Conforme foi descrito no item anterior, o Windows 7 é configurado, por padrão, para não habilitar eventos no log de segurança. Para que sejam auditadas determinadas ações ligadas com a segurança – tais como tentativas de logon e acesso a arquivos e pastas –, precisamos habilitar algumas opções. As opções de segurança são habilitadas através de diretivas de segurança.

Nota: Se você estiver utilizando um Controlador de Domínio, com o Windows 2000 Server, Windows Server 2003 ou com o Windows Server 2008 instalado, você terá duas opções. Pode ser utilizada a opção Diretivas de segurança de controlador de domínio, do menu Ferramentas administrativas. Com esta opção você irá configurar diretivas válidas somente para o controlador de domínio no qual você está logado. Também pode ser utilizada a opção Diretivas de segurança de domínio, do menu Ferramentas administrativas. Com esta opção você irá configurar diretivas válidas para todo o domínio. Para mais detalhes sobre diretivas de domínios, domínios, controladores de domínio e redes baseadas no Active Directory, consulte o livro “Windows Server 2008 – Guia Completo de Estudos, 1800 páginas”. Mais detalhes em -> https://juliobattisti.com.br/loja/detalheproduto.asp?CodigoLivro=SOP0000023

Em um computador com o Windows 7 deve ser utilizado o console Diretiva de segurança local, acessada através da opção Ferramentas administrativas, do Painel de controle. Neste item utilizaremos a opção Diretiva de segurança local,  e habilitaremos a auditoria para o logon dos usuários, tanto para sucesso no logon, quanto para falha no logon. Depois faremos uma tentativa de logon com uma senha incorreta e iremos observar se foi gerado um evento no log de segurança. Então mãos à obra.

Exemplo prático: Para habilitar a auditoria de eventos de segurança, siga os passos indicados a seguir:

1.         Faça o logon como Administrador ou com uma conta do tipo Administrador do computador.

2.         Abra o Painel de controle: Iniciar -> Painel de controle e na opção Exibir por selecione a opção Ícones pequenos.

3.         Abra a opção Ferramentas administrativas. Na janela Ferramentas administrativas abra a opção Diretiva de segurança local. Surgirá a janela indicada na Figura 11.17:

Figura 11.17 – O console Diretiva de Segurança Local.

4.         Se a opção Diretivas locais estiver fechada, dê um clique na setinha para a direita, ao lado dela para abri-la.

5.         Nas opções que surgem, dê um clique na opção Diretiva de auditoria. No painel da direita são exibidas as várias diretivas de auditoria disponíveis, as quais são indicadas na Figura 11.18 e explicadas logo a seguir. Observe, ao lado do nome de cada diretiva, o status Sem auditoria, indicando que não existe definição para esta diretiva, isto é, não está sendo logado nenhum evento relacionado à diretiva.

Figura 11.18 – Opções para configuração das Diretivas de auditoria.

Descrição das diretivas de auditoria disponíveis:

• Acesso ao serviço de diretório de auditoria: Define se serão auditadas tentativas de acesso com sucesso, com falha ou ambas, a objetos do Active Directory, para os quais tenha sido habilitada a auditoria dos acessos. O Active Directory é uma base de dados na qual temos uma série de objetos, como por exemplo: contas de usuários, grupos de usuários, Unidades organizacionais, domínios, sites, etc. Por exemplo, podemos implementar uma política para detectar tentativas de alteração sem sucesso, nas contas que fazem parte do grupo Administradores. Por padrão esta política está desabilitada para controladores de domínio e indefinida para os demais computadores. Um cuidado que devemos ter é de habilitar somente as auditorias realmente necessárias, de acordo com a política de segurança da empresa, pois se habilitarmos auditoria em um grande número de objetos, podemos ter uma queda de desempenho nos servidores que estão sendo auditados, além de um crescimento exagerado no tamanho do log de segurança. Por padrão, esse valor é definido como Sem auditoria no objeto de Diretiva de Grupo (GPO) Controlador de Domínio Padrão e permanece indefinido em estações de trabalho e servidores nos quais não tem significado.
• Auditoria de acesso a objetos: Determina se deve ser feita a auditoria do acesso de um usuário ou grupo a um objeto — por exemplo, um arquivo, uma pasta compartilhada, uma chave do Registro, uma impressora etc. — que tenha a sua própria lista de controle de acesso definida. Por exemplo, uma pasta compartilhada em uma partição NTFS, onde são definidas permissões de acesso e, além disso, esteja configurada esta pasta para registrar eventos de acesso no log de auditoria. Se você definir esta configuração de diretiva, poderá especificar se haverá auditoria de acessos com êxito, acessos sem êxito ou se não ocorrerá auditoria desse tipo de evento. As auditorias com êxito geram uma entrada de auditoria quando um usuário acessa com êxito um objeto. As auditorias sem êxito geram uma entrada de auditoria quando um usuário tenta acessar sem êxito um objeto, como, por exemplo, tentar imprimir em uma impressora para a qual ele não tem permissão ou tentar alterar um arquivo para o qual ele tem somente permissão de leitura. É interessante observar que a definição de Auditoria de acesso a objetos ocorre em duas etapas. Primeiro habilitamos esta diretiva, para acessos com sucesso, com falha ou ambos. Em seguida, em cada objeto (pasta, impressora, arquivo, etc.) a ser auditado, temos que configurar quais grupos e usuários serão auditados/monitorados. Apenas habilitar a diretiva não fará com que o acesso aos objetos seja auditado. Por padrão esta diretiva está desabilitada.
• Auditoria de acompanhamento de processos: Determina se deve ser feita a auditoria de informações de controle de eventos detalhadas, como ativação de programas, término de processo, duplicação de identificador e acesso indireto a objeto. Esta diretiva é utilizada para fazer uma auditoria dos programas que estão rodando no computador, na tentativa de detectar usuários que estão tentando utilizar programas para os quais eles não têm permissão de uso. O padrão para esta diretiva é: Sem auditoria
• Auditoria de alteração de diretivas: Determina se deve ser feita a auditoria de todas as instâncias de alteração em diretivas de atribuição de direitos do usuário, diretivas de auditoria ou diretivas de confiança. Padrão: Êxito em controladores de domínio e Sem auditoria em servidores membros e estações de trabalho.
• Auditoria de Eventos de logon: Esta diretiva é a que será configurada no exemplo que estamos apresentando. Esta diretiva determina se deve ser feita a auditoria de cada instância de logon ou logoff de usuário, bem como de conexão de rede no computador. Se você estiver registrando no log os eventos da auditoria de eventos de logon de conta com êxito em um controlador de domínio, as tentativas de logon de estação de trabalho não gerarão auditorias de logon. Somente tentativas de logon de rede e interativas no próprio controlador de domínio gerarão eventos de logon. Resumindo, “eventos de logon de conta” são gerados no local onde reside a conta; “eventos de logon” são gerados no local onde ocorre a tentativa de logon. Você pode configurar para que sejam auditadas tentativas de logon com sucesso, com falha ou ambas. No caso de um computador com o Windows 7, as tentativas de logon são consideradas as tentativas locais ou tentativas feitas via Terminal Services.
• Auditoria de Eventos de logon de conta: Esta diretiva determina se deve ser feita a auditoria de cada evento de gerenciamento de conta em um computador. Os exemplos de eventos de gerenciamento de conta incluem: Um grupo ou conta de usuário ser criado, alterado ou excluído, uma conta de usuário ser renomeada, desativada ou ativada, uma senha ser definida ou alterada.
• Auditoria de eventos de sistema: Determina se deve ser feita a auditoria quando um usuário reiniciar ou desligar o computador, ou quando ocorrer um evento que afete a segurança do sistema ou o log de segurança.
• Auditoria do Gerenciamento de conta: Determina se deve ser feita a auditoria de cada instância em que um usuário faz logon ou logoff em outro computador do qual seja necessário fazer a validação da conta.
• Auditoria de uso de privilégios: Determina se deve ser feita a auditoria de cada instância de uso de um direito do usuário. Direitos (rights) são permissões especiais, como por exemplo incluir um computador como membro de um domínio, que podem ser configuradas pelo Administrador, o qual pode “dar” estes direitos para determinados usuários ou grupos.

Feita a descrição das várias diretivas, vamos continuar o nosso exemplo.

6.         No painel da direita, localize uma diretiva chamada Auditoria de Eventos de logon e dê um clique duplo para abri-la. Será exibida a janela com as configurações atuais para esta diretiva.

7.         Marque as opções conforme indicado na Figura 11.19 e dê um clique em OK para habilitar a auditoria de eventos de logon. Observe que estamos pedindo que sejam auditados os eventos tanto para sucesso quanto para a falha no logon.

Figura 11.19 – Habilitando a auditoria de eventos de logon.

8.         Você deve ter voltado para o console Configurações locais de segurança. Observe que ao lado da diretiva Auditoria de eventos de logon o status agora aparece  “Êxito,Falha”, diferente do status anterior que era Sem auditoria. Isso indica que esta auditoria está habilitada tanto para eventos de sucesso quanto falha de logon.

9.         Feche o console Diretivas de segurança local.

Agora vamos testar se o Windows 7 está fazendo a auditoria de eventos de logon. Vamos fazer o logon como usuário user2 (criado no Capítulo 6) e vamos fornecer uma senha errada (lembrando que a senha correta, cadastrada no Capítulo 6 é senha123), para simular uma falha na tentativa de logon. O Windows 7 vai dizer que não pode efetuar o logon. Depois vamos fazer o logon como Administrador e verificar no log de segurança se existe um evento para a tentativa de logon sem sucesso.

Exemplo prático: Para gerar um evento de falha de logon e verificar se o evento foi gravado no log de segurança do Windows 7, siga os passos indicados a seguir:

1.         Se estiver logado como Administrador faça o logoff.

2.         Tente fazer o logon como usuário user2, mas digite uma senha incorreta. O Windows 7 informa  que o logon não pode ser feito.

3.         Agora faça o logon como Administrador (desta vez digite a senha correta).

4.         Abra o Painel de controle e na lista Exibir por selecione a opção Ícones pequenos. Dentro do Painel de controle abra a opção Ferramentas administrativas e dê um clique duplo na opção Visualizador de Eventos.

5.         Clique na setinha para a direita, ao lado da opção Logs do Windows. Dê um clique na opção Segurança.

6.         Na listagem de eventos, procure o primeiro evento do tipo Falha de auditoria. Dê  um clique duplo sobre o evento para exibir os seus detalhes. Este evento descreve a tentativa de logon, sem sucesso, do usuário user2, conforme pode ser visto na Figura 11.20:

Figura 11.20 – Falha na tentativa de logon do usuário user2.

7.         Para ver uma descrição completa do evento, você pode copiar o texto do evento para a área de transferência do Windows 7. Para isso clique no botão Copiar. Clique no botão Fechar para fechar a janela com a descrição detalhada do evento. Depois abra o Bloco de notas (Iniciar -> Programas -> Acessórios -> Bloco de notas) e selecione o comando Editar -> Colar. Para o nosso exemplo, obteremos o texto indicado a seguir:

*******************************************************************

Nome do Log:   Security

Fonte:         Microsoft-Windows-Security-Auditing

Data:          11/04/2007 21:22:54

Identificação do Evento:4625

Categoria da Tarefa:Logon

Nível:         Informações

Palavras-chave:Falha de Auditoria

Usuário:       N/D

Computador:    microxp01

Descrição:

Falha no logon de uma conta.

Requerente:

            Identificação de segurança:               SYSTEM

            Nome da conta:                      MICROXP01$

            Domínio da conta:                 WORKGROUP

            Identificação de logon:                      0x3e7

Tipo de logon:                                    2

Conta cujo logon falhou:

            Identificação de segurança:               NULL SID

            Nome da conta:                      User2

            Domínio da conta:                 MICROXP01

Informações da falha:

            Razão da falha:                      Nome de usuário desconhecido ou senha incorreta.

            Status:                        0xc000006d

            Sub-status:                  0xc000006a

….

*******************************************************************

E por ai seguem mais quatro ou cinco páginas da descrição.

Observe o seguinte trecho do texto:

Razão: Nome de usuário desconhecido ou senha incorreta

Este trecho indica, com precisão, o motivo que gerou o evento: uma falha de logon devido a um nome de usuário desconhecido ou senha incorreta. No nosso exemplo o problema foi devido a uma senha digitada incorretamente.

8.         Feche o Visualizador de eventos.

Exercício: Tente fazer o logon com o usuário user3 criado no Capítulo 6 e utilizando uma senha incorreta. Depois faça o logon como Administrador e procure pelo evento gerado por essa tentativa de logon sem sucesso. Em seguida faça o logoff do usuário Administrador, e faça o logon como usuário user3, desta vez utilizando a senha correta. Faça o logoff do usuário user3, faça o logon como Administrador e confira se um evento de logon com sucesso foi gravado no log segurança.