Upload
adailton-santos
View
24
Download
6
Embed Size (px)
Citation preview
Guia Passo a Passo dePolítica de Auditoria deSegurança AvançadaEste tópico ainda não foi avaliado como
Atualizado: junho de 2011
Aplica-se a: Windows Server 2008, Windows Server 2008 R2
Sobre este guia
Melhorias na auditoria de segurança no Windows Server 2008 R2 e
no Windows 7 podem ajudar sua organização a fazer a auditoria da
conformidade com importantes regras relacionadas a negócio e
segurança, acompanhando atividades precisamente definidas,
como:
Um administrador de grupo modificou configurações ou
dados em servidores que contêm informações financeiras.
Um funcionário em um grupo definido acessou um arquivo
importante.
A SACL (lista de controle de acesso do sistema) correta é
aplicada a todos os arquivos e pastas ou à chave do
Registro em um computador ou compartilhamento de
arquivos como uma garantia verificável contra o acesso não
detectado.
No Windows 7 e no Windows Server 2008 R2, o número de
configurações de auditoria para as quais o êxito e a falha podem
ser acompanhados aumentou para 53. Anteriormente, havia nove
configurações básicas de auditoria em Configuração do
Computador\Políticas\Configurações do
Windows\Configurações de Segurança\Políticas Locais\Política
de Auditoria. Essas 53 novas configurações permitem que você
selecione apenas os comportamentos que deseja monitorar e
exclua resultados de auditoria para comportamentos que
representam pouca ou nenhuma preocupação para você ou
comportamentos que criam um número excessivo de entradas de
log. Além disso, como a política de auditoria de segurança do
Windows 7 e do Windows Server 2008 R2 pode ser aplicada com a
Política de Grupo de domínio, as configurações de política de
auditoria pode ser modificadas, testadas e implantadas com
relativa simplicidade para usuários e grupos selecionados.
Este guia passo a passo demonstra o processo de configuração de
uma infraestrutura avançada de política de auditoria de segurança
Guia Passo a Passo de Política de Auditoria de Segurança Avançada http://technet.microsoft.com/pt-br/library/dd408940(v=ws.10).aspx
1 de 26 19/03/2013 16:00
do Windows 7 e do Windows Server 2008 R2 em um ambiente de
teste. Ele também orienta você ao longo do processo de definição
de algumas configurações de política de auditoria de segurança
avançadas representativas. Quando você concluir essas tarefas
iniciais, é altamente recomendável usar os procedimentos deste
guia para escolher, configurar, aplicar e avaliar configurações de
segurança de política de auditoria adicionais.
Durante esse processo, você criará um domínio do Active Directory,
instalará o Windows Server 2008 R2 em um servidor membro,
instalará o Windows 7 em um computador cliente e definirá novas
configurações avançadas de política de auditoria de segurança,
incluindo a auditoria de acesso a objetos globais. Além disso, este
documento o orientará ao longo do exame de novos dados de
"razão para acesso" disponíveis com o uso de várias novas
configurações de política de auditoria.
Ao concluir, você poderá usar esse ambiente de teste para aplicar
diferentes conjuntos de configurações de política de auditoria de
segurança avançadas do Windows Server 2008 R2 e avaliar como
eles podem ser usados para aumentar a segurança em sua
organização.
Depois de concluir as etapas deste guia, você poderá:
Criar e aplicar configurações de política de auditoria
avançadas para um grupo definido de computadores em
sua organização.
Verificar se as configurações de política de auditoria são
aplicadas a um grupo definido de computadores clientes
em sua organização.
Usar os novos dados de eventos de segurança de "razão
para acesso" para identificar as permissões usadas para
determinar se determinado evento de segurança foi
disparado.
Configurar, aplicar e analisar o impacto de diferentes
configurações de políticas de auditoria para identificar as
configurações que são importantes para sua organização.
Gerenciar a auditoria por usuário no Windows 7 e no
Windows Server 2008 R2.
Implantando configurações de política de au
ditoria avançadas em um ambiente de teste
Após concluir este guia passo a passo, você obterá uma
infraestrutura avançada de auditoria de segurança funcional. Você
poderá então testar e aprender sobre as configurações de política
de auditoria de segurança avançadas adicionais fazendo logon em
CONTOSO-CLNT e verificando se a política de auditoria correta
está sendo aplicada ao computador.
Guia Passo a Passo de Política de Auditoria de Segurança Avançada http://technet.microsoft.com/pt-br/library/dd408940(v=ws.10).aspx
2 de 26 19/03/2013 16:00
Importante
Recomendamos que você use primeiro os procedimentos deste
guia em um ambiente de laboratório de teste. Os guias passo a
passo não se destinam a serem usados para implantar recursos
do Windows sem planejamento e documentação de
implantação adicionais.
O ambiente de teste descrito neste guia inclui três computadores
que estão conectados a uma rede privada e usam os sistemas
operacionais, aplicativos e serviços a seguir.
Nome docomputador
Sistema operacionalAplicativos eserviços
CONTOSO-DC Windows Server 2008
R2
Observação
O Windows
Server 2008 ou o
Windows
Server 2003 com
Service Pack 2
(SP2) também
pode ser usado no
controlador de
domínio.
AD DS (Serviços
de Domínio Active
Directory) e DNS
(Sistema de
Nomes de
Domínio)
CONTOSO-SRV Windows Server 2008
R2
GPMC (Console
de Gerenciamento
de Política de
Grupo)
CONTOSO-CLNT Windows 7
Observação
O Windows
Server 2008 R2
também pode ser
usado como
computador
cliente.
Observação
Para obter mais informações sobre a compatibilidade e os
requisitos do sistema operacional, consulte o artigo sobre Que
versões do Windows oferecem suporte à Configuração de
Política de Auditoria Avançada?.
Os computadores formam uma intranet privada e estão conectados
Guia Passo a Passo de Política de Auditoria de Segurança Avançada http://technet.microsoft.com/pt-br/library/dd408940(v=ws.10).aspx
3 de 26 19/03/2013 16:00
por meio de um hub comum ou de um comutador de Camada 2.
Essa configuração pode ser emulada em um ambiente de máquina
virtual, se desejado. Este guia passo a passo usa endereços
privados em toda a configuração do laboratório de teste. A ID
10.0.0.0/24 de rede privada é usada para a intranet. O controlador
de domínio para o domínio contoso.com se chama CONTOSO-DC.
A figura a seguir mostra a configuração do ambiente de teste.
Etapas para a implantação de políticas de au
ditoria avançadas em um ambiente de teste
Conclua as etapas a seguir para implantar configurações de política
de auditoria avançadas em um ambiente de teste.
Etapa 1: configurando a infraestrutura
Etapa 2: criando e verificando uma política de auditoria avançada
Etapa 3: criando e verificando uma política de auditoria que fornece
a razão para o acesso a objetos
Etapa 4: criando e verificando uma política de acesso a objetos
globais
Etapa 5: criando e verificando políticas de auditoria avançadas
adicionais
Seção opcional: reverter a política de auditoria de segurança de
Política de Auditoria Avançada para política de auditoria básica
Etapa 1: configurando a infraestrutura
Para preparar o ambiente de teste no domínio CONTOSO, você
deve concluir as seguintes tarefas:
Configurar o controlador de domínio (CONTOSO-DC).
Configurar o servidor membro (CONTOSO-SRV).
Guia Passo a Passo de Política de Auditoria de Segurança Avançada http://technet.microsoft.com/pt-br/library/dd408940(v=ws.10).aspx
4 de 26 19/03/2013 16:00
Configurar o computador cliente (CONTOSO-CLNT).
Use a tabela a seguir como referência ao configurar nomes de
computador, sistemas operacionais e configurações de rede
adequados que são necessários para concluir as etapas deste guia.
Importante
Antes de configurar os computadores com endereços IP
estáticos, é recomendável concluir primeiro duas tarefas
importantes que exigem conectividade com a Internet: conclua
a ativação do produto do Windows e use o Windows Update
para obter e instalar quaisquer atualizações de segurança
críticas disponíveis.
Nome docomputador
Requisitodo sistemaoperacional
ConfiguraçõesIP
Configuraçõesde DNS
CONTOSO-DC Windows
Server 2008
R2,
Windows
Server 2008
ou Windows
Server 2003
com Service
Pack 2 (SP2)
Endereço IP:
10.0.0.1
Máscara de
sub-rede:
255.255.255.0
Configurado
pela função de
servidor DNS
CONTOSO-SRV Windows
Server 2008
R2
Endereço IP:
10.0.0.2
Máscara de
sub-rede:
255.255.255.0
Preferencial:
10.0.0.1
CONTOSO-CLNT Windows 7
ou Windows
Server 2008
R2
Endereço IP:
10.0.0.3
Máscara de
sub-rede:
255.255.255.0
Preferencial:
10.0.0.1
Configurar o controlador de domínio (CO
NTOSO-DC)
Dependendo de seu ambiente, você pode avaliar as
configurações de política de auditoria em um domínio do
Windows Server 2008 R2, do Windows Server 2008 ou do
Windows Server 2003. Para este guia, usamos um domínio do
Windows Server 2008 R2.
Guia Passo a Passo de Política de Auditoria de Segurança Avançada http://technet.microsoft.com/pt-br/library/dd408940(v=ws.10).aspx
5 de 26 19/03/2013 16:00
Observação
Para mais informações sobre os requisitos do sistema
operacional, consulte o artigo sobre Novidades na Auditoria
de Segurança do Windows.
Para configurar o controlador de domínio CONTOSO-DC
executando o Windows Server 2008 R2, você deve:
Instalar o Windows Server 2008 R2.
Configurar as propriedades de TCP/IP.
Instalar o AD DS.
Criar uma UO (unidade organizacional) de Finanças.
Primeiro, instale o Windows Server 2008 R2 em um servidor
autônomo.
Para instalar o Windows Server 2008 R2
Inicie o computador usando o CD do produto do
Windows Server 2008 R2.
1.
Quando o nome do computador for solicitado, digite
CONTOSO-DC.
2.
Siga o restante das instruções exibidas na tela para
concluir a instalação.
3.
Em seguida, configure as propriedades do TCP/IP para que
CONTOSO-DC tenha o endereço IP estático IPv4 10.0.0.1.
Para configurar as propriedades de TCP/
IP
Faça logon em CONTOSO-DC com a conta
CONTOSO-DC\Administrador.
1.
Clique em Iniciar, Painel de Controle, Rede e
Internet, Central de Rede e Compartilhamento,
Alterar Configurações do Adaptador, clique com o
botão direito do mouse em Conexão Local e clique
em Propriedades.
2.
Na guia Rede, clique em Protocolo IP Versão 4
(TCP/IPv4) e em Propriedades.
3.
Clique em Usar o seguinte endereço IP. Na caixa
Endereço IP, digite 10.0.0.1. Na caixa Máscara de
4.
Guia Passo a Passo de Política de Auditoria de Segurança Avançada http://technet.microsoft.com/pt-br/library/dd408940(v=ws.10).aspx
6 de 26 19/03/2013 16:00
sub-rede, digite 255.255.255.0. Na caixa Gateway
padrão, digite 10.0.0.1.
Na caixa Servidor DNS Preferencial, digite 10.0.0.1 e
clique em OK.
5.
Na guia Rede , desmarque a caixa de seleção
Protocolo IP Versão 6 (TCP/IPv6) e clique em
Fechar.
6.
Em seguida, configure o computador como um controlador de
domínio executando o Windows Server 2008 R2.
Para configurar CONTOSO-DC como um
controlador de domínio executando o W
indows Server 2008
Clique em Iniciar e em Executar. Na caixa Abrir,
digite dcpromo e clique em OK.
1.
Na página Assistente de Instalação dos Serviços de
Domínio Active Directory, clique em Avançar e em
Avançar novamente.
2.
Clique em Criar um novo domínio em uma nova
floresta e em Avançar.
3.
Na caixa FQDN do domínio raiz da floresta, digite
contoso.com e clique em Avançar.
4.
Mantenha o valor padrão na caixa Nome NetBIOS do
domínio e clique em Avançar.
5.
Na lista Nível funcional da floresta, clique em
Windows Server 2003 e em Avançar.
6.
Na lista Nível funcional do domínio, clique em
Windows Server 2003 e em Avançar.
7.
Verifique se a caixa de seleção Servidor DNS está
marcada e clique em Avançar.
8.
Clique em Sim, confirmando que deseja criar uma
delegação para esse servidor DNS.
9.
Na página Local de Banco de Dados, Arquivos de
Log e SYSVOL, clique em Avançar.
10.
Nas caixas Senha e Confirmar senha, digite uma
senha forte e clique em Avançar.
11.
Na página Resumo, clique em Avançar para iniciar a
instalação.
12.
Quando a instalação estiver concluída, clique em13.
Guia Passo a Passo de Política de Auditoria de Segurança Avançada http://technet.microsoft.com/pt-br/library/dd408940(v=ws.10).aspx
7 de 26 19/03/2013 16:00
Concluir e em Reiniciar Agora.
Observação
Você deve reiniciar o computador após concluir
este procedimento.
Para criar uma UO de Finanças em conto
so.com
Faça logon em CONTOSO-DC com a conta
CONTOSO-DC\Administrador.
1.
Clique em Iniciar e em Painel de Controle, clique
duas vezes em Ferramentas Administrativas e clique
duas vezes em Usuários e Computadores do Active
Directory.
2.
Na árvore de console, clique com botão direito do
mouse em contoso.com, aponte para Novo e clique
em Unidade Organizacional.
3.
Digite o nome da nova UO, Finanças, e clique em OK.4.
Configurar o servidor membro do Window
s Server 2008 R2 (CONTOSO-SRV)
Para configurar o servidor membro, CONTOSO-SRV, é
necessário:
Instalar o Windows Server 2008 R2.
Configurar as propriedades de TCP/IP.
Adicionar CONTOSO-SRV ao domínio contoso.com.
Adicionar CONTOSO-SRV à UO Finanças.
Instalar o GPMC.
Em primeiro lugar, instale o Windows Server 2008 R2 como um
servidor autônomo.
Para instalar o Windows Server 2008 R2
Inicie o computador usando o CD do produto do1.
Guia Passo a Passo de Política de Auditoria de Segurança Avançada http://technet.microsoft.com/pt-br/library/dd408940(v=ws.10).aspx
8 de 26 19/03/2013 16:00
Windows Server 2008 R2.
Quando o nome do computador for solicitado, digite
CONTOSO-SRV.
2.
Siga o restante das instruções exibidas na tela para
concluir a instalação.
3.
Em seguida, configure as propriedades do TCP/IP para que
CONTOSO-SRV tenha o endereço IP estático 10.0.0.2. Além
disso, configure o servidor DNS usando o endereço IP de
CONTOSO-DC (10.0.0.1).
Para configurar as propriedades de TCP/
IP
Faça logon em CONTOSO-SRV com a conta
CONTOSO-SRV\Administrador ou com outra conta de
usuário no grupo local Administradores.
1.
Clique em Iniciar e em Painel de Controle, clique
duas vezes em Centro de Rede e
Compartilhamento, clique em Gerenciar Conexões
de Rede, clique com o botão direito do mouse em
Conexão Local e clique em Propriedades.
2.
Na guia Rede, clique em Protocolo IP Versão 4
(TCP/IPv4) e em Propriedades.
3.
Clique em Usar o seguinte endereço IP. Na caixa
Endereço IP, digite 10.0.0.2. Na caixa Máscara de
sub-rede, digite 255.255.255.0. Na caixa Gateway
padrão, digite 10.0.0.1.
4.
Clique em Usar os seguintes endereços de servidor
DNS. Em Servidor DNS preferencial, digite 10.0.0.1.
5.
Clique em OK e em Fechar para fechar a caixa de
diálogo Propriedades da Conexão Local.
6.
Em seguida, adicione CONTOSO-SRV ao domínio contoso.com.
Para adicionar CONTOSO-SRV ao domín
io contoso.com
Clique em Iniciar, clique com o botão direito do
mouse em Computador e clique em Propriedades.
1.
Clique em Alterar configurações (à direita sob Nome
do computador, domínio e configurações de
2.
Guia Passo a Passo de Política de Auditoria de Segurança Avançada http://technet.microsoft.com/pt-br/library/dd408940(v=ws.10).aspx
9 de 26 19/03/2013 16:00
grupo de trabalho) e clique em Alterar.
Na caixa de diálogo Alterações de Nome/Domínio
do Computador, clique em Domínio e digite
contoso.com.
3.
Clique em Mais e, na caixa Sufixo DNS primário
deste computador, digite contoso.com.
4.
Clique em OK e em OK novamente.5.
Quando a caixa de diálogo Alterações de
Nome/Domínio do Computador for exibida
solicitando credenciais administrativas, forneça as
credenciais de CONTOSO\Administrador e clique em
OK.
6.
Quando a caixa de diálogo Alterações de
Nome/Domínio do Computador for exibida dando
as boas-vindas ao domínio contoso.com, clique em
OK.
7.
Quando a caixa de diálogo Alterações de
Nome/Domínio do Computador for exibida
informando que o computador deve ser reiniciado,
clique em OK e, em seguida, em Fechar.
8.
Clique em Reiniciar Agora.9.
Depois que o computador for reiniciado, adicione
CONTOSO-SRV à UO Finanças.
Para adicionar um computador à UO Fin
anças
Faça logon em CONTOSO-DC com a conta
CONTOSO-DC\Administrador.
1.
Clique em Iniciar e em Painel de Controle, clique
duas vezes em Ferramentas Administrativas e clique
duas vezes em Usuários e Computadores do Active
Directory.
2.
Na árvore de console, clique com botão direito do
mouse em contoso.com.
3.
Na árvore de console, clique com botão direito do
mouse na UO Finanças, aponte para Novo e clique
em Grupo.
4.
Digite o nome do novo grupo, Computadores. Em
Escopo do grupo, clique em Domínio local e, em
Tipo de grupo, clique em Grupo de segurança.
5.
Clique com o botão direito do mouse em6.
Guia Passo a Passo de Política de Auditoria de Segurança Avançada http://technet.microsoft.com/pt-br/library/dd408940(v=ws.10).aspx
10 de 26 19/03/2013 16:00
Computadores e, em seguida, clique em
Propriedades. Na guia Membros, clique em
Adicionar.
Em Digite os nomes de objeto a serem
selecionados, digite CONTOSO-SRV e clique em OK.
7.
Finalmente, instale o GPMC em CONTOSO-SRV usando o
Gerenciador de Servidores. Isso será usado para definir as
configurações de política de auditoria de segurança avançadas.
Para instalar o GPMC
Faça logon em CONTOSO-SRV como membro do
grupo local Administradores.
1.
Clique em Iniciar, aponte para Ferramentas
Administrativas e clique em Gerenciador de
Servidores.
2.
Em Resumo dos Recursos, clique em Adicionar
Recursos.
3.
Marque a caixa de seleção Gerenciamento de
Política de Grupo e clique em Instalar.
4.
Feche o Gerenciador de Servidores.5.
Configurar o computador cliente (CONTO
SO-CLNT)
Para configurar CONTOSO-CLNT, é necessário:
Instalar o Windows 7.
Configurar as propriedades de TCP/IP.
Adicionar CONTOSO-CLNT ao domínio contoso.com.
Para instalar o Windows 7
Inicie o computador usando o CD do produto do
Windows 7.
1.
Siga as instruções na tela e, quando for solicitado o
nome do computador, digite CONTOSO-CLNT.
2.
Guia Passo a Passo de Política de Auditoria de Segurança Avançada http://technet.microsoft.com/pt-br/library/dd408940(v=ws.10).aspx
11 de 26 19/03/2013 16:00
Em seguida, configure as propriedades do TCP/IP para que
CONTOSO-CLNT tenha o endereço IP estático 10.0.0.3. Além
disso, configure o servidor DNS de CONTOSO-DC (10.0.0.1).
Para configurar as propriedades de TCP/
IP
Faça logon em CONTOSO-CLNT com a conta
CONTOSO-CLNT\Administrador ou com outra conta
de usuário no grupo local Administradores.
1.
Clique em Iniciar, Painel de Controle, Rede e
Internet e Central de Redes e Compartilhamento.
2.
Clique em Alterar as configurações do adaptador,
clique com o botão direito do mouse em Conexão
Local e clique em Propriedades.
3.
Se a caixa de diálogo Controle de Conta de Usuário
aparecer, confirme se a ação exibida é a desejada e
clique em Sim.
4.
Na guia Rede, clique em Protocolo IP Versão 4
(TCP/IPv4) e em Propriedades.
5.
Clique em Usar o seguinte endereço IP. Em
Endereço IP, digite 10.0.0.3. Em Máscara de
sub-rede, digite 255.255.255.0.
6.
Clique em Usar os seguintes endereços de servidor
DNS. Em Servidor DNS preferencial, digite 10.0.0.1.
7.
Clique em OK e em Fechar para fechar a caixa de
diálogo Propriedades da Conexão Local.
8.
Em seguida, adicione CONTOSO-CLNT ao domínio contoso.com.
Para adicionar CONTOSO-CLNT ao domí
nio contoso.com
Clique em Iniciar, clique com o botão direito do
mouse em Computador e clique em Propriedades.
1.
Em Nome do computador, domínio e
configurações de grupo de trabalho, clique em
Alterar configurações.
2.
Se a caixa de diálogo Controle de Conta de Usuário
aparecer, confirme se a ação exibida é a desejada e
clique em Sim.
3.
Na guia Nome do Computador, clique em Alterar.4.
Guia Passo a Passo de Política de Auditoria de Segurança Avançada http://technet.microsoft.com/pt-br/library/dd408940(v=ws.10).aspx
12 de 26 19/03/2013 16:00
Na caixa de diálogo Alterações de Nome/Domínio
do Computador, clique em Domínio e digite
contoso.com.
5.
Clique em Mais e, na caixa Sufixo DNS primário
deste computador, digite contoso.com.
6.
Clique em OK e em OK novamente.7.
Quando a caixa de diálogo Alterações de
Nome/Domínio do Computador for exibida
solicitando credenciais administrativas, forneça as
credenciais e clique em OK.
8.
Quando a caixa de diálogo Alterações de
Nome/Domínio do Computador for exibida dando
as boas-vindas ao domínio contoso.com, clique em
OK.
9.
Quando a caixa de diálogo Alterações de
Nome/Domínio do Computador for exibida
informando que o computador deve ser reiniciado,
clique em OK e, em seguida, em Fechar.
10.
Na caixa de diálogo Alteração das Configurações do
Sistema, clique em Sim para reiniciar o computador.
11.
Etapa 2: criando e verificando uma política d
e auditoria avançada
As nove políticas de auditoria básicas em Configuração do
Computador\Políticas\Configurações do
Windows\Configurações de Segurança\Políticas Locais\Política
de Auditoria permitem definir configurações de política de
auditoria de segurança para amplos conjuntos de comportamentos,
alguns dos quais geram muitos mais eventos de auditoria do que
outros. Um administrador precisa examinar todos os eventos
gerados, sejam eles de interesse ou não.
No Windows Server 2008 R2 e no Windows 7, os administradores
podem fazer auditoria em aspectos mais específicos do
comportamento do cliente no computador ou na rede, o que
facilita a identificação dos comportamentos de maior interesse. Por
exemplo, em Configuração do Computador\Políticas
\Configurações do Windows\Configurações de
Segurança\Políticas Locais\Política de Auditoria, há apenas uma
configuração de política para eventos de logon, Auditoria de
eventos de logon. Em Configuração do Computador\Políticas
\Configurações do Windows\Configurações de
Segurança\Configuração Avançada de Diretiva de
Auditoria\Políticas de Auditoria do Sistema, você pode optar
Guia Passo a Passo de Política de Auditoria de Segurança Avançada http://technet.microsoft.com/pt-br/library/dd408940(v=ws.10).aspx
13 de 26 19/03/2013 16:00
entre oito diferentes configurações de política na categoria
Logon/Logoff. Isto proporciona um controle mais detalhado dos
aspectos de logon e logoff que você pode acompanhar.
Uma política de domínio padrão é gerada automaticamente
quando um novo domínio é criado. Nesta seção, vamos editar a
política de domínio padrão e adicionar uma configuração de
política de auditoria de segurança avançada que as faz uma
auditoria quando um usuário faz logon, com ou sem êxito, em um
computador no domínio CONTOSO.
Para configurar, aplicar e validar uma configuração de política de
auditoria de logon de domínio avançada, você deve:
Definir uma configuração de política de logon de domínio
avançada.
Verificar se as configurações da Configuração de Política de
Auditoria Avançada não foram substituídas.
Atualizar as configurações de Política de Grupo.
Verificar se as configurações de política de auditoria de
segurança de logon avançadas foram aplicadas
corretamente.
Para definir uma configuração de política
de auditoria de logon de domínio avançad
a
Faça logon em CONTOSO-SRV como membro do grupo
local Administradores.
1.
Clique em Iniciar, aponte para Ferramentas
Administrativas e clique em Gerenciamento de
Diretiva de Grupo.
2.
Na árvore de console, clique duas vezes em Floresta:
contoso.com, clique duas vezes em Domínios e clique
duas vezes em contoso.com.
3.
Clique com o botão direito do mouse em Diretiva de
Domínio Padrão e clique em Editar.
4.
Clique duas vezes em Configuração do Computador,
clique duas vezes em Políticas e clique duas vezes em
Configurações do Windows.
5.
Clique duas vezes em Configurações de Segurança,
clique duas vezes em Configuração Avançada de
Diretiva de Auditoria e clique duas vezes em Políticas
de Auditoria do Sistema.
6.
Clique duas vezes em Logon/Logoff e clique duas vezes
em Logon.
7.
Guia Passo a Passo de Política de Auditoria de Segurança Avançada http://technet.microsoft.com/pt-br/library/dd408940(v=ws.10).aspx
14 de 26 19/03/2013 16:00
Marque a caixa de seleção Configurar estes eventos de
auditoria, marque a caixa de seleção Êxito, marque a
caixa de seleção Falha e clique em OK.
8.
Ao usar configurações da Configuração de Política de Auditoria
Avançada, você precisa confirmar que essas configurações não
foram substituídas pelas configurações básicas de política de
auditoria. O procedimento a seguir mostra como evitar conflitos,
bloqueando a aplicação de quaisquer configurações de política de
auditoria básicas.
Para garantir que as configurações da Con
figuração de Política de Auditoria Avançad
a não foram substituídas
Em CONTOSO-SRV, clique em Iniciar, aponte para
Ferramentas Administrativas e clique em
Gerenciamento de Diretiva de Grupo.
1.
Na árvore de console, clique duas vezes em Floresta:
contoso.com, clique duas vezes em Domínios e clique
duas vezes em contoso.com.
2.
Clique com o botão direito do mouse em Diretiva de
Domínio Padrão e clique em Editar.
3.
Clique duas vezes em Configuração do Computador,
clique duas vezes em Políticas e clique duas vezes em
Configurações do Windows.
4.
Clique duas vezes em Configurações de Segurança e
clique em Opções de Segurança.
5.
Clique duas vezes em Auditoria: forçar configurações
de subcategorias de diretivas de auditoria (Windows
Vista ou superior) para substituir configurações de
categorias de diretivas de auditoria e clique em
Definir esta configuração de política.
6.
Clique em Habilitado e em OK.7.
Para verificar a funcionalidade de configurações de política de
auditoria de segurança avançadas no domínio contoso.com, você
fará logon no CONTOSO-CLNT como administrador do domínio
contoso.com e verificará se as configurações de Política de Grupo
foram aplicadas.
Para atualizar as configurações de Política
de Grupo.
Faça logon em CONTOSO-CLNT como1.
Guia Passo a Passo de Política de Auditoria de Segurança Avançada http://technet.microsoft.com/pt-br/library/dd408940(v=ws.10).aspx
15 de 26 19/03/2013 16:00
CONTOSO\Administrador.
Clique em Iniciar, aponte para Todos os Programas,
clique em Acessórios, clique com o botão direito do
mouse em Prompt de Comando e, em seguida, clique
em Executar como administrador.
2.
Se a caixa de diálogo Controle de Conta de Usuário
aparecer, confirme se a ação exibida é a desejada e
clique em Sim.
3.
Digite gpupdate e pressione ENTER.4.
Depois que as configurações de Política de Grupo forem aplicadas,
você poderá verificar se as configurações de política de auditoria
foram aplicadas corretamente.
Para verificar se as configurações de políti
ca de auditoria de segurança de logon ava
nçadas foram aplicadas corretamente
Faça logon em CONTOSO-CLNT como
CONTOSO\Administrador.
1.
Clique em Iniciar, aponte para Todos os Programas,
clique em Acessórios, clique com o botão direito do
mouse em Prompt de Comando e, em seguida, clique
em Executar como administrador.
2.
Se a caixa de diálogo Controle de Conta de Usuário
aparecer, confirme se a ação exibida é a desejada e
clique em Sim.
3.
Digite auditpol.exe /get /category:* e pressione ENTER.4.
Verifique se êxito, Falha ou Êxito e Falha são mostrados
à direita de Logon.
5.
Etapa 3: criando e verificando uma política d
e auditoria que fornece a razão para o acess
o a objetos
Uma das necessidades de auditoria mais comuns é acompanhar o
acesso a determinado arquivo ou pasta. Por exemplo, pode ser
necessário identificar uma atividade como, por exemplo, quando
um usuário grava em um arquivo ao qual não deveria ter tido
acesso. Habilitando a auditoria "razão para acesso", além de poder
acompanhar esse tipo de atividade, você também poderá
Guia Passo a Passo de Política de Auditoria de Segurança Avançada http://technet.microsoft.com/pt-br/library/dd408940(v=ws.10).aspx
16 de 26 19/03/2013 16:00
identificar a entrada de controle de acesso exata que permitiu o
acesso indesejado, o que pode simplificar significativamente a
tarefa de modificar as configurações de controle de acesso para
impedir o acesso indesejado a objetos de forma semelhante no
futuro.
Para configurar, aplicar e validar uma razão para a política de
acesso a objetos, você deve:
Configurar a política de auditoria do sistema de arquivos.
Habilitar a auditoria para um arquivo ou pasta.
Habilitar a política de auditoria de manipulação de
identificador.
Verificar se as configurações da Configuração de Política de
Auditoria Avançada não foram substituídas.
Atualizar as configurações de Política de Grupo.
Examinar e verificar a razão para os dados de auditoria de
acesso.
Para configurar a política de auditoria do s
istema de arquivos
Faça logon em CONTOSO-SRV como membro do grupo
local Administradores.
1.
Clique em Iniciar, aponte para Ferramentas
Administrativas e clique em Gerenciamento de
Diretiva de Grupo.
2.
Na árvore de console, clique duas vezes em Floresta:
contoso.com, clique duas vezes em Domínios e clique
duas vezes em contoso.com.
3.
Clique com o botão direito do mouse em Diretiva de
Domínio Padrão e clique em Editar.
4.
Clique duas vezes em Configuração do Computador,
clique duas vezes em Políticas e clique duas vezes em
Configurações do Windows.
5.
Clique duas vezes em Configurações de Segurança,
clique duas vezes em Configuração Avançada de
Diretiva de Auditoria e clique duas vezes em Políticas
de Auditoria do Sistema.
6.
Clique duas vezes em Acesso a Objeto e clique duas
vezes em Sistema de Arquivos.
7.
Marque a caixa de seleção Configurar os eventos a
seguir e marque as caixas de seleção Êxito, Falha ou
Êxito e Falha.
8.
Guia Passo a Passo de Política de Auditoria de Segurança Avançada http://technet.microsoft.com/pt-br/library/dd408940(v=ws.10).aspx
17 de 26 19/03/2013 16:00
Clique em OK.9.
A política de auditoria do sistema de arquivos só é usada para
monitorar objetos para os quais SACLs de auditoria foram
configuradas. O procedimento a seguir mostra como configurar a
auditoria para um arquivo ou pasta.
Para habilitar a auditoria para um arquivo
ou pasta
Faça logon em CONTOSO-CLNT como membro do
grupo local Administradores.
1.
Crie uma nova pasta ou documento .txt.2.
Clique com o botão direito do mouse no novo objeto,
clique em Propriedades e clique na guia Segurança.
3.
Clique em Avançado e clique na guia Auditoria.4.
Se a caixa de diálogo Controle de Conta de Usuário
aparecer, confirme se a ação exibida é a desejada e
clique em Sim.
5.
Clique em Adicionar, digite um nome de usuário ou
nome de computador no formato contoso\usuário1 e
clique em OK.
6.
Na caixa de diálogo Entradas de Auditoria para,
selecione as permissões das quais você deseja fazer
auditoria, como Controle Total ou Excluir.
7.
Clique em OK quatro vezes para concluir a configuração
da SACL do objeto.
8.
No Windows 7 e no Windows Server 2008 R2, a razão pela qual
alguém teve o acesso concedido ou negado é adicionada ao
evento de identificador aberto. Assim, os administradores podem
entender por que alguém pôde abrir um arquivo, pasta ou
compartilhamento de arquivos para um acesso específico. Para
ativar essa funcionalidade, a política de auditoria de manipulação
de identificador também precisa ser habilitada, para que eventos
de êxito registrem tentativas de acesso que foram permitidas e
eventos de falha registrem tentativas de acesso que foram
negadas.
Para habilitar a política de auditoria de ma
nipulação de identificador
Faça logon em CONTOSO-SRV como membro do grupo1.
Guia Passo a Passo de Política de Auditoria de Segurança Avançada http://technet.microsoft.com/pt-br/library/dd408940(v=ws.10).aspx
18 de 26 19/03/2013 16:00
local Administradores.
Clique em Iniciar, aponte para Ferramentas
Administrativas e clique em Gerenciamento de
Diretiva de Grupo.
2.
Na árvore de console, clique duas vezes em Floresta:
contoso.com, clique duas vezes em Domínios e clique
duas vezes em contoso.com.
3.
Clique duas vezes na UO Finanças, clique com o botão
direito do mouse em Política de Auditoria de Finanças
e clique em Editar.
4.
Clique duas vezes em Configuração do Computador,
clique duas vezes em Políticas e clique duas vezes em
Configurações do Windows.
5.
Clique duas vezes em Configurações de Segurança,
clique duas vezes em Configuração Avançada de
Diretiva de Auditoria e clique duas vezes em Políticas
de Auditoria do Sistema.
6.
Clique duas vezes em Acesso a Objeto, clique com o
botão direito do mouse em Manipulação de
Identificador e clique em Propriedades.
7.
Marque a caixa de seleção Configurar estes eventos de
auditoria, marque as caixas de seleção Êxito e Falha e
clique em OK.
8.
Após criar esta política de auditoria, confirme se essas
configurações de política de auditoria avançadas não podem ser
substituídas. Para obter mais informações, consulte o
procedimento "Para garantir que as configurações da Configuração
de Política de Auditoria Avançadas não sejam substituídas" na
seção Etapa 2: criando e verificando uma política de auditoria
avançada.
Em seguida, aplique as atualizações da Política de Grupo usando o
procedimento "Para atualizar as configurações de Política de
Grupo" na seção Etapa 2: criando e verificando uma política de
auditoria avançada.
Depois que as configurações de Política de Grupo atualizadas
forem aplicadas, faça logon e logoff de CONTOSO-CLNT e conclua
algumas tarefas que gerarão a razão para eventos de acesso a
objetos. Após concluir essas etapas, você poderá examinar os
dados de auditoria que fornecem a razão para o acesso.
Para examinar e verificar a razão para os d
ados de auditoria de acesso
Em CONTOSO-CLNT, clique em Iniciar, aponte para1.
Guia Passo a Passo de Política de Auditoria de Segurança Avançada http://technet.microsoft.com/pt-br/library/dd408940(v=ws.10).aspx
19 de 26 19/03/2013 16:00
Ferramentas Administrativas e clique em Visualizador
de Eventos.
Clique em Logs do Windows e em Segurança.2.
No painel Ações, clique em Limpar Log.3.
Localize o arquivo ou pasta que você configurou no
procedimento de acesso a objeto de nível de domínio e
modifique o arquivo ou pasta usando as permissões que
você configurou para a conta de usuário.
4.
Volte para o Visualizador de Eventos e, no painel
Ações, clique em Atualizar.
5.
Na coluna ID do Evento, clique em um ou mais eventos
intitulado 4656, role para baixo até a seção Informações
de Solicitação de Acesso e confirme as permissões que
foram usadas para executar a tarefa.
6.
Etapa 4: criando e verificando uma política d
e acesso a objetos globais
Uma política de auditoria de acesso a objetos globais pode ser
usada para impor uma política de auditoria de acesso a objetos a
um computador, compartilhamento de arquivos ou Registro sem a
necessidade de configurar e propagar SACLs convencionais. A
configurando e propagação SACLs é uma tarefa administrativa mais
complexa e é difícil de verificar, particularmente se você precisar
verificar para um auditor que a política de segurança está sendo
imposta. Usando uma política de auditoria de acesso a objetos
globais, você pode impor uma política de segurança, como
"Registrar toda a atividade administrativa de Gravação em
servidores que contenham informações de Finanças", e verificar se
ativos críticos estão sendo protegidos.
Nesse caso, você realizará a auditoria de todas as alterações feitas
nas chaves do Registro por membros de um grupo específico, em
vez de alterações feitas em objetos do sistema de arquivos.
Para configurar, aplicar e validar uma política de auditoria de
acesso a objetos globais, você deve:
Configurar uma política de auditoria de acesso a objetos
globais do domínio.
Verificar se as configurações da Configuração de Política de
Auditoria Avançada não foram substituídas.
Atualizar as configurações de Política de Grupo.
Confirmar se a auditoria de acesso a objetos globais está
ocorrendo.
Guia Passo a Passo de Política de Auditoria de Segurança Avançada http://technet.microsoft.com/pt-br/library/dd408940(v=ws.10).aspx
20 de 26 19/03/2013 16:00
Para configurar uma política de auditoria
de acesso a objetos globais do domínio
Faça logon em CONTOSO-SRV como membro do grupo
local Administradores.
1.
Clique em Iniciar, aponte para Ferramentas
Administrativas e clique em Gerenciamento de
Diretiva de Grupo.
2.
Na árvore de console, clique duas vezes em Floresta:
contoso.com, clique duas vezes em Domínios e clique
duas vezes em contoso.com.
3.
Clique com o botão direito do mouse em Diretiva de
Domínio Padrão e clique em Editar.
4.
Clique duas vezes em Configuração do Computador,
clique duas vezes em Políticas e clique duas vezes em
Configurações do Windows.
5.
Clique duas vezes em Configurações de Segurança,
clique duas vezes em Configuração Avançada de
Diretiva de Auditoria e clique duas vezes em Políticas
de Auditoria do Sistema.
6.
Clique duas vezes em Acesso a Objeto e clique duas
vezes em Registro.
7.
Marque a caixa de seleção Configurar estes eventos,
marque as caixas de seleção Êxito e Falha e clique em
OK.
8.
Clique duas vezes em Políticas de Acesso a Objetos
Globais e clique duas vezes em Registro.
9.
Marque a caixa de seleção Definir esta configuração de
política e clique em Configurar.
10.
Na caixa Configurações de Segurança Avançadas para
SACL do Registro, clique em Adicionar.
11.
Digite um nome de usuário ou computador no formato
contoso\usuário1, usuá[email protected] ou
CONTOSO-CLNT e clique em OK.
12.
Na caixa Configurações de Segurança Avançadas para
SACL do Registro, selecione as atividades com Êxito ou
Falha para as quais você deseja registrar entradas para
auditoria, como, por exemplo, Criar Subchave, Excluir
ou Ler.
13.
Clique em OK três vezes para concluir a configuração da
política de auditoria.
14.
Após criar a política de auditoria, confirme se essas configurações
Guia Passo a Passo de Política de Auditoria de Segurança Avançada http://technet.microsoft.com/pt-br/library/dd408940(v=ws.10).aspx
21 de 26 19/03/2013 16:00
de política de auditoria avançadas não podem ser substituídas.
Para obter mais informações, consulte o procedimento "Para
garantir que as configurações da Configuração de Política de
Auditoria Avançadas não sejam substituídas" na seção Etapa 2:
criando e verificando uma política de auditoria avançada.
Em seguida, aplique as atualizações da Política de Grupo usando o
procedimento "Para atualizar as configurações de Política de
Grupo" na seção Etapa 2: criando e verificando uma política de
auditoria avançada. Depois que as configurações de Política de
Grupo atualizadas forem aplicadas, faça logon e logoff de
CONTOSO-CLNT.
Para verificar se a política de acesso a obje
tos globais foi aplicada
Abra o Editor do Registro e crie e modifique uma ou
mais configurações do Registro.
1.
Excluir um ou mais das configurações do Registro que
você criou.
2.
Abra o Visualizador de Eventos e confirme se suas
atividades resultaram em eventos de auditoria, embora
você não tenha definido SACLs de auditoria explícitas
nas configurações do Registro que criou, modificou e
excluiu.
3.
Etapa 5: criando e verificando políticas de au
ditoria avançadas adicionais
Agora que você criou, aplicou e validou os três tipos básicos de
configurações de política de auditoria de segurança avançadas,
continue a identificar e testar configurações de política de auditoria
de segurança avançadas adicionais usando os procedimentos
básicos descritos nas seções anteriores.
Para identificar configurações adicionais de interesse potencial para
sua organização, examine as informações de Novidades na
Auditoria de Segurança do Windows.
Informações adicionais estão disponíveis em Configuração do
Computador\Políticas\Configurações do
Windows\Configurações de Segurança\Configuração de
Política de Auditoria Avançada\Políticas de Auditoria do
Sistema clicando com o botão direito do mouse nas configurações
individuais, clicando em Propriedades e clicando na guia Explicar.
Ao aplicar e testar configurações adicionais, considere como os
dados de eventos de auditoria gerados podem ajudá-lo a criar uma
Guia Passo a Passo de Política de Auditoria de Segurança Avançada http://technet.microsoft.com/pt-br/library/dd408940(v=ws.10).aspx
22 de 26 19/03/2013 16:00
rede mais segura. Em particular, considere o seguinte:
As informações fornecidas por esses eventos de auditoria
são úteis?
São fornecidas informações suficientes pelos dados de
auditoria?
São fornecidas informações demais pelos dados de
auditoria?
Como posso ajustar estas configurações de política de
auditoria para obter apenas as informações de que
necessito?
A auditoria de segurança é uma ferramenta crítica e essencial para
ajudar a garantir que seus ativos de rede estejam seguros. Você
deve reservar todo o tempo que for necessário para explorar e
entender as novas configurações de de política de auditoria de
segurança avançadas do Windows 7 e do Windows Server 2008 R2.
Gerenciando a auditoria por usuários no Wi
ndows 7 e no Windows Server 2008 R2
As configurações de política de auditoria de segurança no
Windows 7 e no Windows Server 2008 R2 podem ser definidas e
usadas somente para cada computador, e não para cada usuário.
No entanto, existem várias maneiras de aplicar configurações de
auditoria para usuários específicos:
Quando disponível, configure as permissões de segurança
avançadas no objeto que está sendo submetido a auditoria,
para que a política de auditoria seja aplicada apenas a um
grupo específico. Por exemplo, se você desejar que a
configuração de política Acesso a Objeto seja aplicada a
um arquivo ou pasta, é possível configurar as permissões
no arquivo ou pasta para que o acesso a objeto seja
acompanhado somente para os indivíduos ou grupos que
você especificar. O procedimento intitulado "Para habilitar a
auditoria para um arquivo ou pasta", fornecido
anteriormente neste documento, descreve como concluir
essa tarefa.
Defina e implante configurações de auditoria por usuário
usando um arquivo de texto de política de auditoria, um
script de logon e a ferramenta da linha de comando
Auditpol.exe.
Importante
A auditoria por usuário com base em scripts de logon só
pode ser aplicada a usuários individuais, não a grupos.
Você não pode usar scripts de logon para excluir
subcategorias ou categorias de configurações de
política de auditoria para administradores.
Guia Passo a Passo de Política de Auditoria de Segurança Avançada http://technet.microsoft.com/pt-br/library/dd408940(v=ws.10).aspx
23 de 26 19/03/2013 16:00
O procedimento a seguir descreve como criar um arquivo de texto
de política de auditoria que pode ser implantado usando um script
de logon. Para obter mais informações sobre como usar scripts de
logon para implantar uma política de auditoria, consulte o artigo
921469 na Base de Dados de Conhecimento Microsoft
(http://go.microsoft.com/fwlink/?LinkID=82447).
Para criar um arquivo de texto de política
de auditoria
Em um prompt de comando, digite auditpol /set
/user:securityprincipalname
/category:"subcategoryname" /include /Êxito ou
Falha:enable para adicionar uma configuração de
auditoria por usuário. Repita essa etapa para cada
subcategoria de política de auditoria e usuário ou grupo
que você desejar adicionar ao arquivo de texto de
política de auditoria.
Observação
Para obter uma lista de possíveis configurações de
auditoria em formato de relatório, abra uma janela de
Prompt de Comando, digite auditpol /list/subcategory:* /r e pressione ENTER. Para obter
mais informações sobre como usar Auditpol, consulte
Auditpol set e Auditpol list.
1.
Em um prompt de comando, digite auditpol /backup
/file: auditpolicyfilename.txt para exportar a política.
2.
Formate a política abrindo auditpolicyfilename.txt e
removendo todas as linhas, exceto a primeira linha do
texto e as linhas de texto de auditoria por usuário.
Observação
O texto da política de auditoria por usuário estará no formato:
ComputerName,S-1-XXXX,SubcategoryName,GUID,TextIncludeSettings,TextExcludeSettings,#As configurações do sistema estarão no formato:
ComputerName,System,SubcategoryName,GUID,TextAuditSettings,#Além disso, não deixe de remover as últimas seis linhas, que contêm as
configurações de opção de auditoria.
3.
Quando terminar de criar o arquivo, no menu Arquivo,
clique em Salvar como e confirmar se ANSI está
selecionado na lista Codificação. Clique em OK.
4.
Em um prompt de comando, digite auditpol /restore
/file: auditpolicyfilename.txt e pressione ENTER para
confirmar se as configurações de auditoria desejadas
estão configuradas. Digite auditpol /list /user e
5.
Guia Passo a Passo de Política de Auditoria de Segurança Avançada http://technet.microsoft.com/pt-br/library/dd408940(v=ws.10).aspx
24 de 26 19/03/2013 16:00
Contribuições da comunidade
pressione ENTER para listar todos os usuários com as
configurações por usuário de auditoria.
Copie o arquivo auditpolicyfilename.txt para o
compartilhamento Netlogon do controlador de domínio
que contém a função de emulador de PDC (controlador
de domínio primário) no domínio.
Importante
Não importe políticas de auditoria que contenham
configurações de auditoria por usuário diretamente
para um GPO (objeto de Política de Grupo). Quando
configurações de auditoria por usuário são
implantadas por meio da Política de Grupo e não
através de scripts de logon, conforme é descrito
neste procedimento, isso pode fazer com que níveis
inesperados de eventos de falha apareçam em seus
logs de auditoria de segurança.
6.
Seção opcional: reverter a política de audito
ria de segurança de Política de Auditoria Av
ançada para política de auditoria básica
A aplicação de configurações de política de auditoria avançadas
substitui quaisquer configurações de política de auditoria de
segurança básicas comparáveis. Se, posteriormente, alterar a
configuração de política de auditoria avançada para Não
configurada, você precisará concluir as seguintes etapas para
restaurar as configurações de política de auditoria de segurança
básicas originais:
Defina todas as subcategorias de Política de Auditoria
Avançada como Não configurada.
1.
Exclua todos os arquivos .csv da pasta %SYSVOL% no
controlador de domínio.
2.
Reconfigure e aplique as configurações de política de
auditoria básicas.
3.
A menos que você conclua todas essas etapas, as configurações de
política de auditoria básicas não serão restauradas.
Guia Passo a Passo de Política de Auditoria de Segurança Avançada http://technet.microsoft.com/pt-br/library/dd408940(v=ws.10).aspx
25 de 26 19/03/2013 16:00