Guia Passo a Passo de Política de Auditoria de Segurança Avançada

Guia Passo a Passo dePolítica de Auditoria deSegurança AvançadaEste tópico ainda não foi avaliado como

Atualizado: junho de 2011

Aplica-se a: Windows Server 2008, Windows Server 2008 R2

Sobre este guia

Melhorias na auditoria de segurança no Windows Server 2008 R2 e

no Windows 7 podem ajudar sua organização a fazer a auditoria da

conformidade com importantes regras relacionadas a negócio e

segurança, acompanhando atividades precisamente definidas,

como:

Um administrador de grupo modificou configurações ou

dados em servidores que contêm informações financeiras.

Um funcionário em um grupo definido acessou um arquivo

importante.

A SACL (lista de controle de acesso do sistema) correta é

aplicada a todos os arquivos e pastas ou à chave do

Registro em um computador ou compartilhamento de

arquivos como uma garantia verificável contra o acesso não

detectado.

No Windows 7 e no Windows Server 2008 R2, o número de

configurações de auditoria para as quais o êxito e a falha podem

ser acompanhados aumentou para 53. Anteriormente, havia nove

configurações básicas de auditoria em Configuração do

Computador\Políticas\Configurações do

Windows\Configurações de Segurança\Políticas Locais\Política

de Auditoria. Essas 53 novas configurações permitem que você

selecione apenas os comportamentos que deseja monitorar e

exclua resultados de auditoria para comportamentos que

representam pouca ou nenhuma preocupação para você ou

comportamentos que criam um número excessivo de entradas de

log. Além disso, como a política de auditoria de segurança do

Windows 7 e do Windows Server 2008 R2 pode ser aplicada com a

Política de Grupo de domínio, as configurações de política de

auditoria pode ser modificadas, testadas e implantadas com

relativa simplicidade para usuários e grupos selecionados.

Este guia passo a passo demonstra o processo de configuração de

uma infraestrutura avançada de política de auditoria de segurança

Guia Passo a Passo de Política de Auditoria de Segurança Avançada http://technet.microsoft.com/pt-br/library/dd408940(v=ws.10).aspx

1 de 26 19/03/2013 16:00

do Windows 7 e do Windows Server 2008 R2 em um ambiente de

teste. Ele também orienta você ao longo do processo de definição

de algumas configurações de política de auditoria de segurança

avançadas representativas. Quando você concluir essas tarefas

iniciais, é altamente recomendável usar os procedimentos deste

guia para escolher, configurar, aplicar e avaliar configurações de

segurança de política de auditoria adicionais.

Durante esse processo, você criará um domínio do Active Directory,

instalará o Windows Server 2008 R2 em um servidor membro,

instalará o Windows 7 em um computador cliente e definirá novas

configurações avançadas de política de auditoria de segurança,

incluindo a auditoria de acesso a objetos globais. Além disso, este

documento o orientará ao longo do exame de novos dados de

"razão para acesso" disponíveis com o uso de várias novas

configurações de política de auditoria.

Ao concluir, você poderá usar esse ambiente de teste para aplicar

diferentes conjuntos de configurações de política de auditoria de

segurança avançadas do Windows Server 2008 R2 e avaliar como

eles podem ser usados para aumentar a segurança em sua

organização.

Depois de concluir as etapas deste guia, você poderá:

Criar e aplicar configurações de política de auditoria

avançadas para um grupo definido de computadores em

sua organização.

Verificar se as configurações de política de auditoria são

aplicadas a um grupo definido de computadores clientes

em sua organização.

Usar os novos dados de eventos de segurança de "razão

para acesso" para identificar as permissões usadas para

determinar se determinado evento de segurança foi

disparado.

Configurar, aplicar e analisar o impacto de diferentes

configurações de políticas de auditoria para identificar as

configurações que são importantes para sua organização.

Gerenciar a auditoria por usuário no Windows 7 e no

Windows Server 2008 R2.

Implantando configurações de política de au

ditoria avançadas em um ambiente de teste

Após concluir este guia passo a passo, você obterá uma

infraestrutura avançada de auditoria de segurança funcional. Você

poderá então testar e aprender sobre as configurações de política

de auditoria de segurança avançadas adicionais fazendo logon em

CONTOSO-CLNT e verificando se a política de auditoria correta

está sendo aplicada ao computador.


2 de 26 19/03/2013 16:00

Importante

Recomendamos que você use primeiro os procedimentos deste

guia em um ambiente de laboratório de teste. Os guias passo a

passo não se destinam a serem usados para implantar recursos

do Windows sem planejamento e documentação de

implantação adicionais.

O ambiente de teste descrito neste guia inclui três computadores

que estão conectados a uma rede privada e usam os sistemas

operacionais, aplicativos e serviços a seguir.

Nome docomputador

Sistema operacionalAplicativos eserviços

CONTOSO-DC Windows Server 2008

R2

Observação

O Windows

Server 2008 ou o

Windows

Server 2003 com

Service Pack 2

(SP2) também

pode ser usado no

controlador de

domínio.

AD DS (Serviços

de Domínio Active

Directory) e DNS

(Sistema de

Nomes de

Domínio)

CONTOSO-SRV Windows Server 2008

R2

GPMC (Console

de Gerenciamento

de Política de

Grupo)

CONTOSO-CLNT Windows 7

Observação

O Windows

Server 2008 R2

também pode ser

usado como

computador

cliente.

Observação

Para obter mais informações sobre a compatibilidade e os

requisitos do sistema operacional, consulte o artigo sobre Que

versões do Windows oferecem suporte à Configuração de

Política de Auditoria Avançada?.

Os computadores formam uma intranet privada e estão conectados


3 de 26 19/03/2013 16:00

por meio de um hub comum ou de um comutador de Camada 2.

Essa configuração pode ser emulada em um ambiente de máquina

virtual, se desejado. Este guia passo a passo usa endereços

privados em toda a configuração do laboratório de teste. A ID

10.0.0.0/24 de rede privada é usada para a intranet. O controlador

de domínio para o domínio contoso.com se chama CONTOSO-DC.

A figura a seguir mostra a configuração do ambiente de teste.

Etapas para a implantação de políticas de au

ditoria avançadas em um ambiente de teste

Conclua as etapas a seguir para implantar configurações de política

de auditoria avançadas em um ambiente de teste.

Etapa 1: configurando a infraestrutura

Etapa 2: criando e verificando uma política de auditoria avançada

Etapa 3: criando e verificando uma política de auditoria que fornece

a razão para o acesso a objetos

Etapa 4: criando e verificando uma política de acesso a objetos

globais

Etapa 5: criando e verificando políticas de auditoria avançadas

adicionais

Seção opcional: reverter a política de auditoria de segurança de

Política de Auditoria Avançada para política de auditoria básica

Etapa 1: configurando a infraestrutura

Para preparar o ambiente de teste no domínio CONTOSO, você

deve concluir as seguintes tarefas:

Configurar o controlador de domínio (CONTOSO-DC).

Configurar o servidor membro (CONTOSO-SRV).


4 de 26 19/03/2013 16:00

Configurar o computador cliente (CONTOSO-CLNT).

Use a tabela a seguir como referência ao configurar nomes de

computador, sistemas operacionais e configurações de rede

adequados que são necessários para concluir as etapas deste guia.

Importante

Antes de configurar os computadores com endereços IP

estáticos, é recomendável concluir primeiro duas tarefas

importantes que exigem conectividade com a Internet: conclua

a ativação do produto do Windows e use o Windows Update

para obter e instalar quaisquer atualizações de segurança

críticas disponíveis.

Nome docomputador

Requisitodo sistemaoperacional

ConfiguraçõesIP

Configuraçõesde DNS

CONTOSO-DC Windows

Server 2008

R2,

Windows

Server 2008

ou Windows

Server 2003

com Service

Pack 2 (SP2)

Endereço IP:

10.0.0.1

Máscara de

sub-rede:

255.255.255.0

Configurado

pela função de

servidor DNS

CONTOSO-SRV Windows

Server 2008

R2

Endereço IP:

10.0.0.2

Máscara de

sub-rede:

255.255.255.0

Preferencial:

10.0.0.1

CONTOSO-CLNT Windows 7

ou Windows

Server 2008

R2

Endereço IP:

10.0.0.3

Máscara de

sub-rede:

255.255.255.0

Preferencial:

10.0.0.1

Configurar o controlador de domínio (CO

NTOSO-DC)

Dependendo de seu ambiente, você pode avaliar as

configurações de política de auditoria em um domínio do

Windows Server 2008 R2, do Windows Server 2008 ou do

Windows Server 2003. Para este guia, usamos um domínio do



5 de 26 19/03/2013 16:00

Observação

Para mais informações sobre os requisitos do sistema

operacional, consulte o artigo sobre Novidades na Auditoria

de Segurança do Windows.

Para configurar o controlador de domínio CONTOSO-DC

executando o Windows Server 2008 R2, você deve:

Instalar o Windows Server 2008 R2.

Configurar as propriedades de TCP/IP.

Instalar o AD DS.

Criar uma UO (unidade organizacional) de Finanças.

Primeiro, instale o Windows Server 2008 R2 em um servidor

autônomo.

Para instalar o Windows Server 2008 R2

Inicie o computador usando o CD do produto do


1.

Quando o nome do computador for solicitado, digite

CONTOSO-DC.

2.

Siga o restante das instruções exibidas na tela para

concluir a instalação.

3.

Em seguida, configure as propriedades do TCP/IP para que

CONTOSO-DC tenha o endereço IP estático IPv4 10.0.0.1.

Para configurar as propriedades de TCP/

IP

Faça logon em CONTOSO-DC com a conta

CONTOSO-DC\Administrador.

1.

Clique em Iniciar, Painel de Controle, Rede e

Internet, Central de Rede e Compartilhamento,

Alterar Configurações do Adaptador, clique com o

botão direito do mouse em Conexão Local e clique

em Propriedades.

2.

Na guia Rede, clique em Protocolo IP Versão 4

(TCP/IPv4) e em Propriedades.

3.

Clique em Usar o seguinte endereço IP. Na caixa

Endereço IP, digite 10.0.0.1. Na caixa Máscara de

4.


6 de 26 19/03/2013 16:00

sub-rede, digite 255.255.255.0. Na caixa Gateway

padrão, digite 10.0.0.1.

Na caixa Servidor DNS Preferencial, digite 10.0.0.1 e

clique em OK.

5.

Na guia Rede , desmarque a caixa de seleção

Protocolo IP Versão 6 (TCP/IPv6) e clique em

Fechar.

6.

Em seguida, configure o computador como um controlador de

domínio executando o Windows Server 2008 R2.

Para configurar CONTOSO-DC como um

controlador de domínio executando o W

indows Server 2008

Clique em Iniciar e em Executar. Na caixa Abrir,

digite dcpromo e clique em OK.

1.

Na página Assistente de Instalação dos Serviços de

Domínio Active Directory, clique em Avançar e em

Avançar novamente.

2.

Clique em Criar um novo domínio em uma nova

floresta e em Avançar.

3.

Na caixa FQDN do domínio raiz da floresta, digite

contoso.com e clique em Avançar.

4.

Mantenha o valor padrão na caixa Nome NetBIOS do

domínio e clique em Avançar.

5.

Na lista Nível funcional da floresta, clique em

Windows Server 2003 e em Avançar.

6.

Na lista Nível funcional do domínio, clique em

Windows Server 2003 e em Avançar.

7.

Verifique se a caixa de seleção Servidor DNS está

marcada e clique em Avançar.

8.

Clique em Sim, confirmando que deseja criar uma

delegação para esse servidor DNS.

9.

Na página Local de Banco de Dados, Arquivos de

Log e SYSVOL, clique em Avançar.

10.

Nas caixas Senha e Confirmar senha, digite uma

senha forte e clique em Avançar.

11.

Na página Resumo, clique em Avançar para iniciar a

instalação.

12.

Quando a instalação estiver concluída, clique em13.


7 de 26 19/03/2013 16:00

Concluir e em Reiniciar Agora.

Observação

Você deve reiniciar o computador após concluir

este procedimento.

Para criar uma UO de Finanças em conto

so.com



1.

Clique em Iniciar e em Painel de Controle, clique

duas vezes em Ferramentas Administrativas e clique

duas vezes em Usuários e Computadores do Active

Directory.

2.

Na árvore de console, clique com botão direito do

mouse em contoso.com, aponte para Novo e clique

em Unidade Organizacional.

3.

Digite o nome da nova UO, Finanças, e clique em OK.4.

Configurar o servidor membro do Window

s Server 2008 R2 (CONTOSO-SRV)

Para configurar o servidor membro, CONTOSO-SRV, é

necessário:

Instalar o Windows Server 2008 R2.


Adicionar CONTOSO-SRV ao domínio contoso.com.

Adicionar CONTOSO-SRV à UO Finanças.

Instalar o GPMC.

Em primeiro lugar, instale o Windows Server 2008 R2 como um

servidor autônomo.

Para instalar o Windows Server 2008 R2

Inicie o computador usando o CD do produto do1.


8 de 26 19/03/2013 16:00


Quando o nome do computador for solicitado, digite

CONTOSO-SRV.

2.

Siga o restante das instruções exibidas na tela para

concluir a instalação.

3.


CONTOSO-SRV tenha o endereço IP estático 10.0.0.2. Além

disso, configure o servidor DNS usando o endereço IP de

CONTOSO-DC (10.0.0.1).


IP

Faça logon em CONTOSO-SRV com a conta

CONTOSO-SRV\Administrador ou com outra conta de

usuário no grupo local Administradores.

1.


duas vezes em Centro de Rede e

Compartilhamento, clique em Gerenciar Conexões

de Rede, clique com o botão direito do mouse em

Conexão Local e clique em Propriedades.

2.



3.

Clique em Usar o seguinte endereço IP. Na caixa

Endereço IP, digite 10.0.0.2. Na caixa Máscara de

sub-rede, digite 255.255.255.0. Na caixa Gateway

padrão, digite 10.0.0.1.

4.

Clique em Usar os seguintes endereços de servidor

DNS. Em Servidor DNS preferencial, digite 10.0.0.1.

5.

Clique em OK e em Fechar para fechar a caixa de

diálogo Propriedades da Conexão Local.

6.

Em seguida, adicione CONTOSO-SRV ao domínio contoso.com.

Para adicionar CONTOSO-SRV ao domín

io contoso.com

Clique em Iniciar, clique com o botão direito do

mouse em Computador e clique em Propriedades.

1.

Clique em Alterar configurações (à direita sob Nome

do computador, domínio e configurações de

2.


9 de 26 19/03/2013 16:00

grupo de trabalho) e clique em Alterar.

Na caixa de diálogo Alterações de Nome/Domínio

do Computador, clique em Domínio e digite

contoso.com.

3.

Clique em Mais e, na caixa Sufixo DNS primário

deste computador, digite contoso.com.

4.

Clique em OK e em OK novamente.5.

Quando a caixa de diálogo Alterações de

Nome/Domínio do Computador for exibida

solicitando credenciais administrativas, forneça as

credenciais de CONTOSO\Administrador e clique em

OK.

6.


Nome/Domínio do Computador for exibida dando

as boas-vindas ao domínio contoso.com, clique em

OK.

7.



informando que o computador deve ser reiniciado,

clique em OK e, em seguida, em Fechar.

8.

Clique em Reiniciar Agora.9.

Depois que o computador for reiniciado, adicione

CONTOSO-SRV à UO Finanças.

Para adicionar um computador à UO Fin

anças



1.


duas vezes em Ferramentas Administrativas e clique

duas vezes em Usuários e Computadores do Active

Directory.

2.


mouse em contoso.com.

3.


mouse na UO Finanças, aponte para Novo e clique

em Grupo.

4.

Digite o nome do novo grupo, Computadores. Em

Escopo do grupo, clique em Domínio local e, em

Tipo de grupo, clique em Grupo de segurança.

5.

Clique com o botão direito do mouse em6.


10 de 26 19/03/2013 16:00

Computadores e, em seguida, clique em

Propriedades. Na guia Membros, clique em

Adicionar.

Em Digite os nomes de objeto a serem

selecionados, digite CONTOSO-SRV e clique em OK.

7.

Finalmente, instale o GPMC em CONTOSO-SRV usando o

Gerenciador de Servidores. Isso será usado para definir as

configurações de política de auditoria de segurança avançadas.

Para instalar o GPMC

Faça logon em CONTOSO-SRV como membro do

grupo local Administradores.

1.

Clique em Iniciar, aponte para Ferramentas

Administrativas e clique em Gerenciador de

Servidores.

2.

Em Resumo dos Recursos, clique em Adicionar

Recursos.

3.

Marque a caixa de seleção Gerenciamento de

Política de Grupo e clique em Instalar.

4.

Feche o Gerenciador de Servidores.5.

Configurar o computador cliente (CONTO

SO-CLNT)

Para configurar CONTOSO-CLNT, é necessário:

Instalar o Windows 7.


Adicionar CONTOSO-CLNT ao domínio contoso.com.

Para instalar o Windows 7

Inicie o computador usando o CD do produto do

Windows 7.

1.

Siga as instruções na tela e, quando for solicitado o

nome do computador, digite CONTOSO-CLNT.

2.


11 de 26 19/03/2013 16:00


CONTOSO-CLNT tenha o endereço IP estático 10.0.0.3. Além

disso, configure o servidor DNS de CONTOSO-DC (10.0.0.1).


IP

Faça logon em CONTOSO-CLNT com a conta

CONTOSO-CLNT\Administrador ou com outra conta

de usuário no grupo local Administradores.

1.

Clique em Iniciar, Painel de Controle, Rede e

Internet e Central de Redes e Compartilhamento.

2.

Clique em Alterar as configurações do adaptador,

clique com o botão direito do mouse em Conexão

Local e clique em Propriedades.

3.

Se a caixa de diálogo Controle de Conta de Usuário

aparecer, confirme se a ação exibida é a desejada e

clique em Sim.

4.



5.

Clique em Usar o seguinte endereço IP. Em

Endereço IP, digite 10.0.0.3. Em Máscara de

sub-rede, digite 255.255.255.0.

6.

Clique em Usar os seguintes endereços de servidor

DNS. Em Servidor DNS preferencial, digite 10.0.0.1.

7.

Clique em OK e em Fechar para fechar a caixa de

diálogo Propriedades da Conexão Local.

8.

Em seguida, adicione CONTOSO-CLNT ao domínio contoso.com.

Para adicionar CONTOSO-CLNT ao domí

nio contoso.com

Clique em Iniciar, clique com o botão direito do

mouse em Computador e clique em Propriedades.

1.

Em Nome do computador, domínio e

configurações de grupo de trabalho, clique em

Alterar configurações.

2.



clique em Sim.

3.

Na guia Nome do Computador, clique em Alterar.4.


12 de 26 19/03/2013 16:00

Na caixa de diálogo Alterações de Nome/Domínio

do Computador, clique em Domínio e digite

contoso.com.

5.

Clique em Mais e, na caixa Sufixo DNS primário

deste computador, digite contoso.com.

6.

Clique em OK e em OK novamente.7.



solicitando credenciais administrativas, forneça as

credenciais e clique em OK.

8.


Nome/Domínio do Computador for exibida dando

as boas-vindas ao domínio contoso.com, clique em

OK.

9.



informando que o computador deve ser reiniciado,

clique em OK e, em seguida, em Fechar.

10.

Na caixa de diálogo Alteração das Configurações do

Sistema, clique em Sim para reiniciar o computador.

11.

Etapa 2: criando e verificando uma política d

e auditoria avançada

As nove políticas de auditoria básicas em Configuração do


Windows\Configurações de Segurança\Políticas Locais\Política

de Auditoria permitem definir configurações de política de

auditoria de segurança para amplos conjuntos de comportamentos,

alguns dos quais geram muitos mais eventos de auditoria do que

outros. Um administrador precisa examinar todos os eventos

gerados, sejam eles de interesse ou não.

No Windows Server 2008 R2 e no Windows 7, os administradores

podem fazer auditoria em aspectos mais específicos do

comportamento do cliente no computador ou na rede, o que

facilita a identificação dos comportamentos de maior interesse. Por

exemplo, em Configuração do Computador\Políticas

\Configurações do Windows\Configurações de

Segurança\Políticas Locais\Política de Auditoria, há apenas uma

configuração de política para eventos de logon, Auditoria de

eventos de logon. Em Configuração do Computador\Políticas

\Configurações do Windows\Configurações de

Segurança\Configuração Avançada de Diretiva de

Auditoria\Políticas de Auditoria do Sistema, você pode optar


13 de 26 19/03/2013 16:00

entre oito diferentes configurações de política na categoria

Logon/Logoff. Isto proporciona um controle mais detalhado dos

aspectos de logon e logoff que você pode acompanhar.

Uma política de domínio padrão é gerada automaticamente

quando um novo domínio é criado. Nesta seção, vamos editar a

política de domínio padrão e adicionar uma configuração de

política de auditoria de segurança avançada que as faz uma

auditoria quando um usuário faz logon, com ou sem êxito, em um

computador no domínio CONTOSO.

Para configurar, aplicar e validar uma configuração de política de

auditoria de logon de domínio avançada, você deve:

Definir uma configuração de política de logon de domínio

avançada.

Verificar se as configurações da Configuração de Política de

Auditoria Avançada não foram substituídas.

Atualizar as configurações de Política de Grupo.

Verificar se as configurações de política de auditoria de

segurança de logon avançadas foram aplicadas

corretamente.

Para definir uma configuração de política

de auditoria de logon de domínio avançad

a

Faça logon em CONTOSO-SRV como membro do grupo

local Administradores.

1.


Administrativas e clique em Gerenciamento de

Diretiva de Grupo.

2.

Na árvore de console, clique duas vezes em Floresta:

contoso.com, clique duas vezes em Domínios e clique

duas vezes em contoso.com.

3.

Clique com o botão direito do mouse em Diretiva de

Domínio Padrão e clique em Editar.

4.

Clique duas vezes em Configuração do Computador,

clique duas vezes em Políticas e clique duas vezes em

Configurações do Windows.

5.

Clique duas vezes em Configurações de Segurança,

clique duas vezes em Configuração Avançada de

Diretiva de Auditoria e clique duas vezes em Políticas

de Auditoria do Sistema.

6.

Clique duas vezes em Logon/Logoff e clique duas vezes

em Logon.

7.


14 de 26 19/03/2013 16:00

Marque a caixa de seleção Configurar estes eventos de

auditoria, marque a caixa de seleção Êxito, marque a

caixa de seleção Falha e clique em OK.

8.

Ao usar configurações da Configuração de Política de Auditoria

Avançada, você precisa confirmar que essas configurações não

foram substituídas pelas configurações básicas de política de

auditoria. O procedimento a seguir mostra como evitar conflitos,

bloqueando a aplicação de quaisquer configurações de política de

auditoria básicas.

Para garantir que as configurações da Con

figuração de Política de Auditoria Avançad

a não foram substituídas

Em CONTOSO-SRV, clique em Iniciar, aponte para

Ferramentas Administrativas e clique em

Gerenciamento de Diretiva de Grupo.

1.




2.



3.




4.

Clique duas vezes em Configurações de Segurança e

clique em Opções de Segurança.

5.

Clique duas vezes em Auditoria: forçar configurações

de subcategorias de diretivas de auditoria (Windows

Vista ou superior) para substituir configurações de

categorias de diretivas de auditoria e clique em

Definir esta configuração de política.

6.

Clique em Habilitado e em OK.7.

Para verificar a funcionalidade de configurações de política de

auditoria de segurança avançadas no domínio contoso.com, você

fará logon no CONTOSO-CLNT como administrador do domínio

contoso.com e verificará se as configurações de Política de Grupo

foram aplicadas.

Para atualizar as configurações de Política

de Grupo.

Faça logon em CONTOSO-CLNT como1.


15 de 26 19/03/2013 16:00

CONTOSO\Administrador.

Clique em Iniciar, aponte para Todos os Programas,

clique em Acessórios, clique com o botão direito do

mouse em Prompt de Comando e, em seguida, clique

em Executar como administrador.

2.



clique em Sim.

3.

Digite gpupdate e pressione ENTER.4.

Depois que as configurações de Política de Grupo forem aplicadas,

você poderá verificar se as configurações de política de auditoria

foram aplicadas corretamente.

Para verificar se as configurações de políti

ca de auditoria de segurança de logon ava

nçadas foram aplicadas corretamente

Faça logon em CONTOSO-CLNT como

CONTOSO\Administrador.

1.

Clique em Iniciar, aponte para Todos os Programas,

clique em Acessórios, clique com o botão direito do

mouse em Prompt de Comando e, em seguida, clique

em Executar como administrador.

2.



clique em Sim.

3.

Digite auditpol.exe /get /category:* e pressione ENTER.4.

Verifique se êxito, Falha ou Êxito e Falha são mostrados

à direita de Logon.

5.


e auditoria que fornece a razão para o acess

o a objetos

Uma das necessidades de auditoria mais comuns é acompanhar o

acesso a determinado arquivo ou pasta. Por exemplo, pode ser

necessário identificar uma atividade como, por exemplo, quando

um usuário grava em um arquivo ao qual não deveria ter tido

acesso. Habilitando a auditoria "razão para acesso", além de poder

acompanhar esse tipo de atividade, você também poderá


16 de 26 19/03/2013 16:00

identificar a entrada de controle de acesso exata que permitiu o

acesso indesejado, o que pode simplificar significativamente a

tarefa de modificar as configurações de controle de acesso para

impedir o acesso indesejado a objetos de forma semelhante no

futuro.

Para configurar, aplicar e validar uma razão para a política de

acesso a objetos, você deve:

Configurar a política de auditoria do sistema de arquivos.

Habilitar a auditoria para um arquivo ou pasta.

Habilitar a política de auditoria de manipulação de

identificador.




Examinar e verificar a razão para os dados de auditoria de

acesso.

Para configurar a política de auditoria do s

istema de arquivos



1.



Diretiva de Grupo.

2.




3.



4.




5.





6.

Clique duas vezes em Acesso a Objeto e clique duas

vezes em Sistema de Arquivos.

7.

Marque a caixa de seleção Configurar os eventos a

seguir e marque as caixas de seleção Êxito, Falha ou

Êxito e Falha.

8.


17 de 26 19/03/2013 16:00

Clique em OK.9.

A política de auditoria do sistema de arquivos só é usada para

monitorar objetos para os quais SACLs de auditoria foram

configuradas. O procedimento a seguir mostra como configurar a

auditoria para um arquivo ou pasta.

Para habilitar a auditoria para um arquivo

ou pasta

Faça logon em CONTOSO-CLNT como membro do

grupo local Administradores.

1.

Crie uma nova pasta ou documento .txt.2.

Clique com o botão direito do mouse no novo objeto,

clique em Propriedades e clique na guia Segurança.

3.

Clique em Avançado e clique na guia Auditoria.4.



clique em Sim.

5.

Clique em Adicionar, digite um nome de usuário ou

nome de computador no formato contoso\usuário1 e

clique em OK.

6.

Na caixa de diálogo Entradas de Auditoria para,

selecione as permissões das quais você deseja fazer

auditoria, como Controle Total ou Excluir.

7.

Clique em OK quatro vezes para concluir a configuração

da SACL do objeto.

8.

No Windows 7 e no Windows Server 2008 R2, a razão pela qual

alguém teve o acesso concedido ou negado é adicionada ao

evento de identificador aberto. Assim, os administradores podem

entender por que alguém pôde abrir um arquivo, pasta ou

compartilhamento de arquivos para um acesso específico. Para

ativar essa funcionalidade, a política de auditoria de manipulação

de identificador também precisa ser habilitada, para que eventos

de êxito registrem tentativas de acesso que foram permitidas e

eventos de falha registrem tentativas de acesso que foram

negadas.

Para habilitar a política de auditoria de ma

nipulação de identificador

Faça logon em CONTOSO-SRV como membro do grupo1.


18 de 26 19/03/2013 16:00




Diretiva de Grupo.

2.




3.

Clique duas vezes na UO Finanças, clique com o botão

direito do mouse em Política de Auditoria de Finanças

e clique em Editar.

4.




5.





6.

Clique duas vezes em Acesso a Objeto, clique com o

botão direito do mouse em Manipulação de

Identificador e clique em Propriedades.

7.

Marque a caixa de seleção Configurar estes eventos de

auditoria, marque as caixas de seleção Êxito e Falha e

clique em OK.

8.

Após criar esta política de auditoria, confirme se essas

configurações de política de auditoria avançadas não podem ser

substituídas. Para obter mais informações, consulte o

procedimento "Para garantir que as configurações da Configuração

de Política de Auditoria Avançadas não sejam substituídas" na

seção Etapa 2: criando e verificando uma política de auditoria

avançada.

Em seguida, aplique as atualizações da Política de Grupo usando o

procedimento "Para atualizar as configurações de Política de

Grupo" na seção Etapa 2: criando e verificando uma política de

auditoria avançada.

Depois que as configurações de Política de Grupo atualizadas

forem aplicadas, faça logon e logoff de CONTOSO-CLNT e conclua

algumas tarefas que gerarão a razão para eventos de acesso a

objetos. Após concluir essas etapas, você poderá examinar os

dados de auditoria que fornecem a razão para o acesso.

Para examinar e verificar a razão para os d

ados de auditoria de acesso

Em CONTOSO-CLNT, clique em Iniciar, aponte para1.


19 de 26 19/03/2013 16:00

Ferramentas Administrativas e clique em Visualizador

de Eventos.

Clique em Logs do Windows e em Segurança.2.

No painel Ações, clique em Limpar Log.3.

Localize o arquivo ou pasta que você configurou no

procedimento de acesso a objeto de nível de domínio e

modifique o arquivo ou pasta usando as permissões que

você configurou para a conta de usuário.

4.

Volte para o Visualizador de Eventos e, no painel

Ações, clique em Atualizar.

5.

Na coluna ID do Evento, clique em um ou mais eventos

intitulado 4656, role para baixo até a seção Informações

de Solicitação de Acesso e confirme as permissões que

foram usadas para executar a tarefa.

6.


e acesso a objetos globais

Uma política de auditoria de acesso a objetos globais pode ser

usada para impor uma política de auditoria de acesso a objetos a

um computador, compartilhamento de arquivos ou Registro sem a

necessidade de configurar e propagar SACLs convencionais. A

configurando e propagação SACLs é uma tarefa administrativa mais

complexa e é difícil de verificar, particularmente se você precisar

verificar para um auditor que a política de segurança está sendo

imposta. Usando uma política de auditoria de acesso a objetos

globais, você pode impor uma política de segurança, como

"Registrar toda a atividade administrativa de Gravação em

servidores que contenham informações de Finanças", e verificar se

ativos críticos estão sendo protegidos.

Nesse caso, você realizará a auditoria de todas as alterações feitas

nas chaves do Registro por membros de um grupo específico, em

vez de alterações feitas em objetos do sistema de arquivos.

Para configurar, aplicar e validar uma política de auditoria de

acesso a objetos globais, você deve:

Configurar uma política de auditoria de acesso a objetos

globais do domínio.




Confirmar se a auditoria de acesso a objetos globais está

ocorrendo.


20 de 26 19/03/2013 16:00

Para configurar uma política de auditoria

de acesso a objetos globais do domínio



1.



Diretiva de Grupo.

2.




3.



4.




5.





6.

Clique duas vezes em Acesso a Objeto e clique duas

vezes em Registro.

7.

Marque a caixa de seleção Configurar estes eventos,

marque as caixas de seleção Êxito e Falha e clique em

OK.

8.

Clique duas vezes em Políticas de Acesso a Objetos

Globais e clique duas vezes em Registro.

9.

Marque a caixa de seleção Definir esta configuração de

política e clique em Configurar.

10.

Na caixa Configurações de Segurança Avançadas para

SACL do Registro, clique em Adicionar.

11.

Digite um nome de usuário ou computador no formato

contoso\usuário1, usuá[email protected] ou

CONTOSO-CLNT e clique em OK.

12.

Na caixa Configurações de Segurança Avançadas para

SACL do Registro, selecione as atividades com Êxito ou

Falha para as quais você deseja registrar entradas para

auditoria, como, por exemplo, Criar Subchave, Excluir

ou Ler.

13.

Clique em OK três vezes para concluir a configuração da

política de auditoria.

14.

Após criar a política de auditoria, confirme se essas configurações


21 de 26 19/03/2013 16:00

de política de auditoria avançadas não podem ser substituídas.

Para obter mais informações, consulte o procedimento "Para

garantir que as configurações da Configuração de Política de

Auditoria Avançadas não sejam substituídas" na seção Etapa 2:

criando e verificando uma política de auditoria avançada.

Em seguida, aplique as atualizações da Política de Grupo usando o

procedimento "Para atualizar as configurações de Política de

Grupo" na seção Etapa 2: criando e verificando uma política de

auditoria avançada. Depois que as configurações de Política de

Grupo atualizadas forem aplicadas, faça logon e logoff de

CONTOSO-CLNT.

Para verificar se a política de acesso a obje

tos globais foi aplicada

Abra o Editor do Registro e crie e modifique uma ou

mais configurações do Registro.

1.

Excluir um ou mais das configurações do Registro que

você criou.

2.

Abra o Visualizador de Eventos e confirme se suas

atividades resultaram em eventos de auditoria, embora

você não tenha definido SACLs de auditoria explícitas

nas configurações do Registro que criou, modificou e

excluiu.

3.

Etapa 5: criando e verificando políticas de au

ditoria avançadas adicionais

Agora que você criou, aplicou e validou os três tipos básicos de

configurações de política de auditoria de segurança avançadas,

continue a identificar e testar configurações de política de auditoria

de segurança avançadas adicionais usando os procedimentos

básicos descritos nas seções anteriores.

Para identificar configurações adicionais de interesse potencial para

sua organização, examine as informações de Novidades na

Auditoria de Segurança do Windows.

Informações adicionais estão disponíveis em Configuração do


Windows\Configurações de Segurança\Configuração de

Política de Auditoria Avançada\Políticas de Auditoria do

Sistema clicando com o botão direito do mouse nas configurações

individuais, clicando em Propriedades e clicando na guia Explicar.

Ao aplicar e testar configurações adicionais, considere como os

dados de eventos de auditoria gerados podem ajudá-lo a criar uma


22 de 26 19/03/2013 16:00

rede mais segura. Em particular, considere o seguinte:

As informações fornecidas por esses eventos de auditoria

são úteis?

São fornecidas informações suficientes pelos dados de

auditoria?

São fornecidas informações demais pelos dados de

auditoria?

Como posso ajustar estas configurações de política de

auditoria para obter apenas as informações de que

necessito?

A auditoria de segurança é uma ferramenta crítica e essencial para

ajudar a garantir que seus ativos de rede estejam seguros. Você

deve reservar todo o tempo que for necessário para explorar e

entender as novas configurações de de política de auditoria de

segurança avançadas do Windows 7 e do Windows Server 2008 R2.

Gerenciando a auditoria por usuários no Wi

ndows 7 e no Windows Server 2008 R2

As configurações de política de auditoria de segurança no

Windows 7 e no Windows Server 2008 R2 podem ser definidas e

usadas somente para cada computador, e não para cada usuário.

No entanto, existem várias maneiras de aplicar configurações de

auditoria para usuários específicos:

Quando disponível, configure as permissões de segurança

avançadas no objeto que está sendo submetido a auditoria,

para que a política de auditoria seja aplicada apenas a um

grupo específico. Por exemplo, se você desejar que a

configuração de política Acesso a Objeto seja aplicada a

um arquivo ou pasta, é possível configurar as permissões

no arquivo ou pasta para que o acesso a objeto seja

acompanhado somente para os indivíduos ou grupos que

você especificar. O procedimento intitulado "Para habilitar a

auditoria para um arquivo ou pasta", fornecido

anteriormente neste documento, descreve como concluir

essa tarefa.

Defina e implante configurações de auditoria por usuário

usando um arquivo de texto de política de auditoria, um

script de logon e a ferramenta da linha de comando

Auditpol.exe.

Importante

A auditoria por usuário com base em scripts de logon só

pode ser aplicada a usuários individuais, não a grupos.

Você não pode usar scripts de logon para excluir

subcategorias ou categorias de configurações de

política de auditoria para administradores.


23 de 26 19/03/2013 16:00

O procedimento a seguir descreve como criar um arquivo de texto

de política de auditoria que pode ser implantado usando um script

de logon. Para obter mais informações sobre como usar scripts de

logon para implantar uma política de auditoria, consulte o artigo

921469 na Base de Dados de Conhecimento Microsoft

(http://go.microsoft.com/fwlink/?LinkID=82447).

Para criar um arquivo de texto de política

de auditoria

Em um prompt de comando, digite auditpol /set

/user:securityprincipalname

/category:"subcategoryname" /include /Êxito ou

Falha:enable para adicionar uma configuração de

auditoria por usuário. Repita essa etapa para cada

subcategoria de política de auditoria e usuário ou grupo

que você desejar adicionar ao arquivo de texto de

política de auditoria.

Observação

Para obter uma lista de possíveis configurações de

auditoria em formato de relatório, abra uma janela de

Prompt de Comando, digite auditpol /list/subcategory:* /r e pressione ENTER. Para obter

mais informações sobre como usar Auditpol, consulte

Auditpol set e Auditpol list.

1.

Em um prompt de comando, digite auditpol /backup

/file: auditpolicyfilename.txt para exportar a política.

2.

Formate a política abrindo auditpolicyfilename.txt e

removendo todas as linhas, exceto a primeira linha do

texto e as linhas de texto de auditoria por usuário.

Observação

O texto da política de auditoria por usuário estará no formato:

ComputerName,S-1-XXXX,SubcategoryName,GUID,TextIncludeSettings,TextExcludeSettings,#As configurações do sistema estarão no formato:

ComputerName,System,SubcategoryName,GUID,TextAuditSettings,#Além disso, não deixe de remover as últimas seis linhas, que contêm as

configurações de opção de auditoria.

3.

Quando terminar de criar o arquivo, no menu Arquivo,

clique em Salvar como e confirmar se ANSI está

selecionado na lista Codificação. Clique em OK.

4.

Em um prompt de comando, digite auditpol /restore

/file: auditpolicyfilename.txt e pressione ENTER para

confirmar se as configurações de auditoria desejadas

estão configuradas. Digite auditpol /list /user e

5.


24 de 26 19/03/2013 16:00

Contribuições da comunidade

pressione ENTER para listar todos os usuários com as

configurações por usuário de auditoria.

Copie o arquivo auditpolicyfilename.txt para o

compartilhamento Netlogon do controlador de domínio

que contém a função de emulador de PDC (controlador

de domínio primário) no domínio.

Importante

Não importe políticas de auditoria que contenham

configurações de auditoria por usuário diretamente

para um GPO (objeto de Política de Grupo). Quando

configurações de auditoria por usuário são

implantadas por meio da Política de Grupo e não

através de scripts de logon, conforme é descrito

neste procedimento, isso pode fazer com que níveis

inesperados de eventos de falha apareçam em seus

logs de auditoria de segurança.

6.

Seção opcional: reverter a política de audito

ria de segurança de Política de Auditoria Av

ançada para política de auditoria básica

A aplicação de configurações de política de auditoria avançadas

substitui quaisquer configurações de política de auditoria de

segurança básicas comparáveis. Se, posteriormente, alterar a

configuração de política de auditoria avançada para Não

configurada, você precisará concluir as seguintes etapas para

restaurar as configurações de política de auditoria de segurança

básicas originais:

Defina todas as subcategorias de Política de Auditoria

Avançada como Não configurada.

1.

Exclua todos os arquivos .csv da pasta %SYSVOL% no

controlador de domínio.

2.

Reconfigure e aplique as configurações de política de

auditoria básicas.

3.

A menos que você conclua todas essas etapas, as configurações de

política de auditoria básicas não serão restauradas.


25 de 26 19/03/2013 16:00

© 2013 Microsoft. Todos os direitos reservados.


26 de 26 19/03/2013 16:00

Documents

Guia Passo a Passo de Política de Auditoria de Segurança Avançada