Pré-Requisitos:

• Conhecimento da Interface do Windows Server 2003.

Metodologia:

• Apresentar em detalhes os conceitos do Log de Eventos e Auditoria

Quando você trabalho com o Windows Server 2003, o qual é utilizado com sistema operacional para servidores da rede, a segurança é uma preocupação constante. Não poderia ser diferente. O sistema operacional deve ser capaz de disponibilizar alguns serviços básicos em relação a segurança: identificação (através do mecanismo de contas de usuários, logon e do protocolo Kerberos), restrição de acesso aos recursos (com base no mecanismo de permissões de acesso, através do uso de uma ACL – Access Control List, Lista de Controle de Acesso a cada recurso da rede) e também deve ser capaz de registrar as ações que estão sendo executadas nos recursos da rede, juntamente com informações sobre o horário da ação, quem foi o usuário que executou a ação e outras informações relevantes. O registro do que é feito na rede é gravado no Log do Sistema. O sistema de log do Windows Server 2003 permite o registro de um grande número de eventos, conforme mostrarei neste capítulo. A ação de pesquisar/consultar o log de eventos, em busca de informações é conhecido como auditoria.

Auditoria é um processo de acompanhamento das ações que são executadas nos servidores do domínio, através da rede, tanto ações do próprio Sistema operacional, como por exemplo a incialização de  um serviço, mas principalmente ações do usuário, como um logon ou um acesso aos arquivos de uma pasta compartilhada. Por exemplo, toda vez que o Windows Server 2003 é inicializado uma série de serviços são iniciados automaticamente, como o serviço spooler que controla a impressão, o serviço Workstation que controla a interface gráfica do Windows Server 2003 e assim por diante. Cada um destes serviços é capaz de escrever eventos nos logs de auditoria do Windows Server 2003. Um evento é uma mensagem que pode ser informativa, pode ser um aviso e pode ser uma mensagem de erro. Um outro exemplo, quando um usuário tenta fazer o logon e informa uma senha errada, um evento é gravado no log de segurança, neste caso é gravado uma mensagem (evento) de falha de logon.

A auditoria de segurança monitora vários eventos relativos à segurança. O monitoramento de eventos do sistema é necessário para detectar invasores e tentativas de comprometer os dados do sistema. Uma tentativa de logon sem êxito é um exemplo de um evento que pode ser submetido à auditoria.

Os tipos mais comuns de eventos a serem submetidos à auditoria são:

• Acesso a objetos, como arquivos e pastas. Por exemplo, repetidas tentativas de acessar determinados arquivos, por um usuário que não tem permissão de acesso, podem caracterizar uma tentativa de quebra de segurança.
• Gerenciamento de contas de usuários e grupos: ficam registradas informações sobre quem fez alterações nas contas de usuários e grupos.
• Quando os usuários fazer logon e logoff no sistema. Por exemplo, logons efetuados fora do horário normal de trabalho, merecem uma atenção especial do administrador.

Além da auditoria de eventos relacionados à segurança, um log de segurança é gerado, oferecendo um meio para que você visualize os eventos de segurança registrados no log. O log de segurança pode ser exibido com o console Event Viewer (Visualizar Eventos), que você aprenderá a utilizar nos próximos tópicos.

Uma mensagem no log do sistema, possui informações tais como o usuário que executou a ação, a ação executada e se esta foi executada com sucesso ou não.

O log de eventos do Windows Server 2003 pode ser configurado, de tal maneira que o administrador escolha quais eventos devem ser gravados no log, como por exemplo: tentativas de logon com sucesso, tentativas de logon sem sucesso ou ambas . Por exemplo, o administrador pode definir que toda vez que um usuário tentar acessar um determinado arquivo, sem ter a devida permissão (tentativa de acesso sem sucesso), que seja registrado um evento no log de segurança.

Também é possível definir se acesso a arquivos, pastas e impressoras devem ser monitorados ou não (por padrão este monitoramento está desabilitado. Na parte final do capítulo mostrarei como habilitar este monitoramento). Além disso, você pode definir se devem ser monitorados somente acessos bem sucedidos ou acessos negados (sem sucesso), tais como um usuário com permissão somente de leitura que tenta alterar um determinado arquivo em uma pasta compartilhada. 

Os logs do sistema são acessados utilizando a opção Event Viewer (Visualizar eventos) do console Computer Management (Gerenciamento do computador). Também é possível utilizar o console Event Viewer (Visualizar Eventos) que é acessado através da opção Start -> Administrative Tools (Iniciar -> Ferramentas Administrativas). O console Event Viewer (Visualizar Eventos) é configurado para carregar apenas o Snap-in para trabalhar com eventos, ao contrário do console Computer Management (Gerenciamento do Computador), que é configurado para carregar uma série de Snap-ins, dentre eles, o Snap-in Event Viewer (Visualizar Eventos).

Por padrão, são criados três logs no sistema de log do w3k:

• Application (Log do aplicativo): Contém erros, avisos e mensagens informativas de diversos programas que rodam no Windows Server 2003. Por exemplo, o Microsoft SQL Server 2000 (banco de dados da Microsoft), grava uma série de eventos no log Aplicativo. O log do aplicativo contém eventos registrados por aplicativos ou programas. Por exemplo, um programa de banco de dados pode registrar um erro de arquivo no log do aplicativo. Os desenvolvedores de software decidem quais eventos monitorar, isto é, ao desenvolver um programa, é possível definir quais eventos o programa irá gravar no log de eventos do Windows Server 2003. Linguagens como o Delphi, VB.NET, Visual Basic 6 e C#, fornecem comandos para que um programa possa gravar eventos no log do Windows Server 2003.
• Security (Log de segurança): Contém informações sobre o sucesso ou não de eventos de auditoria, de acordo com definições da política de auditoria. Conforme mostrarei mais adiante, a política de auditoria define quais eventos de segurança serão monitorados. O log de segurança registra eventos como tentativas de logon válidas e inválidas, assim como eventos relacionados ao uso de recursos, como criar, abrir ou excluir arquivos ou outros objetos. Um administrador pode especificar os eventos que serão registrados no log de segurança. Por exemplo, se você ativou a auditoria de logon, as tentativas de logon no sistema serão registradas no log de segurança. Por padrão somente usuários com permissão de administrador podem acessar o log de segurança.
• System (Log do sistema): Contém erros, avisos e informações geradas pelo próprio Windows Server 2003.  O Windows Server 2003 define quais os eventos que serão gerados. O log do sistema contém eventos registrados pelos componentes de sistema do Windows Server 2003. Por exemplo, a falha de um driver ou de outro componente do sistema ao ser carregado durante a inicialização é registrada no log do sistema. Os tipos de evento registrados no log pelos componentes do sistema são determinados previamente pelo Windows Server 2003.

Nota: A medida que novos serviços vão sendo instalados, novas opções vão sendo adicionadas ao Event Viewer (Visualizador de eventos). Por exemplo, ao instalar o DNS em um servidor Windows Server 2003, uma opção DNS é adicionada ao Visualizador de eventos, entrada essa que trata de eventos relacionados com o serviço de DNS. Outro exemplo, em um servidor configurado como DC, uma nova categoria de eventos é criada: Directory Service (Serviço de Diretório), conforme exemplo da Figura 13.1, onde são exibidas as opções de log disponíveis em um DC com o Windows Server 2003 instalado:

Figura 13.1 Opções de log em um DC com o Windows Server 2003.

Cabe aqui salientar que o principal objetivo da existência de um sistema de Auditoria/Log, é manter um acompanhamento de tudo o que está acontecendo no sistema. Quando algum problema acontece, como por exemplo, um serviço que deixa de funcionar, o primeiro lugar que o administrador vai em busca de informação é no log do sistema. Informações importantes sobre segurança podem ser encontrados no log de Segurança.

No visualizador de eventos, podem existir cinco tipos diferentes de eventos, conforme descritos abaixo:

• Error (Erro): Representado por um círculo vermelho com um x branco. Indica um problema sério tal como perda de dados ou de alguma funcionalidade de um serviço ou dispositivo que não está operando corretamente.. Por exemplo, se um serviço falhar durante a inicialização, um evento de erro será logado.
• Warning (Aviso): Representado por um triângulo amarelo com um ponto de exclamação. Um evento que não é necessariamente um erro, mas pode representar um problema futuro. Por exemplo, quando o espaço em disco está ficando pequeno, uma aviso será logado.
• Information (Informações): Representado por um balão branco, com um ponto de exclamação azul. dentro. Descreve uma operação de sucesso de uma aplicação, driver ou serviço. Por exemplo, quando um driver de rede é carregado com sucesso, um evento de informação é logado.  Na Figura 13.2, é mostrada uma tela onde aparecem os três tipos de eventos descritos anteriormente.

Figura 13.2 Os eventos de Erro, Aviso e Informações.

• Success Audit (Auditoria com êxito): Representado por uma chave amarela. Evento gravado no log Segurança. Indica o evento de um acesso com sucesso. Por exemplo, se for habilitada a auditoria de tentativas de logon com sucesso, esse evento pode indicar um usuário que fez o logon com sucesso.
• Failure Audit (Auditoria sem êxito): Representado por um cadeado amarelo. Evento gravado no log Segurança. Indica o evento de um acesso sem sucesso. Por exemplo, se for habilitada a auditoria de tentativas de logon sem sucesso, esse evento pode indicar um usuário que não conseguiu efetuar o logon. Na figura 13.3, é mostrado um exemplo dos dois tipos de eventos de segurança: Auditoria com êxito e Auditoria sem êxito.

Figura 13.3 Os eventos de Auditoria com êxito e Auditoria sem êxito.

Agora que você já conhece os tipos de log que existem e os diferentes tipos de eventos que cada log pode apresentar, é hora de aprender a administrar e a consultar os logs do Windows Server 2003.