Auditando o Acesso ao Sistema de Arquivos

Publicado: 14/05/2009 em Windows 2008 Server

Windows Server 2008 R2

Olá a todos, netes artigo vamos ver como configurar Auditoria ao Sistema de Arquivos no Windows 2008 Server R2.

Auditando o Acesso ao Sistema de Arquivos no Windows 2008 Server R2

Primeiramente vamos falar um pouco sobre a Auditoria do Windows 2008 e o que temos de novidades com relação aos Logs.

Como parte de sua estratégia de segurança geral, você deve determinar o nível de auditoria apropriada para o ambiente. A auditoria deve identificar ataques, sejam bem-sucedidos ou não, que representem uma ameaça à rede ou a recursos que você determinou que são valiosos.
Em qualquer ambiente seguro, você deve monitorar ativamente as invasões e os ataques. Seria contraproducente implementar sistemas seguros e não realizar qualquer auditoria, com base na suposição de que você não será atacado.

Ao decidir o quanto auditar, tenha em mente que quanto mais você auditar, mais eventos gerará e mais difícil poderá ser a identificação de eventos críticos. Se você estiver realizando uma auditoria extensiva, recomendo o uso de ferramentas adicionais, como o SCOM 2007 R2 (System Center Operations Manager), para ajudar a filtrar eventos que tenham maior importância.

Os eventos de auditoria podem ser divididos em duas categorias: eventos de êxito e eventos de falha. Um evento de êxito indica que um usuário obteve acesso com êxito a um recurso, enquanto um evento de falha mostra que ele tentou, mas não conseguiu.

Os eventos de falha são muito úteis para controlar tentativas de ataques ao ambiente, mas os eventos de êxito são muito mais difíceis de ser interpretados. Embora a grande maioria dos eventos de auditoria bem-sucedidos serem simplesmente indicações de atividade normal, um invasor que consiga obter acesso a um sistema também gerará um evento de êxito. Com freqüência, um padrão de eventos é tão importante quanto os próprios eventos. Por exemplo, uma série de falhas seguida de um êxito pode indicar que uma tentativa de ataque acabou sendo bem-sucedida.

O Windows Server 2008, Windows Vista e o Windows 7 traz uma infraestrutura nova de registro de auditoria e tratamento de eventos chamado Windows Eventing 6.0. Essa é a maior mudança nesta área desde o lançamento do Windows NT, e traz novidades especificamente desenhadas para nos ajudar na gerência de logs do Windows

Novidades

  • Novo formato para os eventos. Informações mais claras e compreensíveis, e uma guia separado para os detalhes.

Formato dos novos Logs

  • Eventos formatados em XML. Os eventos são gravados agora dentro do Windows em formato XML, que pode ser recuperado via XPath. (XPath é um conjunto de regras de sintaxe para definir partes de um documento XML)
  • Event XML

  • Antes e Depois”. Nos eventos de alterações no Active Directory e no Registry, o registro de eventos indica não só que houve uma alteração, mas mostra também o valor anterior e o novo valor. Agora é possível saber exatamente qual mudança foi feita por quem, isso facilita caso seja necessário reverter o processo/ação efetuada.
  • Política de Auditoria Granular. Nas versões anteriores existiam somente 9 categorias que você podiahabilitar ou desabilitar, para eventos de sucesso ou falha. No Windows Server 2008 essas categorias são divididas em 56 subcategorias, e podem ser configuradas individualmente. Granular Audit Policy pode ser configurada via política de grupo, mesmo em domínios rodando ainda Windows 2003.
  • Escalabilidade. Com certeza um grande avanço!!! Os logs nas versões anteriores no Windows estavam limitados entre 200 – 600MB, dependendo da memória (Exatamente, memória!) do sistema. No Windows Server 2008 o log está limitado somente pelo seu espaço em disco.
  • Anexar uma tarefa a um evento. Isso sim é muito bom! Você pode anexar uma tarefa agora a um evento específico ou até mesmo em 1 LOG completo, configurando o Windows para executar automaticamente um programa, um script ou apenas mostar uma mensagem ao operador quando um determinado evento acontecer.
  • Task Log

  • Replicação de Eventos. Event subscriptions. Um sistema pode ser configurado para coletar os registros de auditoria de outros sistemas, buscando o conteúdo XML de acordo com os filtros que você definir. A replicação é autenticada, e a transferência através da rede pode ser protegida via SSL.
  • Retenção Automática. Agora podemos configurar a opção de arquivar os logs antigos automaticamente assim que o espaço do log é completado. Uma vez cheio, o log é gravado em um arquivo.evtx, é gerado um evento com ID 1104 (Event log rollover) e a gravação é retomada.
  • Log Properties

 Uma coisa não muito boa é que os números dos eventos (event ID) foram alterados de uma versão para outra. Então, fique ciente disso se você for fazer alguma correlação entre sistemas de versões diferentes.

Essa foi uma Visão Geral do Event Viewer do Windows Server 2008, e agora vamos configurar as Definições de Auditoria em Pastas.

Vamos auditar uma pasta de dados como exemplo.

Primeiramente entramos nas propriedades da pasta e selecionamos a aba “Security” (Figura1.0)

Security

Figura 1.0

Advanced Clicamos agora no botão Advanced conforme é exibido na Figura 1.0 e na tela “Advanced Security Settings” selecionamos a aba “Auditing”, Clique no botão “Continue”  Se você receber essa tela (Figura 1.1)

Figura 1.1

Figura 1.1

Auditing (Figura 1.2) Agora clique no botão “Add…” e adicione usuários ou grupos a serem auditados nesta pasta. Nesse caso vou adicionar o grupo “Everyone” (Todos). (Figura 1.3)

Auditing

Figura 1.2

Add User/Group

Figura 1.3

 

Auditing Entry Ao clicar em OK será exibido a seguinte tela (Figura 1.4) Onde iremos marcar quais ações efetuadas pelos usuários devem ser auditadas.

Figura 1.4

Figura 1.4

 

Dê “Ok” e “Apply” até fechar todas as janelas.

Detalhe: Os Logs de auditoria têm a tendência de ficar muito grandes com muita rapides, portanto, a regra de ouro da auditoria é configurar o mínimo necessário. A especificação dos êxitos e das falhas de auditoria em uma pasta de dados ativa para o grupo Todos utilizando o Controle Total (Todas as Permissões) geraria logs enormes de auditoria que afetariam  o desempenho do servidor, e poderiam tornar impossivel a localização de um evento auditado especifico.

Vamos agora aplicar a Auditoria via GPO utilizando o GPMC (Group Policy Management Console) Este que já vem instalado no Windows 2008.
A Configuração das entradas de auditoria no descritor de segurança de um arquivo ou pasta não permite, por si só, a auditoria. A auditoria deve ser ativada por meio de uma diretiva.

Para abrir o GPMC clique em “Start”, “Administrative Tools” e Selecione “Group Policy Management” (Figura 1.5)

Figura 1.5

Figura 1.5

GPMC No GPMC vamos criar uma nova GPO clicando com o botão direito sobre “Group Policy Objects” e Selecionando “New” (Figura 1.6)

 

Figura 1.8

Figura 1.6

 

New GPO Vamos simplismente dar 1 nome para a GPO e clicar em OK

 New GPO

 

Edit Agora vamos editar a GPO de acordo com a imagem (Figura 1.7)

Figura 1.7

Figura 1.7

 

Group Policy Management Editor  (Figura 1.8)Para configurar a Auditoria na GPO siga os caminhos:
-Computer Configuration > Policies > Windows Settings > Security Settings > Local Policy > Audit Policy

Figura 1.8

Figura 1.8

 

Audit Directory service access Clicando 2x sobre “Audit Directory service access” para abrir as suas propriedades vamos deixa-la como na imagem (Figura 1.9) e clique em OK. E pode fechar o “Group Policy Management Editor”

Figura 1.9

Figura 1.9

 

De volta ao GPMC vamos agora clicar com o direito sobre o nome do noso dominio onde desejamos ativar a GPO e selecionar “Link an Existing GPO” (Figura 2.0) ou também diretamente em algum OU especifica onde se encontram as contas de computadores.

 

Figura 2.0

Figura 2.0

 

Select GPO Agora vamos selecionar a GPO clicando sobre o seu respectivo nome e depois em OK. (Figura 2.1)

Figura 2.1

Figura 2.1

 Pronto, agora tudo que foi configurado para ser auditado na pasta e na diretiva será registrado no Log “Security” no “Event Viewer”.

Event Viewer

 

 Por enquanto é isso.

comentários
  1. Luan Licidonio Bez disse:

    Cara, muito bom se forum, estou aprendendo muito. mas muito mesmo contigo. Mas eu estou com um problema. Criei a auditória e defini logs para (“Criação,exclusão,logon e logoff”) todas com exito e falha. O problema é que a unica auditoria que esta funncionando é a de logon e logoff as outras estão falhando.

    Pode me ajudar ou outra pessoa do forum?

    Att,

    Luan Licidonio Bez

  2. Almeida jose disse:

    sem comentario.!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

  3. Fabio disse:

    Em um servidor de arquivos que será auditado, faz parte do domínio mas não é o DC, onde serão feitas essas as configurações? Onde o log será gerado, no DC ou no servidor de arquivos?

  4. victor disse:

    não sei se não entendi o propósito do tutorial mas eu queria registrar somente quando alguém deletar algo aparecer quem foi, nos logs só apareceu até agora informações de logon, fiz um teste deletando um arquivo e não apareceu no log.
    estou auditando a pasta ORG e deletei um arquivo na sub-pasta CPD

Deixe uma resposta

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s