Guia Passo a Passo de Política de Auditoria de Segurança Avançada

Guia Passo a Passo de Política de Auditoria de Segurança AvançadaEste tópico ainda não foi avaliado como - Avalie este tópico

Atualizado: junho de 2011

Aplica-se a: Windows Server 2008, Windows Server 2008 R2

Sobre este guia

Melhorias na auditoria de segurança no Windows Server 2008 R2 e no Windows 7 podem ajudar sua organização a fazer a auditoria da conformidade com importantes regras relacionadas a negócio e segurança, acompanhando atividades precisamente definidas, como:

Um administrador de grupo modificou configurações ou dados em servidores que contêm informações financeiras.

Um funcionário em um grupo definido acessou um arquivo importante.

A SACL (lista de controle de acesso do sistema) correta é aplicada a todos os arquivos e pastas ou à chave do Registro em um computador ou compartilhamento de arquivos como uma garantia verificável contra o acesso não detectado.

No Windows 7 e no Windows Server 2008 R2, o número de configurações de auditoria para as quais o êxito e a falha podem ser acompanhados aumentou para 53. Anteriormente, havia nove configurações básicas de auditoria em Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Políticas Locais\Política de Auditoria. Essas 53 novas configurações permitem que você selecione apenas os comportamentos que deseja monitorar e exclua resultados de auditoria para comportamentos que representam pouca ou nenhuma preocupação para você ou comportamentos que criam um número excessivo de entradas de log. Além disso, como a política de auditoria de segurança do Windows 7 e do Windows Server 2008 R2 pode ser aplicada com a Política de Grupo de domínio, as configurações de política de auditoria pode ser modificadas, testadas e implantadas com relativa simplicidade para usuários e grupos selecionados.

Este guia passo a passo demonstra o processo de configuração de uma infraestrutura avançada de política de auditoria de segurança do Windows 7 e do Windows Server 2008 R2 em um ambiente de teste. Ele também orienta você ao longo do processo de definição de algumas configurações de política de auditoria de segurança avançadas representativas. Quando você concluir essas tarefas iniciais, é altamente recomendável usar os procedimentos deste guia para escolher, configurar, aplicar e avaliar configurações de segurança de política de auditoria adicionais.

Durante esse processo, você criará um domínio do Active Directory, instalará o Windows Server 2008 R2 em um servidor membro, instalará o Windows 7 em um computador cliente e definirá novas configurações avançadas de política de auditoria de segurança, incluindo a auditoria de acesso a objetos globais. Além disso, este documento o orientará ao longo do exame de novos dados de "razão para acesso" disponíveis com o uso de várias novas configurações de política de auditoria.

Ao concluir, você poderá usar esse ambiente de teste para aplicar diferentes conjuntos de configurações de política de auditoria de segurança avançadas do Windows Server 2008 R2 e avaliar como eles podem ser usados para aumentar a segurança em sua organização.

Depois de concluir as etapas deste guia, você poderá:

Criar e aplicar configurações de política de auditoria avançadas para um grupo definido de computadores em sua organização.

Verificar se as configurações de política de auditoria são aplicadas a um grupo definido de computadores clientes em sua organização.

Usar os novos dados de eventos de segurança de "razão para acesso" para identificar as permissões usadas para determinar se determinado evento de segurança foi disparado.

Configurar, aplicar e analisar o impacto de diferentes configurações de políticas de auditoria para identificar as configurações que são importantes para sua organização.

Gerenciar a auditoria por usuário no Windows 7 e no Windows Server 2008 R2.

Implantando configurações de política de auditoria avançadas em um ambiente de teste

Após concluir este guia passo a passo, você obterá uma infraestrutura avançada de auditoria de segurança funcional. Você poderá então testar e aprender sobre as configurações de política de auditoria de segurança avançadas adicionais fazendo logon em CONTOSO-CLNT e verificando se a política de auditoria correta está sendo aplicada ao computador.

ImportanteRecomendamos que você use primeiro os procedimentos deste guia em um ambiente de laboratório de teste. Os guias passo a passo não se destinam a serem usados para implantar recursos do Windows sem planejamento e documentação de implantação adicionais.

O ambiente de teste descrito neste guia inclui três computadores que estão conectados a uma rede privada e usam os sistemas operacionais, aplicativos e serviços a seguir.

Nome do computador

Sistema operacional Aplicativos e serviços

CONTOSO-DC

Windows Server 2008 R2

ObservaçãoO Windows Server 2008 ou o Windows Server 2003 com Service Pack 2 (SP2) também pode ser usado no controlador de domínio.

AD DS (Serviços de Domínio Active Directory) e DNS (Sistema de Nomes de Domínio)

CONTOSO-SRV

Windows Server 2008 R2GPMC (Console de Gerenciamento de Política de Grupo)

CONTOSO-CLNT

Windows 7

ObservaçãoO Windows Server 2008 R2 também pode ser usado como computador cliente.

ObservaçãoPara obter mais informações sobre a compatibilidade e os requisitos do sistema operacional, consulte o artigo sobre Que versões do Windows oferecem suporte à Configuração de Política de Auditoria Avançada?.

Os computadores formam uma intranet privada e estão conectados por meio de um hub comum ou de um comutador de Camada 2. Essa configuração pode ser emulada em um ambiente de máquina virtual, se desejado. Este guia passo a passo usa endereços privados em toda a configuração do laboratório de teste. A ID 10.0.0.0/24 de rede privada é usada para a intranet. O controlador de domínio para o domínio contoso.com se chama CONTOSO-DC. A figura a seguir mostra a configuração do ambiente de teste.

Etapas para a implantação de políticas de auditoria avançadas em um ambiente de teste

Conclua as etapas a seguir para implantar configurações de política de auditoria avançadas em um ambiente de teste.

Etapa 1: configurando a infraestrutura

Etapa 2: criando e verificando uma política de auditoria avançada

Etapa 3: criando e verificando uma política de auditoria que fornece a razão para o acesso a objetos

Etapa 4: criando e verificando uma política de acesso a objetos globais

Etapa 5: criando e verificando políticas de auditoria avançadas adicionais

Seção opcional: reverter a política de auditoria de segurança de Política de Auditoria Avançada para política de auditoria básica

Etapa 1: configurando a infraestrutura

Para preparar o ambiente de teste no domínio CONTOSO, você deve concluir as seguintes tarefas:

Configurar o controlador de domínio (CONTOSO-DC).

Configurar o servidor membro (CONTOSO-SRV).

Configurar o computador cliente (CONTOSO-CLNT).

Use a tabela a seguir como referência ao configurar nomes de computador, sistemas operacionais e configurações de rede adequados que são necessários para concluir as etapas deste guia.

ImportanteAntes de configurar os computadores com endereços IP estáticos, é recomendável concluir primeiro duas tarefas importantes que exigem conectividade com a Internet: conclua a ativação do produto do Windows e use o Windows Update para obter e instalar quaisquer atualizações de segurança críticas disponíveis.

Nome do computador

Requisito do sistema operacional

Configurações IPConfigurações de

DNS

CONTOSO-DC

Windows Server 2008 R2, Windows Server 2008 ou Windows Server 2003 com Service Pack 2 (SP2)

Endereço IP: 10.0.0.1

Máscara de sub-rede: 255.255.255.0

Configurado pela função de servidor DNS

CONTOSO-SRV

Windows Server 2008 R2



Preferencial: 10.0.0.1

CONTOSO-CLNT

Windows 7 ou Windows Server 2008 R2


Preferencial: 10.0.0.1


Configurar o controlador de domínio (CONTOSO-DC)

Dependendo de seu ambiente, você pode avaliar as configurações de política de auditoria em um domínio do Windows Server 2008 R2, do Windows Server 2008 ou do Windows Server 2003. Para este guia, usamos um domínio do Windows Server 2008 R2.

ObservaçãoPara mais informações sobre os requisitos do sistema operacional, consulte o artigo sobre Novidades na Auditoria de Segurança do Windows.

Para configurar o controlador de domínio CONTOSO-DC executando o Windows Server 2008 R2, você deve:

Instalar o Windows Server 2008 R2.

Configurar as propriedades de TCP/IP.

Instalar o AD DS.

Criar uma UO (unidade organizacional) de Finanças.

Primeiro, instale o Windows Server 2008 R2 em um servidor autônomo.

Para instalar o Windows Server 2008 R2

1. Inicie o computador usando o CD do produto do Windows Server 2008 R2.2. Quando o nome do computador for solicitado, digite CONTOSO-DC.3. Siga o restante das instruções exibidas na tela para concluir a instalação.

Em seguida, configure as propriedades do TCP/IP para que CONTOSO-DC tenha o endereço IP estático IPv4 10.0.0.1.

Para configurar as propriedades de TCP/IP

1. Faça logon em CONTOSO-DC com a conta CONTOSO-DC\Administrador.2. Clique em Iniciar, Painel de Controle, Rede e Internet, Central de Rede e

Compartilhamento, Alterar Configurações do Adaptador, clique com o botão direito do mouse em Conexão Local e clique em Propriedades.

3. Na guia Rede, clique em Protocolo IP Versão 4 (TCP/IPv4) e em Propriedades.

4. Clique em Usar o seguinte endereço IP. Na caixa Endereço IP, digite 10.0.0.1. Na caixa Máscara de sub-rede, digite 255.255.255.0. Na caixa Gateway padrão, digite 10.0.0.1.

5. Na caixa Servidor DNS Preferencial, digite 10.0.0.1 e clique em OK.6. Na guia Rede , desmarque a caixa de seleção Protocolo IP Versão 6

(TCP/IPv6) e clique em Fechar.

Em seguida, configure o computador como um controlador de domínio executando o Windows Server 2008 R2.

Para configurar CONTOSO-DC como um controlador de domínio executando o Windows Server 2008

1. Clique em Iniciar e em Executar. Na caixa Abrir, digite dcpromo e clique em OK.

2. Na página Assistente de Instalação dos Serviços de Domínio Active Directory, clique em Avançar e em Avançar novamente.

3. Clique em Criar um novo domínio em uma nova floresta e em Avançar.4. Na caixa FQDN do domínio raiz da floresta, digite contoso.com e clique em

Avançar.5. Mantenha o valor padrão na caixa Nome NetBIOS do domínio e clique em

Avançar.6. Na lista Nível funcional da floresta, clique em Windows Server 2003 e em

Avançar.7. Na lista Nível funcional do domínio, clique em Windows Server 2003 e em

Avançar.8. Verifique se a caixa de seleção Servidor DNS está marcada e clique em

Avançar.9. Clique em Sim, confirmando que deseja criar uma delegação para esse servidor

DNS.10. Na página Local de Banco de Dados, Arquivos de Log e SYSVOL, clique em

Avançar.11. Nas caixas Senha e Confirmar senha, digite uma senha forte e clique em

Avançar.12. Na página Resumo, clique em Avançar para iniciar a instalação.13. Quando a instalação estiver concluída, clique em Concluir e em Reiniciar

Agora.

ObservaçãoVocê deve reiniciar o computador após concluir este procedimento.

Para criar uma UO de Finanças em contoso.com

1. Faça logon em CONTOSO-DC com a conta CONTOSO-DC\Administrador.2. Clique em Iniciar e em Painel de Controle, clique duas vezes em Ferramentas

Administrativas e clique duas vezes em Usuários e Computadores do Active Directory.

3. Na árvore de console, clique com botão direito do mouse em contoso.com, aponte para Novo e clique em Unidade Organizacional.

4. Digite o nome da nova UO, Finanças, e clique em OK.

Configurar o servidor membro do Windows Server 2008 R2 (CONTOSO-SRV)

Para configurar o servidor membro, CONTOSO-SRV, é necessário:

Instalar o Windows Server 2008 R2.


Adicionar CONTOSO-SRV ao domínio contoso.com.

Adicionar CONTOSO-SRV à UO Finanças.

Instalar o GPMC.

Em primeiro lugar, instale o Windows Server 2008 R2 como um servidor autônomo.

Para instalar o Windows Server 2008 R2

1. Inicie o computador usando o CD do produto do Windows Server 2008 R2.2. Quando o nome do computador for solicitado, digite CONTOSO-SRV.3. Siga o restante das instruções exibidas na tela para concluir a instalação.

Em seguida, configure as propriedades do TCP/IP para que CONTOSO-SRV tenha o endereço IP estático 10.0.0.2. Além disso, configure o servidor DNS usando o endereço IP de CONTOSO-DC (10.0.0.1).


1. Faça logon em CONTOSO-SRV com a conta CONTOSO-SRV\Administrador ou com outra conta de usuário no grupo local Administradores.

2. Clique em Iniciar e em Painel de Controle, clique duas vezes em Centro de Rede e Compartilhamento, clique em Gerenciar Conexões de Rede, clique com o botão direito do mouse em Conexão Local e clique em Propriedades.


4. Clique em Usar o seguinte endereço IP. Na caixa Endereço IP, digite 10.0.0.2. Na caixa Máscara de sub-rede, digite 255.255.255.0. Na caixa Gateway padrão, digite 10.0.0.1.

5. Clique em Usar os seguintes endereços de servidor DNS. Em Servidor DNS preferencial, digite 10.0.0.1.

6. Clique em OK e em Fechar para fechar a caixa de diálogo Propriedades da Conexão Local.

Em seguida, adicione CONTOSO-SRV ao domínio contoso.com.

Para adicionar CONTOSO-SRV ao domínio contoso.com

1. Clique em Iniciar, clique com o botão direito do mouse em Computador e clique em Propriedades.

2. Clique em Alterar configurações (à direita sob Nome do computador, domínio e configurações de grupo de trabalho) e clique em Alterar.

3. Na caixa de diálogo Alterações de Nome/Domínio do Computador, clique em Domínio e digite contoso.com.

4. Clique em Mais e, na caixa Sufixo DNS primário deste computador, digite contoso.com.

5. Clique em OK e em OK novamente.6. Quando a caixa de diálogo Alterações de Nome/Domínio do Computador for

exibida solicitando credenciais administrativas, forneça as credenciais de CONTOSO\Administrador e clique em OK.

7. Quando a caixa de diálogo Alterações de Nome/Domínio do Computador for exibida dando as boas-vindas ao domínio contoso.com, clique em OK.

8. Quando a caixa de diálogo Alterações de Nome/Domínio do Computador for exibida informando que o computador deve ser reiniciado, clique em OK e, em seguida, em Fechar.

9. Clique em Reiniciar Agora.

Depois que o computador for reiniciado, adicione CONTOSO-SRV à UO Finanças.

Para adicionar um computador à UO Finanças

1. Faça logon em CONTOSO-DC com a conta CONTOSO-DC\Administrador.2. Clique em Iniciar e em Painel de Controle, clique duas vezes em Ferramentas

Administrativas e clique duas vezes em Usuários e Computadores do Active Directory.

3. Na árvore de console, clique com botão direito do mouse em contoso.com.4. Na árvore de console, clique com botão direito do mouse na UO Finanças,

aponte para Novo e clique em Grupo.5. Digite o nome do novo grupo, Computadores. Em Escopo do grupo, clique em

Domínio local e, em Tipo de grupo, clique em Grupo de segurança.6. Clique com o botão direito do mouse em Computadores e, em seguida, clique

em Propriedades. Na guia Membros, clique em Adicionar.7. Em Digite os nomes de objeto a serem selecionados, digite CONTOSO-SRV

e clique em OK.

Finalmente, instale o GPMC em CONTOSO-SRV usando o Gerenciador de Servidores. Isso será usado para definir as configurações de política de auditoria de segurança avançadas.

Para instalar o GPMC

1. Faça logon em CONTOSO-SRV como membro do grupo local Administradores.

2. Clique em Iniciar, aponte para Ferramentas Administrativas e clique em Gerenciador de Servidores.

3. Em Resumo dos Recursos, clique em Adicionar Recursos.

4. Marque a caixa de seleção Gerenciamento de Política de Grupo e clique em Instalar.

5. Feche o Gerenciador de Servidores.

Configurar o computador cliente (CONTOSO-CLNT)

Para configurar CONTOSO-CLNT, é necessário:

Instalar o Windows 7.


Adicionar CONTOSO-CLNT ao domínio contoso.com.

Para instalar o Windows 7

1. Inicie o computador usando o CD do produto do Windows 7.2. Siga as instruções na tela e, quando for solicitado o nome do computador, digite

CONTOSO-CLNT.

Em seguida, configure as propriedades do TCP/IP para que CONTOSO-CLNT tenha o endereço IP estático 10.0.0.3. Além disso, configure o servidor DNS de CONTOSO-DC (10.0.0.1).


1. Faça logon em CONTOSO-CLNT com a conta CONTOSO-CLNT\Administrador ou com outra conta de usuário no grupo local Administradores.

2. Clique em Iniciar, Painel de Controle, Rede e Internet e Central de Redes e Compartilhamento.

3. Clique em Alterar as configurações do adaptador, clique com o botão direito do mouse em Conexão Local e clique em Propriedades.

4. Se a caixa de diálogo Controle de Conta de Usuário aparecer, confirme se a ação exibida é a desejada e clique em Sim.


6. Clique em Usar o seguinte endereço IP. Em Endereço IP, digite 10.0.0.3. Em Máscara de sub-rede, digite 255.255.255.0.

7. Clique em Usar os seguintes endereços de servidor DNS. Em Servidor DNS preferencial, digite 10.0.0.1.

8. Clique em OK e em Fechar para fechar a caixa de diálogo Propriedades da Conexão Local.

Em seguida, adicione CONTOSO-CLNT ao domínio contoso.com.

Para adicionar CONTOSO-CLNT ao domínio contoso.com

1. Clique em Iniciar, clique com o botão direito do mouse em Computador e clique em Propriedades.

2. Em Nome do computador, domínio e configurações de grupo de trabalho, clique em Alterar configurações.


4. Na guia Nome do Computador, clique em Alterar.5. Na caixa de diálogo Alterações de Nome/Domínio do Computador, clique em

Domínio e digite contoso.com.6. Clique em Mais e, na caixa Sufixo DNS primário deste computador, digite

contoso.com.7. Clique em OK e em OK novamente.8. Quando a caixa de diálogo Alterações de Nome/Domínio do Computador for

exibida solicitando credenciais administrativas, forneça as credenciais e clique em OK.

9. Quando a caixa de diálogo Alterações de Nome/Domínio do Computador for exibida dando as boas-vindas ao domínio contoso.com, clique em OK.

10. Quando a caixa de diálogo Alterações de Nome/Domínio do Computador for exibida informando que o computador deve ser reiniciado, clique em OK e, em seguida, em Fechar.

11. Na caixa de diálogo Alteração das Configurações do Sistema, clique em Sim para reiniciar o computador.

Etapa 2: criando e verificando uma política de auditoria avançada

As nove políticas de auditoria básicas em Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Políticas Locais\Política de Auditoria permitem definir configurações de política de auditoria de segurança para amplos conjuntos de comportamentos, alguns dos quais geram muitos mais eventos de auditoria do que outros. Um administrador precisa examinar todos os eventos gerados, sejam eles de interesse ou não.

No Windows Server 2008 R2 e no Windows 7, os administradores podem fazer auditoria em aspectos mais específicos do comportamento do cliente no computador ou na rede, o que facilita a identificação dos comportamentos de maior interesse. Por exemplo, em Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Políticas Locais\Política de Auditoria, há apenas uma configuração de política para eventos de logon, Auditoria de eventos de logon. Em Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Configuração Avançada de Diretiva de Auditoria\Políticas de Auditoria do Sistema, você pode optar entre oito diferentes configurações de política na categoria Logon/Logoff. Isto proporciona um controle mais detalhado dos aspectos de logon e logoff que você pode acompanhar.

Uma política de domínio padrão é gerada automaticamente quando um novo domínio é criado. Nesta seção, vamos editar a política de domínio padrão e adicionar uma configuração de política de auditoria de segurança avançada que as faz uma auditoria quando um usuário faz logon, com ou sem êxito, em um computador no domínio CONTOSO.

Para configurar, aplicar e validar uma configuração de política de auditoria de logon de domínio avançada, você deve:

Definir uma configuração de política de logon de domínio avançada.

Verificar se as configurações da Configuração de Política de Auditoria Avançada não foram substituídas.

Atualizar as configurações de Política de Grupo.

Verificar se as configurações de política de auditoria de segurança de logon avançadas foram aplicadas corretamente.

Para definir uma configuração de política de auditoria de logon de domínio avançada


2. Clique em Iniciar, aponte para Ferramentas Administrativas e clique em Gerenciamento de Diretiva de Grupo.

3. Na árvore de console, clique duas vezes em Floresta: contoso.com, clique duas vezes em Domínios e clique duas vezes em contoso.com.

4. Clique com o botão direito do mouse em Diretiva de Domínio Padrão e clique em Editar.

5. Clique duas vezes em Configuração do Computador, clique duas vezes em Políticas e clique duas vezes em Configurações do Windows.

6. Clique duas vezes em Configurações de Segurança, clique duas vezes em Configuração Avançada de Diretiva de Auditoria e clique duas vezes em Políticas de Auditoria do Sistema.

7. Clique duas vezes em Logon/Logoff e clique duas vezes em Logon.8. Marque a caixa de seleção Configurar estes eventos de auditoria, marque a

caixa de seleção Êxito, marque a caixa de seleção Falha e clique em OK.

Ao usar configurações da Configuração de Política de Auditoria Avançada, você precisa confirmar que essas configurações não foram substituídas pelas configurações básicas de política de auditoria. O procedimento a seguir mostra como evitar conflitos, bloqueando a aplicação de quaisquer configurações de política de auditoria básicas.

Para garantir que as configurações da Configuração de Política de Auditoria Avançada não foram substituídas

1. Em CONTOSO-SRV, clique em Iniciar, aponte para Ferramentas Administrativas e clique em Gerenciamento de Diretiva de Grupo.




5. Clique duas vezes em Configurações de Segurança e clique em Opções de Segurança.

6. Clique duas vezes em Auditoria: forçar configurações de subcategorias de diretivas de auditoria (Windows Vista ou superior) para substituir configurações de categorias de diretivas de auditoria e clique em Definir esta configuração de política.

7. Clique em Habilitado e em OK.

Para verificar a funcionalidade de configurações de política de auditoria de segurança avançadas no domínio contoso.com, você fará logon no CONTOSO-CLNT como administrador do domínio contoso.com e verificará se as configurações de Política de Grupo foram aplicadas.

Para atualizar as configurações de Política de Grupo.

1. Faça logon em CONTOSO-CLNT como CONTOSO\Administrador.2. Clique em Iniciar, aponte para Todos os Programas, clique em Acessórios,

clique com o botão direito do mouse em Prompt de Comando e, em seguida, clique em Executar como administrador.


4. Digite gpupdate e pressione ENTER.

Depois que as configurações de Política de Grupo forem aplicadas, você poderá verificar se as configurações de política de auditoria foram aplicadas corretamente.

Para verificar se as configurações de política de auditoria de segurança de logon avançadas foram aplicadas corretamente

1. Faça logon em CONTOSO-CLNT como CONTOSO\Administrador.2. Clique em Iniciar, aponte para Todos os Programas, clique em Acessórios,

clique com o botão direito do mouse em Prompt de Comando e, em seguida, clique em Executar como administrador.


4. Digite auditpol.exe /get /category:* e pressione ENTER.5. Verifique se êxito, Falha ou Êxito e Falha são mostrados à direita de Logon.

Etapa 3: criando e verificando uma política de auditoria que fornece a razão para o acesso a objetos

Uma das necessidades de auditoria mais comuns é acompanhar o acesso a determinado arquivo ou pasta. Por exemplo, pode ser necessário identificar uma atividade como, por exemplo, quando um usuário grava em um arquivo ao qual não deveria ter tido acesso. Habilitando a auditoria "razão para acesso", além de poder acompanhar esse tipo de atividade, você também poderá identificar a entrada de controle de acesso exata que permitiu o acesso indesejado, o que pode simplificar significativamente a tarefa de

modificar as configurações de controle de acesso para impedir o acesso indesejado a objetos de forma semelhante no futuro.

Para configurar, aplicar e validar uma razão para a política de acesso a objetos, você deve:

Configurar a política de auditoria do sistema de arquivos.

Habilitar a auditoria para um arquivo ou pasta.

Habilitar a política de auditoria de manipulação de identificador.



Examinar e verificar a razão para os dados de auditoria de acesso.

Para configurar a política de auditoria do sistema de arquivos







7. Clique duas vezes em Acesso a Objeto e clique duas vezes em Sistema de Arquivos.

8. Marque a caixa de seleção Configurar os eventos a seguir e marque as caixas de seleção Êxito, Falha ou Êxito e Falha.

9. Clique em OK.

A política de auditoria do sistema de arquivos só é usada para monitorar objetos para os quais SACLs de auditoria foram configuradas. O procedimento a seguir mostra como configurar a auditoria para um arquivo ou pasta.

Para habilitar a auditoria para um arquivo ou pasta

1. Faça logon em CONTOSO-CLNT como membro do grupo local Administradores.

2. Crie uma nova pasta ou documento .txt.

3. Clique com o botão direito do mouse no novo objeto, clique em Propriedades e clique na guia Segurança.

4. Clique em Avançado e clique na guia Auditoria.5. Se a caixa de diálogo Controle de Conta de Usuário aparecer, confirme se a

ação exibida é a desejada e clique em Sim. 6. Clique em Adicionar, digite um nome de usuário ou nome de computador no

formato contoso\usuário1 e clique em OK.7. Na caixa de diálogo Entradas de Auditoria para, selecione as permissões das

quais você deseja fazer auditoria, como Controle Total ou Excluir.8. Clique em OK quatro vezes para concluir a configuração da SACL do objeto.

No Windows 7 e no Windows Server 2008 R2, a razão pela qual alguém teve o acesso concedido ou negado é adicionada ao evento de identificador aberto. Assim, os administradores podem entender por que alguém pôde abrir um arquivo, pasta ou compartilhamento de arquivos para um acesso específico. Para ativar essa funcionalidade, a política de auditoria de manipulação de identificador também precisa ser habilitada, para que eventos de êxito registrem tentativas de acesso que foram permitidas e eventos de falha registrem tentativas de acesso que foram negadas.

Para habilitar a política de auditoria de manipulação de identificador




4. Clique duas vezes na UO Finanças, clique com o botão direito do mouse em Política de Auditoria de Finanças e clique em Editar.



7. Clique duas vezes em Acesso a Objeto, clique com o botão direito do mouse em Manipulação de Identificador e clique em Propriedades.

8. Marque a caixa de seleção Configurar estes eventos de auditoria, marque as caixas de seleção Êxito e Falha e clique em OK.

Após criar esta política de auditoria, confirme se essas configurações de política de auditoria avançadas não podem ser substituídas. Para obter mais informações, consulte o procedimento "Para garantir que as configurações da Configuração de Política de Auditoria Avançadas não sejam substituídas" na seção Etapa 2: criando e verificando uma política de auditoria avançada.

Em seguida, aplique as atualizações da Política de Grupo usando o procedimento "Para atualizar as configurações de Política de Grupo" na seção Etapa 2: criando e verificando uma política de auditoria avançada.

Depois que as configurações de Política de Grupo atualizadas forem aplicadas, faça logon e logoff de CONTOSO-CLNT e conclua algumas tarefas que gerarão a razão para eventos de acesso a objetos. Após concluir essas etapas, você poderá examinar os dados de auditoria que fornecem a razão para o acesso.

Para examinar e verificar a razão para os dados de auditoria de acesso

1. Em CONTOSO-CLNT, clique em Iniciar, aponte para Ferramentas Administrativas e clique em Visualizador de Eventos.

2. Clique em Logs do Windows e em Segurança.3. No painel Ações, clique em Limpar Log.4. Localize o arquivo ou pasta que você configurou no procedimento de acesso a

objeto de nível de domínio e modifique o arquivo ou pasta usando as permissões que você configurou para a conta de usuário.

5. Volte para o Visualizador de Eventos e, no painel Ações, clique em Atualizar.6. Na coluna ID do Evento, clique em um ou mais eventos intitulado 4656, role

para baixo até a seção Informações de Solicitação de Acesso e confirme as permissões que foram usadas para executar a tarefa.

Etapa 4: criando e verificando uma política de acesso a objetos globais

Uma política de auditoria de acesso a objetos globais pode ser usada para impor uma política de auditoria de acesso a objetos a um computador, compartilhamento de arquivos ou Registro sem a necessidade de configurar e propagar SACLs convencionais. A configurando e propagação SACLs é uma tarefa administrativa mais complexa e é difícil de verificar, particularmente se você precisar verificar para um auditor que a política de segurança está sendo imposta. Usando uma política de auditoria de acesso a objetos globais, você pode impor uma política de segurança, como "Registrar toda a atividade administrativa de Gravação em servidores que contenham informações de Finanças", e verificar se ativos críticos estão sendo protegidos.

Nesse caso, você realizará a auditoria de todas as alterações feitas nas chaves do Registro por membros de um grupo específico, em vez de alterações feitas em objetos do sistema de arquivos.

Para configurar, aplicar e validar uma política de auditoria de acesso a objetos globais, você deve:

Configurar uma política de auditoria de acesso a objetos globais do domínio.



Confirmar se a auditoria de acesso a objetos globais está ocorrendo.

Para configurar uma política de auditoria de acesso a objetos globais do domínio







7. Clique duas vezes em Acesso a Objeto e clique duas vezes em Registro.8. Marque a caixa de seleção Configurar estes eventos, marque as caixas de

seleção Êxito e Falha e clique em OK.9. Clique duas vezes em Políticas de Acesso a Objetos Globais e clique duas

vezes em Registro.10. Marque a caixa de seleção Definir esta configuração de política e clique em

Configurar.11. Na caixa Configurações de Segurança Avançadas para SACL do Registro,

clique em Adicionar.12. Digite um nome de usuário ou computador no formato contoso\usuário1,

usuá[email protected] ou CONTOSO-CLNT e clique em OK.13. Na caixa Configurações de Segurança Avançadas para SACL do Registro,

selecione as atividades com Êxito ou Falha para as quais você deseja registrar entradas para auditoria, como, por exemplo, Criar Subchave, Excluir ou Ler.

14. Clique em OK três vezes para concluir a configuração da política de auditoria.

Após criar a política de auditoria, confirme se essas configurações de política de auditoria avançadas não podem ser substituídas. Para obter mais informações, consulte o procedimento "Para garantir que as configurações da Configuração de Política de Auditoria Avançadas não sejam substituídas" na seção Etapa 2: criando e verificando uma política de auditoria avançada.

Em seguida, aplique as atualizações da Política de Grupo usando o procedimento "Para atualizar as configurações de Política de Grupo" na seção Etapa 2: criando e verificando uma política de auditoria avançada. Depois que as configurações de Política de Grupo atualizadas forem aplicadas, faça logon e logoff de CONTOSO-CLNT.

Para verificar se a política de acesso a objetos globais foi aplicada

1. Abra o Editor do Registro e crie e modifique uma ou mais configurações do Registro.

2. Excluir um ou mais das configurações do Registro que você criou.3. Abra o Visualizador de Eventos e confirme se suas atividades resultaram em

eventos de auditoria, embora você não tenha definido SACLs de auditoria explícitas nas configurações do Registro que criou, modificou e excluiu.

Etapa 5: criando e verificando políticas de auditoria avançadas adicionais

Agora que você criou, aplicou e validou os três tipos básicos de configurações de política de auditoria de segurança avançadas, continue a identificar e testar configurações de política de auditoria de segurança avançadas adicionais usando os procedimentos básicos descritos nas seções anteriores.

Para identificar configurações adicionais de interesse potencial para sua organização, examine as informações de Novidades na Auditoria de Segurança do Windows.

Informações adicionais estão disponíveis em Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Configuração de Política de Auditoria Avançada\Políticas de Auditoria do Sistema clicando com o botão direito do mouse nas configurações individuais, clicando em Propriedades e clicando na guia Explicar.

Ao aplicar e testar configurações adicionais, considere como os dados de eventos de auditoria gerados podem ajudá-lo a criar uma rede mais segura. Em particular, considere o seguinte:

As informações fornecidas por esses eventos de auditoria são úteis?

São fornecidas informações suficientes pelos dados de auditoria?

São fornecidas informações demais pelos dados de auditoria?

Como posso ajustar estas configurações de política de auditoria para obter apenas as informações de que necessito?

A auditoria de segurança é uma ferramenta crítica e essencial para ajudar a garantir que seus ativos de rede estejam seguros. Você deve reservar todo o tempo que for necessário para explorar e entender as novas configurações de de política de auditoria de segurança avançadas do Windows 7 e do Windows Server 2008 R2.

Gerenciando a auditoria por usuários no Windows 7 e no Windows Server 2008 R2

As configurações de política de auditoria de segurança no Windows 7 e no Windows Server 2008 R2 podem ser definidas e usadas somente para cada computador, e não para cada usuário. No entanto, existem várias maneiras de aplicar configurações de auditoria para usuários específicos:

Quando disponível, configure as permissões de segurança avançadas no objeto que está sendo submetido a auditoria, para que a política de auditoria seja aplicada apenas a um grupo específico. Por exemplo, se você desejar que a configuração de política Acesso a Objeto seja aplicada a um arquivo ou pasta, é possível configurar as permissões no arquivo ou pasta para que o acesso a objeto seja acompanhado somente para os indivíduos ou grupos que você especificar. O procedimento intitulado "Para habilitar a auditoria para um arquivo ou pasta", fornecido anteriormente neste documento, descreve como concluir essa tarefa.

Defina e implante configurações de auditoria por usuário usando um arquivo de texto de política de auditoria, um script de logon e a ferramenta da linha de comando Auditpol.exe.

ImportanteA auditoria por usuário com base em scripts de logon só pode ser aplicada a usuários individuais, não a grupos. Você não pode usar scripts de logon para excluir subcategorias ou categorias de configurações de política de auditoria para administradores.

O procedimento a seguir descreve como criar um arquivo de texto de política de auditoria que pode ser implantado usando um script de logon. Para obter mais informações sobre como usar scripts de logon para implantar uma política de auditoria, consulte o artigo 921469 na Base de Dados de Conhecimento Microsoft (http://go.microsoft.com/fwlink/?LinkID=82447).

Para criar um arquivo de texto de política de auditoria

1. Em um prompt de comando, digite auditpol /set /user:securityprincipalname/category:"subcategoryname" /include /Êxito ou Falha:enable para adicionar uma configuração de auditoria por usuário. Repita essa etapa para cada subcategoria de política de auditoria e usuário ou grupo que você desejar adicionar ao arquivo de texto de política de auditoria.

ObservaçãoPara obter uma lista de possíveis configurações de auditoria em formato de relatório, abra uma janela de Prompt de Comando, digite auditpol /list /subcategory:* /r e pressione ENTER. Para obter mais informações sobre como usar Auditpol, consulte Auditpol set e Auditpol list.

2. Em um prompt de comando, digite auditpol /backup /file: auditpolicyfilename.txt para exportar a política.

3. Formate a política abrindo auditpolicyfilename.txt e removendo todas as linhas, exceto a primeira linha do texto e as linhas de texto de auditoria por usuário.

ObservaçãoO texto da política de auditoria por usuário estará no formato: ComputerName,S-1-XXXX,SubcategoryName,GUID,TextIncludeSettings,TextExcludeSettings,#. As configurações do sistema estarão no formato: ComputerName,System,SubcategoryName,GUID,TextAuditSettings,#. Além disso, não deixe de remover as últimas seis linhas, que contêm as configurações de opção de auditoria.

4. Quando terminar de criar o arquivo, no menu Arquivo, clique em Salvar como e confirmar se ANSI está selecionado na lista Codificação. Clique em OK.

5. Em um prompt de comando, digite auditpol /restore /file: auditpolicyfilename.txt e pressione ENTER para confirmar se as configurações de auditoria desejadas estão configuradas. Digite auditpol /list /user e pressione

ENTER para listar todos os usuários com as configurações por usuário de auditoria.

6. Copie o arquivo auditpolicyfilename.txt para o compartilhamento Netlogon do controlador de domínio que contém a função de emulador de PDC (controlador de domínio primário) no domínio.

ImportanteNão importe políticas de auditoria que contenham configurações de auditoria por usuário diretamente para um GPO (objeto de Política de Grupo). Quando configurações de auditoria por usuário são implantadas por meio da Política de Grupo e não através de scripts de logon, conforme é descrito neste procedimento, isso pode fazer com que níveis inesperados de eventos de falha apareçam em seus logs de auditoria de segurança.

Seção opcional: reverter a política de auditoria de segurança de Política de Auditoria Avançada para política de auditoria básica

A aplicação de configurações de política de auditoria avançadas substitui quaisquer configurações de política de auditoria de segurança básicas comparáveis. Se, posteriormente, alterar a configuração de política de auditoria avançada para Não configurada, você precisará concluir as seguintes etapas para restaurar as configurações de política de auditoria de segurança básicas originais:

1. Defina todas as subcategorias de Política de Auditoria Avançada como Não configurada.

2. Exclua todos os arquivos .csv da pasta %SYSVOL% no controlador de domínio.

3. Reconfigure e aplique as configurações de política de auditoria básicas.

A menos que você conclua todas essas etapas, as configurações de política de auditoria básicas não serão restauradas.

Documents

Guia Passo a Passo de Política de Auditoria de Segurança Avançada