizadas pelo AD DS é a replicação de dados entre controladores de domínio.
Logon/Logoff\Auditoria de Modo Estendido do IPsec, Logon/Logoff\Auditoria de Modo Principal do IPsec e Logon/Logoff\Auditoria de Modo Rápido do IPsec. Muitas redes dão suporte a um grande número de usuários externos, inclusive funcionários remotos e parceiros. Como esses usuários estão fora dos limites de rede da organização, IPsec costuma ser usado para ajudar a proteger a comunicação pela Internet, habilitando a autenticação de par de nível de rede, a autenticação de origem de dados, a integridade de dados, a confidencialidade de dados (criptografia) e a proteção contra ataques de reprodução. Você pode usar essas configurações para garantir que os serviços IPsec estejam funcionando corretamente.
Logon/Logoff\Auditoria de Servidor de Política de Rede. Organizações que usam RADIUS (IAS) e Proteção de Acesso à Rede (NAP) para definir e manter os requisitos de segurança para usuários externos podem usar essa configuração de política para monitorar a eficiência dessas políticas e determinar se alguém está tentando burlar essas proteções.
Alteração de Política. Essas configurações de política e eventos permitem acompanhar alterações feitas em políticas de segurança importantes em um computador local ou rede. Como as políticas normalmente são estabelecidas por administradores para ajudar a proteger recursos de rede, quaisquer alterações ou tentativas de alterar essas políticas podem ser um aspecto importante do gerenciamento de segurança para uma rede.
Alteração de Política\Auditoria de Alteração de Políticas de Auditoria. Esta configuração de política permite monitorar alterações feitas na política de auditoria. Caso obtenham credenciais de administrador do domínio, usuários mal-intencionados podem desabilitar temporariamente configurações de política de auditoria de segurança essenciais de maneira que as outras atividades na rede não possam ser detectadas.
Alteração de Política\Auditoria de Alteração na Política da Plataforma de Filtragem. Esta configuração de política pode ser usada para monitorar uma grande variedade de alterações feitas em políticas IPsec de uma organização.
Alteração de Política\Auditoria de Alteração na Política de Nível de Regra MPSSVC. Esta configuração de política determina se o sistema operacional gera eventos de auditoria quando alterações são feitas em regras de política do Serviço de Proteção Microsoft (MPSSVC.exe), que é usado pelo Firewall do Windows. As alterações em regras de firewall são importantes para compreender o estado de segurança do computador e como ele está bem protegido de ataques de rede.
Confirmar a compatibilidade da versão do sistema operacional
Nem todas as versões do Windows dão suporte a configurações de política de auditoria avançada ou ao uso de Política de Grupo para aplicar e gerenciar essas configurações. Para obter mais informações, consulte Quais edições do Windows dão suporte avançado à configuração de políticas de auditoria.
As configurações de política de auditoria em Políticas Locais\Política de Auditoria se sobrepõem às configurações de política de auditoria em Configurações de Segurança\Configuração Avançada de Política de Auditoria. No entanto, as categorias de política de auditoria avançadas e as subcategorias possibilitam concentrar os esforços de auditoria nas atividades mais críticas, ao mesmo tempo em que reduzem a quantidade de dados de auditoria que são menos importantes para a organização.
Por exemplo, Políticas Locais\Política de Auditoria contém uma única configuração chamada Auditoria de eventos de logon de conta. Quando essa configuração é definida, ela gera pelo menos 10 tipos de eventos de auditoria.
Em comparação, a categoria de Logon de Conta em Configurações de Segurança\Configuração Avançada de Política de Auditoria oferece as seguintes configurações avançadas, que permitem se concentrar na auditoria:
Validação de credenciais
Serviço de autenticação Kerberos
Operações do tíquete de serviço Kerberos
Outros eventos de Logon de Conta
Essas configurações permitem exercer muito mais controle sobre quais atividades ou eventos geram dados do evento. Como alguns eventos e atividades serão mais importantes para a organização, defina o escopo da política de auditoria de segurança da maneira mais rígida possível.
Êxito, falha ou ambos
Independentemente das configurações de evento que incluir no plano, você também precisa decidir se deseja registrar em log um evento quando a atividade falha, quando uma atividade é bem-sucedida, ou tanto êxitos quanto falhas. Essa é uma questão importante, e a resposta será baseada na importância do evento e nas implicações da decisão sobre o volume do evento.
Por exemplo, em um servidor de arquivos acessado de maneira frequente por usuários legítimos, você pode ter interesse em registrar em log um evento somente quando uma tentativa malsucedida de acessar dados ocorre, porque isso pode ser uma evidência de um usuário não autorizado ou mal-intencionado. E neste exemplo, registrar em log tentativas bem-sucedidas de acessar o servidor preencheria rapidamente o log de eventos com eventos benignos.
Por outro lado, caso o compartilhamento de arquivos tenha informações altamente confidenciais e úteis, como segredos comerciais, convém registrar em log todas as tentativas de acesso, independentemente de serem bem-sucedidas ou malsucedidas, de maneira que você tenha uma trilha de auditoria de cada usuário que acessou o recurso.
Planejamento de monitoramento e gerenciamento de auditoria de segurança
As redes podem conter centenas de servidores executando serviços críticos ou armazenando dados críticos, e tudo isso precisa ser monitorado. O número de computadores cliente na rede pode facilmente variar entre dezenas ou até mesmo centenas de milhares. Isso não poderá ser um problema se a taxa de servidores ou computadores cliente por administrador for baixa. Mesmo que um administrador responsável por auditar questões de segurança e desempenho tenha relativamente poucos computadores para monitorar, você precisa decidir como um administrador obterá dados do evento a serem examinados. A seguir, algumas opções para obter os dados do evento.
Você manterá dados de evento em um computador local até um administrador fazer logon para examinar esses dados? Em caso afirmativo, o administrador precisa ter acesso físico ou remoto ao Visualizador de Eventos em cada computador cliente ou servidor e as configurações de firewall e de acesso remoto em cada computador cliente ou servidor precisam ser definidas para habilitar esse acesso. Além disso, você precisa decidir com que frequência um administrador pode visitar cada computador e ajustar o tamanho do log de auditoria de maneira que as informações críticas não sejam excluídas caso o log atinja a capacidade máxima.
Você coletará dados de eventos de maneira que eles possam ser examinados em um console central? Em caso afirmativo, existem vários produtos de gerenciamento do computador, como os Serviços de Coleta de Auditoria no Operations Manager 2007 e 2012, que podem ser usados para coletar e filtrar dados de evento. Presume-se que essa solução permita que um único administrador examine grandes quantidades de dados, em vez de usar a opção de armazenamento local. Mas, em alguns casos, isso pode dificultar mais a detecção de clusters de eventos relacionados que possam ocorrer em um único computador.
Além disso, independentemente de optar por deixar dados de auditoria em um computador individual ou consolidá-los em um local central, você precisa decidir qual deve ser o tamanho do arquivo de log e o que deve acontecer quando o log atinge o tamanho máximo. Para configurar essas opções, abra o Visualizador de Eventos, expanda Logs do Windows, clique com o botão direito do mouse em Segurança e clique em Propriedades. Você pode configurar as seguintes propriedades:
Substituir eventos quando necessário (eventos mais antigos primeiro). Esta é a opção padrão, que é uma solução aceitável na maioria das situações.
Arquivar o log quando estiver cheio; não substituir eventos. Esta opção pode ser usada quando todos os dados do log precisam ser salvos, mas ela também sugere que você talvez não esteja examinando os dados de auditoria com frequência suficiente.
Não substituir eventos (limpar logs manualmente). Esta opção para a coleção de dados de auditoria quando o arquivo de log atinge o tamanho máximo. Os dados mais antigos são mantidos às custas dos eventos de auditoria mais recentes. Só use essa opção caso você não queira perder dados de auditoria, não queira criar um arquivo morto do log de eventos e esteja comprometido em examinar os dados antes do tamanho máximo do log ser atingido.
Você também pode configurar o tamanho do log de auditoria e outras opções de gerenciamento de chaves usando as configurações de Política de Grupo. Você pode definir as configurações do log de eventos nos seguintes locais dentro do GPMC: Configuração do Computador\Modelos Administrativos\Componentes do Windows\Serviço do Log de Eventos\Segurança. Entre essas opções estão:
Tamanho Máximo do Log (KB). Esta configuração de política especifica o tamanho máximo dos arquivos de log. As interfaces de usuário no Editor de Política de Grupo Local e o no Visualizador de Eventos permitem inserir valores de até 2 TB. Caso essa configuração não esteja definida, os logs de eventos têm um tamanho padrão máximo de 20 megabytes.
Acesso ao Log. Esta configuração de política determina quais contas de usuário têm acesso a arquivos de log e quais direitos de uso são concedidos.
Reter eventos antigos. Esta configuração de política controla o comportamento do log de eventos quando o arquivo de log atinge o tamanho máximo. Quando esta configuração de política está habilitada e um arquivo de log atinge o tamanho máximo, novos eventos não são gravados no log e são perdidos. Quando esta configuração de política está desabilitada e um arquivo de log atinge o tamanho máximo, novos eventos substituem eventos antigos.
Fazer backup de log automaticamente quando completo. Esta configuração de política controla o comportamento do log de eventos quando o arquivo de log atinge o tamanho máximo e só entrará em vigor se a configuração de política Reter eventos antigos estiver habilitada. Caso você habilite essas configurações de política, o arquivo do log de eventos é fechado automaticamente e renomeado quando está cheio. Um novo arquivo é iniciado. Caso você desabilite ou não defina esta configuração de política e a configuração de política Reter eventos antigos esteja habilitada, novos eventos são descartados e os eventos anteriores são mantidos.
Além disso, um número cada vez maior de organizações está sendo solicitado a armazenar arquivos de log em arquivo morto por vários anos. Você deve consultar responsáveis pela conformidade regulatória na organização para determinar se essas diretrizes se aplicam à organização. Para obter mais informações, consulte o Guia de gerenciamento de conformidade da TI.
Implantação da política de auditoria de segurança
Antes de implantar a política de auditoria em um ambiente de produção, é fundamental determinar os efeitos das configurações de política definidas.
A primeira etapa na avaliação da implantação de política de auditoria é criar um ambiente de teste em um laboratório e usá-lo para simular os diversos cenários de uso que você identificou para confirmar se as configurações de auditoria selecionadas estão configuradas corretamente e geram o tipo de resultados desejado. Para obter mais informações sobre como configurar um ambiente de laboratório para testar a política de auditoria de segurança, consulte o Passo a passo para a auditoria de segurança avançada.
No entanto, a menos que você seja capaz de executar simulações bem realistas dos padrões de uso da rede, uma configuração de laboratório não pode oferecer informações precisas sobre o volume de dados de auditoria que as configurações de política de auditoria selecionadas irão gerar e que eficiência o plano para monitorar os dados de auditoria terá. Para fornecer esse tipo de informação, você precisa realizar uma ou mais implantações piloto. Essas implantações piloto podem envolver:
Uma única UO contendo servidores de dados críticos ou uma UO contendo todos os computadores desktop em um local especificado.
Um conjunto limitado de configurações de política de auditoria de segurança, como Logon/Logoff e Logon de Conta.
Uma combinação de UOs limitadas e configurações de política de auditoria – por exemplo, segmentando servidores apenas na UO de contabilidade com configurações de política Acesso a Objeto.
Depois que tiver concluído com êxito uma ou mais implantações limitadas, você deverá confirmar se os dados de auditoria coletados são gerenciáveis com as ferramentas de gerenciamento e os administradores. Quando tiver confirmado que a implantação piloto é eficaz, você precisará confirmar se tem as ferramentas e a equipe necessárias para expandir a implantação a fim de incluir UOs adicionais e conjuntos de configurações de política de auditoria até a implantação de produção estar concluída.