Pré-Requisitos:

• Fundamentos teóricos sobre o Log de Eventos e Auditoria.

Metodologia:

• Apresentar as diversas ações de administração e uso do log de eventos.

Técnica:

• Exemplos práticos, passo-a-passo.

Neste tópico você aprenderá a executar uma série de ações práticas relacionadas com os logs de auditoria do Windows Server 2003. Desde simplesmente abrir o console Event Viewer (Visualizador de Eventos) e acessar os logs, passando pelas configurações e propriedades de cada log individualmente, até operações de exportar as informações dos logs para formatos que possam ser lidos em ferramentas como o Excel e o Access. Vou iniciar com um exemplo básico de utilização do console Event Viewer (Visualizador de Eventos).

Exemplo: Visualizando eventos e detalhes dos eventos.

1. Faça o logon como Administrador ou com uma conta com permissão de administrador.

2. Abra o console Event Viewer (Visualizador de Eventos): Start -> Administrative Tools -> Event Viewer (Iniciar -> Ferramentas Administrativas -> Visualizador de Eventos).

3. Será exibida a janela Event Viewer (Visualizador de Eventos),  indicada na Figura 13.4.

Figura 13.4 O console Event Viewer (Visualizar de Eventos).

Nota: Observe que além dos log padrão: Application (Aplicativo), Security (Segurança) e System (Sistema), também existem logs para o DNS, Directory Service (Serviços de Diretório) e para o serviço de replicação de arquivos (File Replication Service). O servidor que estou utilizando no exemplo é um DC, por isso os logs do DNS (que está instalado no próprio DC) e do serviço de diretório. O logo do serviço de replicação de arquivos foi instalado quando utilizei o DFS para criar réplicas de algumas pastas compartilhadas. O DFS utiliza o serviço de replicação de arquivos do Windows Server 2003, para manter as diversas réplicas sincronizadas, isto é, quando alterações são feitas em arquivos de uma réplica, é o serviço de replicação de arquivos que repassa estas alterações para as demais réplicas. Observe que cada log ocupa um determinado espaço em disco. No exemplo da Figura 13.4 o log de segurança é o que ocupa o maior espaço (11,0 MB). Mostrarei mais adiante, que o administrador pode configurar o espaço máximo que cada log pode ocupar e o que fazer com os eventos mais antigos, quando o espaço máximo é atingido.

4. Dê um clique no log Application (Aplicativo). Será exibida uma listagem com os diversos eventos gerados pelos aplicativos instalados no Windows Server 2003.

5. Dê um clique no log Security (Segurança). Será exibida uma listagem com os diversos eventos gerados pelas diversas opções de auditoria de segurança que estão habilitadas no servidor (mais adiante você aprenderá a configurar estas diretivas de segurança). Por padrão o Windows Server 2003 já habilita uma série de auditorias relacionadas com segurança (diferente do que acontece, por exemplo, no Windows XP Professional, onde, por padrão, nenhum evento de segurança está habilitado para ser auditado, isto é, para ter eventos gravados no log de segurança).

6. Dê um clique no log System (Sistema). Será exibida uma listagem com os diversos eventos gerados pelo próprio Windows Server 2003, conforme exemplo da Figura 13.5.

Figura 13.5 Eventos gerados pelo Windows Server 2003.

7. A listagem de eventos pode ser facilmente classificada de acordo com vários critérios, conforme exemplificarei mais adiante.

Observe que existem diversas colunas de informação para cada evento. Da esquerda para a direita, temos, por padrão,  as seguintes colunas: Type (Tipo), Date (Data), Time (Hora) , Source (Fonte), Category (Categoria), Event (Evento), User (Usuário) e Computer (Computador).

Descrição das colunas padrão, dos logs do Windows Server 2003:

• Type (Tipo): Uma classificação da gravidade do evento: Erro, Informações ou Aviso nos logs do sistema ou do aplicativo, Auditoria com êxito ou Auditoria sem êxito no log de segurança. No modo de exibição de lista normal de Visualizar eventos, cada um destes tipos é representado por um ícone diferente, conforme já descrito anteriormente.
• Date (Data): A data na qual o evento ocorreu, conforme a configuração de data/hora do sistema.
• Time (Hora): A hora local na qual o evento ocorreu, conforme a configuração de data/hora do sistema..
• Source (Fonte): O software que registrou o evento, que pode ser um nome de programa, como o "SQL Server," ou um componente do sistema ou de um grande programa, como um nome de driver.
• Category (Categoria): Uma classificação do evento definida pela fonte do evento. Essa informação é usada principalmente no log de segurança. Por exemplo, para auditorias de segurança, isso corresponde a um dos tipos de eventos que podem ser gravados para o log de segurança: Com sucesso ou Sem sucesso.
• Event (Evento): Um número que identifica o tipo de evento específico. A primeira linha da descrição normalmente contém o nome do tipo de evento. Por exemplo, 6005 é a identificação do evento que ocorre quando o serviço Log de eventos é iniciado. A primeira linha da descrição de um evento é O serviço Log de eventos foi iniciado. A identificação do evento e a fonte podem ser usadas pela equipe de suporte para solucionar problemas do sistema.. No site http://support.microsoft.com você pode pesquisar maiores detalhes sobre um determinado número de evento.
• User (Usuário): O nome de usuário em nome do qual o evento ocorreu. Este nome é a identificação de cliente se o evento foi realmente causado por um processo do servidor ou a identificação primária se a representação não estiver ocorrendo. Quando aplicável, uma entrada de log de segurança conterá as identificações primárias e de representação, ou seja, o nome de logon do usuário. A representação ocorre quando o Windows Server 2003 permite que um processo assuma os atributos de segurança de outro.
• Computer (Computador): O nome do computador onde o evento foi gerado. O nome do computador é normalmente seu próprio nome, a menos que você esteja visualizando um log de eventos em outro computador da rede.

8. Se você clicar no cabeçalho da coluna Type (Tipo), por exemplo, a listagem de eventos será classificada pelo tipo de evento, isto é, todos os eventos de erro juntos, todos os eventos de informação juntos e todos os eventos de aviso juntos e assim por diante. Além disso surge uma setinha ao lado da palavra Type (Tipo), indicando que a listagem está classificada pela coluna Tipo, conforme indicado pela Figura 13.6. Você pode classificar a listagem, por qualquer uma das colunas, bastando para isso clicar no título da  respectiva coluna.

Figura 13.6 Eventos classificados pelo tipo.

9.  Para exibir os detalhes de um evento, basta dar um clique duplo no respectivo evento. O Windows Server 2003 abre uma janela com informações detalhadas sobre o evento, qual a sua origem, causa e qual o usuário relacionado. Observe na Figura 13.7, onde são exibidos os detalhes sobre um evento de segurança do tipo Auditoria sem êxito, devido a uma falha de logon do usuário Administrador. Conforme o próprio evento informa, a causa mais provável foi uma senha digitada incorretamente.

Figura 13.7 Detalhes sobre um evento de segurnaça do tipo Auditoria sem êxito.

10. Você pode configurar quais colunas de informação são exibidas para cada evento. Selecione o comando View -> Add/Remove Columns... (Exibir -> Adicionar/Remover Colunas...). Será exibida a janela indicada na Figura 13.8, onde, por padrão, são exibidas todas as colunas.

Figura 13.8 A janela para configurar as colunas a serem exibidas.

Para remover uma coluna, marque-a na lista Displayed columns (Colunas exibidas) e clique no botão  Remove (Remover). Para adicionar uma coluna, marque-a na lista Available columns (Colunas disponíveis) e clique em Add (Adicionar). Você pode alterar a posição das colunas, marcando a coluna na lista Colunas exibidas e utilizando os botões Move Up (Mover para cima) e Move Down (Mover para baixo).

11. Faça as configurações desejadas e clique em OK.

12. Feche o console para visualização dos eventos.

Exercício: Abra novamente o Visualizador de eventos e navegue pelos diferentes Logs: Aplicativo, Segurança e Sistema. Dê um clique duplo sobre alguns eventos e verifique os detalhes sobre o evento. Vá para a opção Aplicativo e classifique a listagem pelo Tipo, depois pela Data.

Habilitando/configurando os eventos do log de segurança.

Conforme foi descrito no item anterior, o Windows Server 2003 permite que o administrador configure quais eventos de segurança devem e quais não devem ser auditados. Para que sejam auditadas determinadas ações ligadas com a segurança - tais como tentativas de logon e acesso a arquivos e pastas – algumas diretivas tem que ser habilitadas. As opções de segurança, são habilitadas através de diretivas de segurança.

Nota: Se você estiver em um Controlador de Domínio, com o Windows 2000 Server ou como Windows Server 2003 instalado, você tem duas opções. Pode ser utilizada a opção Domain Controller Security Policy (Diretivas de segurança de controlador de domínio), do menu Administrative Tools (Ferramentas Administrativas). Com esta opção você está configurando diretivas válidas somente para o controlador de domínio no qual você está logado. Também pode ser utilizada a opção Domain Security Policy (Diretivas de Segurança de Domínio), do menu Administrative Tools (Ferramentas Administrativas). Com esta opção você está configurando diretivas válidas para todo o domínio.

Em um computador com o Windows Server 2003, configurado como member server ou como standalone server, deve ser utilizado o console Local Security Policy (Diretiva de Segurança Local), acessada através da opção Administrative Tools (Ferramentas Administrativas).

No exemplo deste item utilizarei o console Domain Security Policy (Diretivas de Segurança do Domínio). Com isso estou configurando opções que serão válidas para todos os computadores (clientes e servidores do domínio). Depois farei uma tentativa de logon com uma senha errada e você observará se  foi gerado um evento no log de segurança. Então mãos a obra.

Neste exemplo mostrarei como habilitar algumas opções de auditoria, as quais não estão habilitadas por padrão. Por exemplo, o acesso à arquivos e pastas não é habilitado por padrão. Para que o administrador possa auditar o acesso a pastas e arquivos (isto é, fazer com que sejam gravados eventos no log de eventos, quando os usuários acessam uma determinada pasta e seus arquivos), primeiro o administrador tem que habilitar uma diretiva de auditoria, para que o Windows Server 2003 passe a auditar o acesso a pastas e arquivos. Outro exemplo seria a auditoria do uso de impressoras, a qual por padrão também é desabilitada. Neste exemplo, mostrarei quais os passos para que o administrador possa habilitar as diretivas de auditoria e apresentarei uma descrição das diretivas disponíveis. Porém não basta habilitar as diretivas. Por exemplo, não basta habilitar a diretiva que orienta o Windows Server 2003 a monitorar o acesso a pastas e arquivos. Depois de habilitada a auditoria, o administrador tem que definir quais pastas e arquivos devem ser monitoradas (por padrão nenhuma é monitorada) e para quais usuários e grupos deve ser feito o monitoramento. Esta segunda etapa na configuração de auditoria de acesso a pastas, arquivos e impressoras será descrita em exemplos mais adiante, neste capítulo.

Exemplo: Para habilitar a auditoria de eventos de segurança, siga os seguintes passos:

1. Faça o logon com uma conta com permissão de administrador.

2. Abra o console Domain Security Policy (Diretivas de Segurança do Domínio): Start -> Administrative Tools -> Domain Security Policy (Iniciar -> Ferramentas Administrativas -> Políticas de Segurança do Domínio).

3. Será aberta a janela Default Domain Security Settings (Configurações de Segurança Padrão do Domínio), conforme indicado na Figura 13.9:

Figura 13.9 O console para configurações das diretivas de segurança do domínio.

4. Clique no sinal de + ao lado da opção Local Polices (Políticas Locais) para exibir as opções disponíveis.

5. Nas opções que surgem, dê um clique na opção Audit Policy (Diretivas de Auditoria) . No painel da direita são exibidas as várias diretivas de auditoria disponíveis, as quais são indicadas na Figura 13.10 e explicadas logo a seguir. Observe ao lado do nome de cada diretiva, o status Not Defined (Não-definido), indicando que não existe definição para esta diretiva, isto é, é como se esta diretiva estivesse desabilitada.

Figura 13.10 Opções para configuração das Diretivas de auditoria.

Nota: Estas opções de auditoria também poderiam ser configuradas através da GPO (Group Policy Objetc) padrão do domínio. O assunto GPO será tratado no Capítulo 18.

Descrição das diretivas de auditoria disponíveis:

• Audit account logon events (Auditoria de eventos de logon): Com esta opção você pode configurar se os eventos de logon devem ou não ser auditados. São considerados eventos de logon, qualquer logon feito em uma estação de trabalho da rede, que pertença ao domínio e com uma conta do domínio. Conforme descrito anteriormente, a validação do logon é feita nos DCs, onde está instalado o Active Directory. Neste caso se o usuário jsivla fizer o logon com a sua conta de domínio, na sua estação de trabalho, um evento de logon será gerado para este usuário. Além disso você define se devem ser auditados os eventos com sucesso (quando o usuário faz o logon normalmente) ou com falha (quando o usuário não consegue fazer o logon, por exemplo, por ter digitado uma senha incorreta). Para configurar esta auditoria, basta dar um clique duplo nela. Será aberta a janela Audit account logon events Properties (Propriedades de Auditoria de eventos de logon). Para habilitar esta diretiva você deve marcar a opção Define thes policy settings (Definir as configurações dessas diretivas). Ao marcar esta opção, serão habilitadas as opções Success (Sucesso) e Failure (Falha). Para passar a registrar os eventos de logon com sucesso, marque a opção Success (Sucesso). Com isso sempre que um usuário fizer um logon no domínio, com sucesso, será registrado um evento no log de eventos. Para passar a registrar os eventos de falha de logon, marque a opção Failure. Com isso, sempre que um usuário fizer uma tentativa de logon sem sucesso, será registrado um evento no log de eventos. Na Figura 13.11 é exibida a janela Audit account logon events Properties e as opções que podem ser configuradas para esta auditoria. Após ter definido as configurações desejadas, basta clicar em OK. O mais comum para este diretiva é habilitar tanto os eventos de sucesso, quanto os eventos de falha, para que fique registrado no log do servidor, todos os eventos de logon, que seja com sucesso, quer seja com falha.

Figura 13.11 Opções para a diretiva de auditoria de eventos de logon.

• Audit account management (Auditoria de gerenciamento de contas): Determina se deve ser feita a auditoria de cada evento de gerenciamento de conta de um usuário, grupo ou computador do domínio. Os exemplos de eventos de gerenciamento de conta incluem: criação ou alteração de uma conta, renomeação de uma conta, ativação/desativação da conta, incluir um usuário em um grupo ou retirar o usuário de um grupo, o administrador definir a senha de uma conta e assim por diante. Para configurar esta auditoria, basta dar um clique duplo nela. Será aberta a janela Audit account management (Propriedades de Audit account management). Para habilitar esta diretiva você deve marcar a opção Define thes policy settings (Definir as configurações dessas diretivas). Ao marcar esta opção, serão habilitadas as opções Success (Sucesso) e Failure (Falha). Para passar a registrar os eventos de gerenciamento de contas com sucesso, marque a opção Success (Sucesso). Com isso sempre que o administrador ou outro usuário com as devidas permissões, fizer alterações em uma conta, um evento será gravado no log de eventos Para passar a registrar os eventos de falha de gerenciamento de contas, marque a opção Failure. Com isso, sempre que o administrador ou um usuário sem as devidas permissões, fizer uma tentativa alterar uma conta, será registrado um evento no log de eventos. Na Figura 13.12 é exibida a janela Audit account management e as opções que podem ser configuradas para esta auditoria. Após ter definido as configurações desejadas, basta clicar em OK. O mais comum para esta diretiva é habilitar apenas o log dos eventos sem sucesso, ou seja, de tentativas que um usuário faz de alterar contas do domínio, sem ter as devidas permissões para isso. Esta situação pode acontecer quando, por exemplo, um usuário está tentando alterar a senha de outro usuário para fazer um logon com a conta deste segundo usuário.

Figura 13.12 Opções para a diretiva de auditoria de eventos de gerenciamento de contas.

• Audit directory servers access (Auditoria de acesso ao serviço de diretório): Define se serão auditadas tentativas de acesso com sucesso, com falha ou ambas, a objetos do Active Directory, para os quais tenha sido habilitada a auditoria dos acessos. O Acrive Direcotry, conforme explicado no Capítulo 05, é a base de dados na qual ficam armazenados uma série de objetos, como por exemplo: contas de usuários, grupos de usuários, Unidades organizacionais, domínios, sites, etc. Por exemplo, podemos implementar uma política para detectar tentativas de alteração sem sucesso, nas contas que fazem parte do grupo Administradores. Por padrão esta política está desabilitada para controladores de domínio e indefinida para os demais computadores. Um cuidado que deve ser tomado é o de habilitar somente as auditorias realmente necessárias, de acordo com a política de segurança da empresa, pois se forem habilitadas auditoria em um grande número de objetos, pode haver uma queda de desempenho, além de um crescimento exagerado no tamanho do log de segurança. Por padrão esta auditoria está desabilitada.
• Audit logon events (Auditoria de eventos de logon): Esta diretivadetermina se deve ser feita a auditoria de cada instância de logon ou logoff de usuário, bem como de qualqure conexão de rede com o computador local, ou no caso com o DC que eu estou utilizando. Se você estiver registrando no log os eventos da Auditoria de eventos de logon de conta com êxito em um controlador de domínio, as tentativas de logon de um usuário, a partir da sua estação de trabalho não gerarão auditorias de logon (as quais serão geradas se a diretiva Audit account logon events, descrita anteriormente, estiver habilitada) . Somente tentativas de logon de rede e interativas no próprio controlador de domínio gerarão eventos de logon. Resumindo, Audit account logon events (eventos de logon de conta) são gerados no local onde reside a conta; ou seja, no DC. Eventos de logon são gerados no local onde ocorre a tentativa de logon. Se for um logon interativo no DC, no próprio DC, se for um logon interativo em um member server, no log de auditoria local do member server. Você pode configurar para que sejam auditadas tentativas de logon com sucesso, com falha ou ambas. No caso de um computador com o Windows Server 2003, as tentativas de logon são consideradas as tentativas locais ou tentativas feitas via Terminal Service Client.
• Audit object access (Auditoria de acesso a objetos): Determina se deve ser feita a auditora do acesso de um usuário a um objeto — por exemplo, um arquivo, uma pasta, uma chave da Registry, uma impressora etc.  São considerados objetos, todos aqueles elementos que possuem uma ACL – Access Control List (Lista de Controle de Acesso). Por exemplo, uma pasta em uma partição NTFS, onde são definidas permissões de acesso (além  de habilitar esta diretiva, posteriormente a pasta deve ser configurada para registrar eventos de acesso no log de auditoria, conforme exemplo mais adiante). Se você definir esta configuração de diretiva, poderá especificar se haverá auditoria de acessos com êxito, acessos sem êxito ou se não ocorrerá auditoria desse tipo de evento. As auditorias com êxito geram uma entrada de auditoria quando um usuário acessa com êxito um objeto. Por exemplo, o usuário tem permissão de leitura em um arquivo e ele acessa o arquivo para leitura. Este é um evento com sucesso. As auditorias sem êxito geram uma entrada de auditoria quando um usuário tenta acessar sem êxito um objeto, como por exemplo, tentar imprimir em uma impressora na qual ele não tem permissão ou tentar alterar um arquivo para o qual ele tenha apenas permissão de leitura. É interessante observar que a definição de Auditoria de acesso a objetos ocorre em duas etapas. Primeiro o administrador deve habilitar esta diretiva, para acessos com sucesso, com falha ou ambos. Em seguida, em cada objeto (pasta, impressora, arquivo, etc) a ser auditado, o administrador deve configurar a auditoria e especificar quais usuários ou grupos devem ser monitorados. Apenas habilitar a diretiva não fará com que o acesso aos objetos sejam auditados. Por padrão esta diretiva está desabilitada.
• Audit policy change (Auditoria de alteração de diretivas): Determina se deve ser feita a auditoria das alterações efetuadas nas diretivas de segurança. O normal é habilitar a auditoria de eventos sem sucesso, para tentar identificar tentativas de alteração das diretivas, por usuários não autorizados. Alterar as diretivas é uma das maneiras de criar brechas na segurança do sistema, por isso somente usuários autorizados devem ter este nível de permissão.
• Audit process tracking (Auditoria de controle de processos): Determina se deve ser feita a auditoria de informações de controle de eventos detalhadas, como ativação de programas, término de processo, duplicação de identificador e acesso indireto a objeto. Esta diretiva é utilizada para fazer uma auditoria dos progrmas que estão rodando no computador, na tentativa de detectar usuários que estão tentando utilizar programas para os quais eles não tem permissão ou tentando isntalar processos que possam abrir o servidor para ataques de segurança.
• Audit system events (Auditoria de eventos de sistema): Determina se deve ser feita a auditoria quando um usuário reiniciar ou desligar o computador, ou quando ocorrer um evento que afete a segurança do sistema ou o log de segurança.
• Audit privilege use (Auditoria de uso de privilégios): Determina se deve ser feita a auditoria de cada instância do uso de um direito do usuário. Direitos (rights) são permissões especiais, como por exemplo incluir um computador como membro de um domínio, fazer o logon interativamente nos controladores de domínio, alterar a hora dos servidores e assim por diante. Estes direitos podem ser configuradas pelo Administrador, o qual pode “dar” estes direitos para determinados usuários ou grupos. Você aprenderá a configurar estes direitos no Capítulo 18..

Feita a descrição das várias diretivas, vamos continuar o nosso exemplo.

6. No painel da direita, localize uma diretiva chamada Audit account logon events (Auditoria de eventos de logon) e dê um clique duplo para abri-la. Será exibida a janela com as configurações atuais para esta diretiva.

7. Marque as opções conforme indicado na Figura 13.13 e dê um clique em OK para habilitar a auditoria de eventos de logon. Observe que está sendo habilitada a auditoria tanto para  os eventos com sucesso quanto para a falha no logon.

Figura 13.13 Habilitando a auditoria de eventos de logon.

8. Você deve ter voltado para o console Configurações locais de segurança. Observe que ao lado da diretiva Audit account logon events (Auditoria de eventos de logon) o status agora aparece  Success, Failure (Sucesso,Falha), diferente do status anterior que era Not Defined (Não-Definido). Isso indica que esta auditoria está habilitada tanto para eventos de sucesso quanto falha de logon.

9. Feche o console para configuração das diretivas de segurança do domínio.

Agora é hora de testar se o Windows Server 2003 está fazendo a auditoria de eventos de logon. Farei o logon como usuário user02 (utilize um usuário qualquer da sua rede, com permissão de logon no DC) e vou informar uma senha errada, para simular uma falha na tentativa de logon. O Windows Server 2003 vai dizer que não pode efetuar o logon. Depois vou fazer o logon como Administrador e verificar no log de segurança se existe um evento para a tentativa de logon sem sucesso.

Exemplo: Para gerar um evento de falha de logon e verificar se o evento foi gravado no log de Segurança do Windows Server 2003.

1. Se estiver logado como Administrador faça o logoff.

2. Tente fazer o logon como usuário user02 (utilize um usuário cadastrado na sua rede), mas digite uma senha incorreta.

3. O Windows Server 2003 informa  que o logon não pode ser feito.

4. Agora faça o logon como Administrador (desta vez digite a senha correta).

5. Abra o console Event Viewer (Visualizador de Eventos): Start -> Administrative Tools -> Event Viewer (Iniciar -> Ferramentas Administrativas -> Visualizador de Eventos).

6. Dê um clique na opção Security (Segurança).

7. Na listagem de eventos, procure o primeiro evento do tipo Auditoria sem êxito. Dê  um clique duplo sobre o evento para exibir os seus detalhes.

8. Este evento descreve a tentativa de logon, sem sucesso, do usuário user02, conforme pode ser visto na Figura 12.24.

Figura 13.14 Falha na tentativa de logon do usuário user2.

9. Para ver uma descrição completa do evento, você pode copiar o texto do evento para a área de transferência do Windows Server 2003. Para isso clique no botão Copy (Copiar - botão com o desenho de duas folhas sobrepostas, logo abaixo do botão com uma seta para baixo). Depois abra o Bloco de notas e selecione o comando Edit -> Paste (Editar -> Colar). Para o nosso exemplo, obteremos o texto indicado a seguir:

Tipo de evento:  Auditoria sem êxito

Fonte de evento: Security

Categoria do evento:   Logon/logoff 

Id. do evento: 529

Data: 14/4/2002

Hora: 14:00:38

Usuário: AUTORIDADE NT\SYSTEM

Computador: MICROXP01

Descrição:

Falha de logon:

    Razão: Nome de usuário desconhecido ou senha incorreta

    Nome  de usuário: user2

    Domínio: MICROXP01

    Tipo de logon: 10

    Processo de logon: User32  

    Pacote de autenticação: Negotiate

    Nome da estação de trabalho: MICROXP01

Para obter mais informações, visite o Centro de ajuda e
suporte em http://go.microsoft.com/fwlink/events.asp

Observe o seguinte trecho do texto:

Razão: Nome de usuário desconhecido ou senha incorreta

Este trecho indica, com precisão, o motivo que gerou o evento: uma falha de logon devido a um nome de usuário desconhecido ou senha incorreta. No nosso exemplo o problema foi devido a uma senha digitada incorretamente.

10. Dê um clique em OK para fechar a janela com os detalhes do evento.

11. Feche o Event Viewer (Visualizador de eventos).

Nota: Por padrão somente usuários com permissão de administrador, tem permissão para acessar os eventos do log Segurança. Os demais logs: Aplicativo e Sistema, podem ser acessados por qualquer usuários.

Recomendações da Microsoft, para configurações de auditoria.

Na documentação oficial do Windows Server 2003, você encontra algumas recomendações sobre as opções de auditoria que devem ser habilitadas. A seguir coloco estas recomendações.

Recomendações da documentação Oficial do Windows Server 2003, sobre auditoria de eventos:

Para minimizar o risco de ameaças à segurança, há diversas medidas de auditoria que podem ser tomadas. A seguir é exibida uma lista dos vários eventos para os quais é aconselhado que seja feita uma auditoria, bem como a ameaça específica à segurança que o evento de auditoria monitora. Na verdade não é a auditoria que irá reduzir os riscos. As informações obtidas a partir da auditoria de segurança, permitem que o administrador tome as medidas necessárias para reduzir os riscos de segurança e bloquear ataques contra a segurança.

• Auditoria de falha ao fazer logon/logoff : Serve como prevenção para uma violação por senha aleatória, isto é, para programas que tentam várias senhas, na tentativa de “adivinhar” a senha do usuário. A melhor maneira de se prevenir deste tipo de ataque é configurando as políticas de senha, para que a senha seja bloqueada após três ou quatro tentativas de logon sem sucesso, conforme descrito em detalhes no Capítulo 9.
• Auditoria de êxito ao fazer logon/logoff : Serve com uma proteção para o caso de violação por senha roubada, ou seja, para detectar quando um usuário conseguiu descobrir a senha de outro(s) usuário(s). Também serve como um registro das atividades de logon no domínio, de tal maneira que seja possível identificar usuários que estão fazendo o logon fora do horário normal de trabalho. Por exemplo, um usuário que está chegando duas horas antes do expediente ou está vindo à noite na empresa, merece um acompanhamento mais cuidadosa.
• Auditoria em caso de êxito em eventos de uso de privilégios, gerenciamento de usuários e grupos, diretivas de alteração de segurança, reinicialização, desligamento e sistema: Utilizada para detectar o uso incorreto dos privilégios, ou a tentativa de utilizar estes privilégios, por usuários não autorizados. Por exemplo, para detectar se um usuário que não tem permissão para instalar novos programas, está tentando instalar programas ou para detectar se um usuário que não tem permissão para alterar senhas está tentando alterar a senha das contas de outros usuários.
• Auditoria em caso de êxito ou falha para eventos de acesso a arquivos e objetos. Auditoria em caso de êxito ou falha do Gerenciador de arquivos no acesso de leitura/gravação a arquivos confidenciais por usuários ou grupos suspeitos: Utilizada para monitorar o acesso indevido a arquivos confidenciais, como por exemplo o banco de dados com informações sobre salários, finanças ou com os dados da contabilidade da empresa. Por exemplo, você pode definir que sejam auditados os acessos a uma pasta que contém documentos de pesquisas e desenvolvimentos de novos produtos da empresa, para detectar se alguém está tentando acessar estas informações sem ter permissão de acesso para tal. Isso pode indicar uma tentativa de espionagem.
• Auditoria em caso de êxito ou falha para eventos de acesso a objetos e impressoras com acesso a arquivos. Auditoria em caso de êxito ou falha do Gerenciador de impressão no acesso a impressoras por usuários ou grupos suspeitos: Utilizada para detectar o acesso impróprio a impressoras, como por exemplo um usuário tentando imprimir um grande número de cópias após o expediente, o que normalmente caracteriza o uso da impressora da empresa para impressão de trabalhos pessoais.
• Auditoria em caso de êxito ou falha no acesso à gravação de arquivos de programa (extensões .exe e .dll). Auditoria em caso de êxito ou falha no controle de processos. Execução de programas suspeitos; análise do log de segurança para verificar se há tentativas inesperadas de modificar arquivos de programa ou criar processos inesperados. Execução apenas quando o log do sistema estiver sendo monitorado ativamente: Utilizada para detectar quaisquer tentativas de modificar arquivos fundamentais para o funcionamento do Windows Server 2003, o que pode acontecer, por exemplo, no caso de uma infecção por vírus.

Estas são apenas recomendações gerais. A política de segurança da empresa é que irá definir, dentro das necessidades de cada empresa, quais eventos serão auditados e qual a forma de análise destes eventos.

Filtrando eventos nos logs de auditoria.

A medida que eventos vão sendo gravados nos diferentes logs, a lista de eventos vai ficando bastante extensa, e com isso fica mais difícil para localizar um determinado evento. Podem existir situações em que o administrador está interessado em um único tipo de evento, ou eventos relacionados com um determinado serviço ou programa. Por exemplo, pode ser que o administrador precise visualizar apenas os eventos sobre tentativas de logon sem êxito, ou eventos relacionados ao SQL Server 2000.

No Visualizador de eventos, é possível filtrar os eventos de acordo com determinados critérios, de tal forma que somente sejam exibidos os eventos que estão de acordo com os critérios especificados. Muitas vezes quando o administrador está tentando solucionar um determinado problema, pode ser útil que sejam exibidos apenas os eventos de erro, ou mais especificamente, os eventos de erro relacionados com o serviço e/ou programa que está apresentando problemas. O administrador também pode filtrar os eventos de segurança por tipo, como por exemplo: somente com sucesso ou somente com falha e assim por diante. Existem diversas opções de filtragem, conforme mostrarei nos exemplos práticos, logo a seguir.