Guia Passo a Passo de Poltica de Auditoria de Segurana Avanada

Este tpico ainda no foi avaliado como - Avalie este tpico Atualizado: junho de 2011 Aplica-se a: Windows Server 2008, Windows Server 2008 R2 Sobre este guia

Melhorias na auditoria de segurana no Windows Server 2008 R2 e no Windows 7 podem ajudar sua organizao a fazer a auditoria da conformidade com importantes regras relacionadas a negcio e segurana, acompanhando atividades precisamente definidas, como:

Um administrador de grupo modificou configuraes ou dados em servidores que contm informaes financeiras. Um funcionrio em um grupo definido acessou um arquivo importante. A SACL (lista de controle de acesso do sistema) correta aplicada a todos os arquivos e pastas ou chave do Registro em um computador ou compartilhamento de arquivos como uma garantia verificvel contra o acesso no detectado.

No Windows 7 e no Windows Server 2008 R2, o nmero de configuraes de auditoria para as quais o xito e a falha podem ser acompanhados aumentou para 53. Anteriormente, havia nove configuraes bsicas de auditoria em Configurao do Computador\Polticas\Configuraes do Windows\Configuraes de Segurana\Polticas Locais\Poltica de Auditoria. Essas 53 novas configuraes permitem que voc selecione apenas os comportamentos que deseja monitorar e exclua resultados de auditoria para comportamentos que representam pouca ou nenhuma preocupao para voc ou comportamentos que criam um nmero excessivo de entradas de log. Alm disso, como a poltica de auditoria de segurana do Windows 7 e do Windows Server 2008 R2 pode ser aplicada com a Poltica de Grupo de domnio, as configuraes de poltica de auditoria pode ser modificadas, testadas e implantadas com relativa simplicidade para usurios e grupos selecionados. Este guia passo a passo demonstra o processo de configurao de uma infraestrutura avanada de poltica de auditoria de segurana do Windows 7 e do Windows Server 2008 R2 em um ambiente de teste. Ele tambm orienta voc ao longo do processo de definio de algumas configuraes de poltica de auditoria de segurana avanadas representativas. Quando voc concluir essas tarefas iniciais, altamente recomendvel usar os procedimentos deste guia para escolher, configurar, aplicar e avaliar configuraes de segurana de poltica de auditoria adicionais.

Durante esse processo, voc criar um domnio do Active Directory, instalar o Windows Server 2008 R2 em um servidor membro, instalar o Windows 7 em um computador cliente e definir novas configuraes avanadas de poltica de auditoria de segurana, incluindo a auditoria de acesso a objetos globais. Alm disso, este documento o orientar ao longo do exame de novos dados de "razo para acesso" disponveis com o uso de vrias novas configuraes de poltica de auditoria. Ao concluir, voc poder usar esse ambiente de teste para aplicar diferentes conjuntos de configuraes de poltica de auditoria de segurana avanadas do Windows Server 2008 R2 e avaliar como eles podem ser usados para aumentar a segurana em sua organizao. Depois de concluir as etapas deste guia, voc poder:

Criar e aplicar configuraes de poltica de auditoria avanadas para um grupo definido de computadores em sua organizao. Verificar se as configuraes de poltica de auditoria so aplicadas a um grupo definido de computadores clientes em sua organizao. Usar os novos dados de eventos de segurana de "razo para acesso" para identificar as permisses usadas para determinar se determinado evento de segurana foi disparado. Configurar, aplicar e analisar o impacto de diferentes configuraes de polticas de auditoria para identificar as configuraes que so importantes para sua organizao. Gerenciar a auditoria por usurio no Windows 7 e no Windows Server 2008 R2.

Implantando configuraes de poltica de auditoria avanadas em um ambiente de teste

Aps concluir este guia passo a passo, voc obter uma infraestrutura avanada de auditoria de segurana funcional. Voc poder ento testar e aprender sobre as configuraes de poltica de auditoria de segurana avanadas adicionais fazendo logon em CONTOSO-CLNT e verificando se a poltica de auditoria correta est sendo aplicada ao computador. Importante Recomendamos que voc use primeiro os procedimentos deste guia em um ambiente de laboratrio de teste. Os guias passo a passo no se destinam a serem usados para implantar recursos do Windows sem planejamento e documentao de implantao adicionais. O ambiente de teste descrito neste guia inclui trs computadores que esto conectados a uma rede privada e usam os sistemas operacionais, aplicativos e servios a seguir. Nome do computador Sistema operacional Aplicativos e servios

Windows Server 2008 R2 CONTOSODC Observao O Windows Server 2008 ou o Windows Server 2003 com Service Pack 2 (SP2) tambm pode ser usado no controlador de domnio. Windows Server 2008 R2 Windows 7 CONTOSOCLNT Observao O Windows Server 2008 R2 tambm pode ser usado como computador cliente. AD DS (Servios de Domnio Active Directory) e DNS (Sistema de Nomes de Domnio)

CONTOSOSRV

GPMC (Console de Gerenciamento de Poltica de Grupo)

Observao Para obter mais informaes sobre a compatibilidade e os requisitos do sistema operacional, consulte o artigo sobre Que verses do Windows oferecem suporte Configurao de Poltica de Auditoria Avanada?. Os computadores formam uma intranet privada e esto conectados por meio de um hub comum ou de um comutador de Camada 2. Essa configurao pode ser emulada em um ambiente de mquina virtual, se desejado. Este guia passo a passo usa endereos privados em toda a configurao do laboratrio de teste. A ID 10.0.0.0/24 de rede privada usada para a intranet. O controlador de domnio para o domnio contoso.com se chama CONTOSO-DC. A figura a seguir mostra a configurao do ambiente de teste.

Etapas para a implantao de polticas de auditoria avanadas em um ambiente de teste

Conclua as etapas a seguir para implantar configuraes de poltica de auditoria avanadas em um ambiente de teste.

Etapa 1: configurando a infraestrutura Etapa 2: criando e verificando uma poltica de auditoria avanada Etapa 3: criando e verificando uma poltica de auditoria que fornece a razo para o acesso a objetos Etapa 4: criando e verificando uma poltica de acesso a objetos globais Etapa 5: criando e verificando polticas de auditoria avanadas adicionais Seo opcional: reverter a poltica de auditoria de segurana de Poltica de Auditoria Avanada para poltica de auditoria bsica Etapa 1: configurando a infraestrutura

Para preparar o ambiente de teste no domnio CONTOSO, voc deve concluir as seguintes tarefas:

Configurar o controlador de domnio (CONTOSO-DC). Configurar o servidor membro (CONTOSO-SRV). Configurar o computador cliente (CONTOSO-CLNT).

Use a tabela a seguir como referncia ao configurar nomes de computador, sistemas operacionais e configuraes de rede adequados que so necessrios para concluir as etapas deste guia. Importante Antes de configurar os computadores com endereos IP estticos, recomendvel concluir primeiro duas tarefas importantes que exigem conectividade com a Internet: conclua a ativao do produto do Windows e use o Windows Update para obter e instalar quaisquer atualizaes de segurana crticas disponveis. Nome do Requisito do sistema Configuraes de Configuraes IP computador operacional DNS Endereo IP: Windows Server 2008 R2, 10.0.0.1 Configurado pela CONTOSO- Windows Server 2008 ou funo de servidor DC Windows Server 2003 com DNS Mscara de subService Pack 2 (SP2) rede: 255.255.255.0 Endereo IP: 10.0.0.2 CONTOSOPreferencial: Windows Server 2008 R2 SRV 10.0.0.1 Mscara de subrede: 255.255.255.0 CONTOSO- Windows 7 ou Windows Preferencial: Endereo IP: CLNT Server 2008 R2 10.0.0.1

10.0.0.3 Mscara de subrede: 255.255.255.0 Configurar o controlador de domnio (CONTOSO-DC)

Dependendo de seu ambiente, voc pode avaliar as configuraes de poltica de auditoria em um domnio do Windows Server 2008 R2, do Windows Server 2008 ou do Windows Server 2003. Para este guia, usamos um domnio do Windows Server 2008 R2. Observao Para mais informaes sobre os requisitos do sistema operacional, consulte o artigo sobre Novidades na Auditoria de Segurana do Windows. Para configurar o controlador de domnio CONTOSO-DC executando o Windows Server 2008 R2, voc deve:

Instalar o Windows Server 2008 R2. Configurar as propriedades de TCP/IP. Instalar o AD DS. Criar uma UO (unidade organizacional) de Finanas.

Primeiro, instale o Windows Server 2008 R2 em um servidor autnomo. Para instalar o Windows Server 2008 R2

1. Inicie o computador usando o CD do produto do Windows Server 2008 R2. 2. Quando o nome do computador for solicitado, digite CONTOSO-DC. 3. Siga o restante das instrues exibidas na tela para concluir a instalao. Em seguida, configure as propriedades do TCP/IP para que CONTOSO-DC tenha o endereo IP esttico IPv4 10.0.0.1. Para configurar as propriedades de TCP/IP

1. Faa logon em CONTOSO-DC com a conta CONTOSO-DC\Administrador. 2. Clique em Iniciar, Painel de Controle, Rede e Internet, Central de Rede e Compartilhamento, Alterar Configuraes do Adaptador, clique com o boto direito do mouse em Conexo Local e clique em Propriedades. 3. Na guia Rede, clique em Protocolo IP Verso 4 (TCP/IPv4) e em Propriedades.

4. Clique em Usar o seguinte endereo IP. Na caixa Endereo IP, digite 10.0.0.1. Na caixa Mscara de sub-rede, digite 255.255.255.0. Na caixa Gateway padro, digite 10.0.0.1. 5. Na caixa Servidor DNS Preferencial, digite 10.0.0.1 e clique em OK. 6. Na guia Rede , desmarque a caixa de seleo Protocolo IP Verso 6 (TCP/IPv6) e clique em Fechar. Em seguida, configure o computador como um controlador de domnio executando o Windows Server 2008 R2. Para configurar CONTOSO-DC como um controlador de domnio executando o Windows Server 2008

1. Clique em Iniciar e em Executar. Na caixa Abrir, digite dcpromo e clique em OK. 2. Na pgina Assistente de Instalao dos Servios de Domnio Active Directory, clique em Avanar e em Avanar novamente. 3. Clique em Criar um novo domnio em uma nova floresta e em Avanar. 4. Na caixa FQDN do domnio raiz da floresta, digite contoso.com e clique em Avanar. 5. Mantenha o valor padro na caixa Nome NetBIOS do domnio e clique em Avanar. 6. Na lista Nvel funcional da floresta, clique em Windows Server 2003 e em Avanar. 7. Na lista Nvel funcional do domnio, clique em Windows Server 2003 e em Avanar. 8. Verifique se a caixa de seleo Servidor DNS est marcada e clique em Avanar. 9. Clique em Sim, confirmando que deseja criar uma delegao para esse servidor DNS. 10. Na pgina Local de Banco de Dados, Arquivos de Log e SYSVOL, clique em Avanar. 11. Nas caixas Senha e Confirmar senha, digite uma senha forte e clique em Avanar. 12. Na pgina Resumo, clique em Avanar para iniciar a instalao. 13. Quando a instalao estiver concluda, clique em Concluir e em Reiniciar Agora. Observao Voc deve reiniciar o computador aps concluir este procedimento. Para criar uma UO de Finanas em contoso.com

1. Faa logon em CONTOSO-DC com a conta CONTOSO-DC\Administrador. 2. Clique em Iniciar e em Painel de Controle, clique duas vezes em Ferramentas Administrativas e clique duas vezes em Usurios e Computadores do Active Directory. 3. Na rvore de console, clique com boto direito do mouse em contoso.com, aponte para Novo e clique em Unidade Organizacional.

4. Digite o nome da nova UO, Finanas, e clique em OK. Configurar o servidor membro do Windows Server 2008 R2 (CONTOSO-SRV)

Para configurar o servidor membro, CONTOSO-SRV, necessrio:

Instalar o Windows Server 2008 R2. Configurar as propriedades de TCP/IP. Adicionar CONTOSO-SRV ao domnio contoso.com. Adicionar CONTOSO-SRV UO Finanas. Instalar o GPMC.

Em primeiro lugar, instale o Windows Server 2008 R2 como um servidor autnomo. Para instalar o Windows Server 2008 R2

1. Inicie o computador usando o CD do produto do Windows Server 2008 R2. 2. Quando o nome do computador for solicitado, digite CONTOSO-SRV. 3. Siga o restante das instrues exibidas na tela para concluir a instalao. Em seguida, configure as propriedades do TCP/IP para que CONTOSO-SRV tenha o endereo IP esttico 10.0.0.2. Alm disso, configure o servidor DNS usando o endereo IP de CONTOSO-DC (10.0.0.1). Para configurar as propriedades de TCP/IP

1. Faa logon em CONTOSO-SRV com a conta CONTOSO-SRV\Administrador ou com outra conta de usurio no grupo local Administradores. 2. Clique em Iniciar e em Painel de Controle, clique duas vezes em Centro de Rede e Compartilhamento, clique em Gerenciar Conexes de Rede, clique com o boto direito do mouse em Conexo Local e clique em Propriedades. 3. Na guia Rede, clique em Protocolo IP Verso 4 (TCP/IPv4) e em Propriedades. 4. Clique em Usar o seguinte endereo IP. Na caixa Endereo IP, digite 10.0.0.2. Na caixa Mscara de sub-rede, digite 255.255.255.0. Na caixa Gateway padro, digite 10.0.0.1. 5. Clique em Usar os seguintes endereos de servidor DNS. Em Servidor DNS preferencial, digite 10.0.0.1. 6. Clique em OK e em Fechar para fechar a caixa de dilogo Propriedades da Conexo Local. Em seguida, adicione CONTOSO-SRV ao domnio contoso.com. Para adicionar CONTOSO-SRV ao domnio contoso.com

1. Clique em Iniciar, clique com o boto direito do mouse em Computador e clique em Propriedades. 2. Clique em Alterar configuraes ( direita sob Nome do computador, domnio e configuraes de grupo de trabalho) e clique em Alterar. 3. Na caixa de dilogo Alteraes de Nome/Domnio do Computador, clique em Domnio e digite contoso.com. 4. Clique em Mais e, na caixa Sufixo DNS primrio deste computador, digite contoso.com. 5. Clique em OK e em OK novamente. 6. Quando a caixa de dilogo Alteraes de Nome/Domnio do Computador for exibida solicitando credenciais administrativas, fornea as credenciais de CONTOSO\Administrador e clique em OK. 7. Quando a caixa de dilogo Alteraes de Nome/Domnio do Computador for exibida dando as boas-vindas ao domnio contoso.com, clique em OK. 8. Quando a caixa de dilogo Alteraes de Nome/Domnio do Computador for exibida informando que o computador deve ser reiniciado, clique em OK e, em seguida, em Fechar. 9. Clique em Reiniciar Agora. Depois que o computador for reiniciado, adicione CONTOSO-SRV UO Finanas. Para adicionar um computador UO Finanas

1. Faa logon em CONTOSO-DC com a conta CONTOSO-DC\Administrador. 2. Clique em Iniciar e em Painel de Controle, clique duas vezes em Ferramentas Administrativas e clique duas vezes em Usurios e Computadores do Active Directory. 3. Na rvore de console, clique com boto direito do mouse em contoso.com. 4. Na rvore de console, clique com boto direito do mouse na UO Finanas, aponte para Novo e clique em Grupo. 5. Digite o nome do novo grupo, Computadores. Em Escopo do grupo, clique em Domnio local e, em Tipo de grupo, clique em Grupo de segurana. 6. Clique com o boto direito do mouse em Computadores e, em seguida, clique em Propriedades. Na guia Membros, clique em Adicionar. 7. Em Digite os nomes de objeto a serem selecionados, digite CONTOSO-SRV e clique em OK. Finalmente, instale o GPMC em CONTOSO-SRV usando o Gerenciador de Servidores. Isso ser usado para definir as configuraes de poltica de auditoria de segurana avanadas. Para instalar o GPMC

1. Faa logon em CONTOSO-SRV como membro do grupo local Administradores.

2. Clique em Iniciar, aponte para Ferramentas Administrativas e clique em Gerenciador de Servidores. 3. Em Resumo dos Recursos, clique em Adicionar Recursos. 4. Marque a caixa de seleo Gerenciamento de Poltica de Grupo e clique em Instalar. 5. Feche o Gerenciador de Servidores. Configurar o computador cliente (CONTOSO-CLNT)

Para configurar CONTOSO-CLNT, necessrio:

Instalar o Windows 7. Configurar as propriedades de TCP/IP. Adicionar CONTOSO-CLNT ao domnio contoso.com.

Para instalar o Windows 7

1. Inicie o computador usando o CD do produto do Windows 7. 2. Siga as instrues na tela e, quando for solicitado o nome do computador, digite CONTOSO-CLNT. Em seguida, configure as propriedades do TCP/IP para que CONTOSO-CLNT tenha o endereo IP esttico 10.0.0.3. Alm disso, configure o servidor DNS de CONTOSO-DC (10.0.0.1). Para configurar as propriedades de TCP/IP

1. Faa logon em CONTOSO-CLNT com a conta CONTOSOCLNT\Administrador ou com outra conta de usurio no grupo local Administradores. 2. Clique em Iniciar, Painel de Controle, Rede e Internet e Central de Redes e Compartilhamento. 3. Clique em Alterar as configuraes do adaptador, clique com o boto direito do mouse em Conexo Local e clique em Propriedades. 4. Se a caixa de dilogo Controle de Conta de Usurio aparecer, confirme se a ao exibida a desejada e clique em Sim. 5. Na guia Rede, clique em Protocolo IP Verso 4 (TCP/IPv4) e em Propriedades. 6. Clique em Usar o seguinte endereo IP. Em Endereo IP, digite 10.0.0.3. Em Mscara de sub-rede, digite 255.255.255.0. 7. Clique em Usar os seguintes endereos de servidor DNS. Em Servidor DNS preferencial, digite 10.0.0.1. 8. Clique em OK e em Fechar para fechar a caixa de dilogo Propriedades da Conexo Local. Em seguida, adicione CONTOSO-CLNT ao domnio contoso.com.

Para adicionar CONTOSO-CLNT ao domnio contoso.com

1. Clique em Iniciar, clique com o boto direito do mouse em Computador e clique em Propriedades. 2. Em Nome do computador, domnio e configuraes de grupo de trabalho, clique em Alterar configuraes. 3. Se a caixa de dilogo Controle de Conta de Usurio aparecer, confirme se a ao exibida a desejada e clique em Sim. 4. Na guia Nome do Computador, clique em Alterar. 5. Na caixa de dilogo Alteraes de Nome/Domnio do Computador, clique em Domnio e digite contoso.com. 6. Clique em Mais e, na caixa Sufixo DNS primrio deste computador, digite contoso.com. 7. Clique em OK e em OK novamente. 8. Quando a caixa de dilogo Alteraes de Nome/Domnio do Computador for exibida solicitando credenciais administrativas, fornea as credenciais e clique em OK. 9. Quando a caixa de dilogo Alteraes de Nome/Domnio do Computador for exibida dando as boas-vindas ao domnio contoso.com, clique em OK. 10. Quando a caixa de dilogo Alteraes de Nome/Domnio do Computador for exibida informando que o computador deve ser reiniciado, clique em OK e, em seguida, em Fechar. 11. Na caixa de dilogo Alterao das Configuraes do Sistema, clique em Sim para reiniciar o computador. Etapa 2: criando e verificando uma poltica de auditoria avanada

As nove polticas de auditoria bsicas em Configurao do Computador\Polticas\Configuraes do Windows\Configuraes de Segurana\Polticas Locais\Poltica de Auditoria permitem definir configuraes de poltica de auditoria de segurana para amplos conjuntos de comportamentos, alguns dos quais geram muitos mais eventos de auditoria do que outros. Um administrador precisa examinar todos os eventos gerados, sejam eles de interesse ou no. No Windows Server 2008 R2 e no Windows 7, os administradores podem fazer auditoria em aspectos mais especficos do comportamento do cliente no computador ou na rede, o que facilita a identificao dos comportamentos de maior interesse. Por exemplo, em Configurao do Computador\Polticas\Configuraes do Windows\Configuraes de Segurana\Polticas Locais\Poltica de Auditoria, h apenas uma configurao de poltica para eventos de logon, Auditoria de eventos de logon. Em Configurao do Computador\Polticas\Configuraes do Windows\Configuraes de Segurana\Configurao Avanada de Diretiva de Auditoria\Polticas de Auditoria do Sistema, voc pode optar entre oito diferentes configuraes de poltica na categoria Logon/Logoff. Isto proporciona um controle mais detalhado dos aspectos de logon e logoff que voc pode acompanhar. Uma poltica de domnio padro gerada automaticamente quando um novo domnio criado. Nesta seo, vamos editar a poltica de domnio padro e adicionar uma

configurao de poltica de auditoria de segurana avanada que as faz uma auditoria quando um usurio faz logon, com ou sem xito, em um computador no domnio CONTOSO. Para configurar, aplicar e validar uma configurao de poltica de auditoria de logon de domnio avanada, voc deve:

Definir uma configurao de poltica de logon de domnio avanada. Verificar se as configuraes da Configurao de Poltica de Auditoria Avanada no foram substitudas. Atualizar as configuraes de Poltica de Grupo. Verificar se as configuraes de poltica de auditoria de segurana de logon avanadas foram aplicadas corretamente.

Para definir uma configurao de poltica de auditoria de logon de domnio avanada

1. Faa logon em CONTOSO-SRV como membro do grupo local Administradores. 2. Clique em Iniciar, aponte para Ferramentas Administrativas e clique em Gerenciamento de Diretiva de Grupo. 3. Na rvore de console, clique duas vezes em Floresta: contoso.com, clique duas vezes em Domnios e clique duas vezes em contoso.com. 4. Clique com o boto direito do mouse em Diretiva de Domnio Padro e clique em Editar. 5. Clique duas vezes em Configurao do Computador, clique duas vezes em Polticas e clique duas vezes em Configuraes do Windows. 6. Clique duas vezes em Configuraes de Segurana, clique duas vezes em Configurao Avanada de Diretiva de Auditoria e clique duas vezes em Polticas de Auditoria do Sistema. 7. Clique duas vezes em Logon/Logoff e clique duas vezes em Logon. 8. Marque a caixa de seleo Configurar estes eventos de auditoria, marque a caixa de seleo xito, marque a caixa de seleo Falha e clique em OK. Ao usar configuraes da Configurao de Poltica de Auditoria Avanada, voc precisa confirmar que essas configuraes no foram substitudas pelas configuraes bsicas de poltica de auditoria. O procedimento a seguir mostra como evitar conflitos, bloqueando a aplicao de quaisquer configuraes de poltica de auditoria bsicas. Para garantir que as configuraes da Configurao de Poltica de Auditoria Avanada no foram substitudas

1. Em CONTOSO-SRV, clique em Iniciar, aponte para Ferramentas Administrativas e clique em Gerenciamento de Diretiva de Grupo. 2. Na rvore de console, clique duas vezes em Floresta: contoso.com, clique duas vezes em Domnios e clique duas vezes em contoso.com.

3. Clique com o boto direito do mouse em Diretiva de Domnio Padro e clique em Editar. 4. Clique duas vezes em Configurao do Computador, clique duas vezes em Polticas e clique duas vezes em Configuraes do Windows. 5. Clique duas vezes em Configuraes de Segurana e clique em Opes de Segurana. 6. Clique duas vezes em Auditoria: forar configuraes de subcategorias de diretivas de auditoria (Windows Vista ou superior) para substituir configuraes de categorias de diretivas de auditoria e clique em Definir esta configurao de poltica. 7. Clique em Habilitado e em OK. Para verificar a funcionalidade de configuraes de poltica de auditoria de segurana avanadas no domnio contoso.com, voc far logon no CONTOSO-CLNT como administrador do domnio contoso.com e verificar se as configuraes de Poltica de Grupo foram aplicadas. Para atualizar as configuraes de Poltica de Grupo.

1. Faa logon em CONTOSO-CLNT como CONTOSO\Administrador. 2. Clique em Iniciar, aponte para Todos os Programas, clique em Acessrios, clique com o boto direito do mouse em Prompt de Comando e, em seguida, clique em Executar como administrador. 3. Se a caixa de dilogo Controle de Conta de Usurio aparecer, confirme se a ao exibida a desejada e clique em Sim. 4. Digite gpupdate e pressione ENTER. Depois que as configuraes de Poltica de Grupo forem aplicadas, voc poder verificar se as configuraes de poltica de auditoria foram aplicadas corretamente. Para verificar se as configuraes de poltica de auditoria de segurana de logon avanadas foram aplicadas corretamente

1. Faa logon em CONTOSO-CLNT como CONTOSO\Administrador. 2. Clique em Iniciar, aponte para Todos os Programas, clique em Acessrios, clique com o boto direito do mouse em Prompt de Comando e, em seguida, clique em Executar como administrador. 3. Se a caixa de dilogo Controle de Conta de Usurio aparecer, confirme se a ao exibida a desejada e clique em Sim. 4. Digite auditpol.exe /get /category:* e pressione ENTER. 5. Verifique se xito, Falha ou xito e Falha so mostrados direita de Logon. Etapa 3: criando e verificando uma poltica de auditoria que fornece a razo para o acesso a objetos

Uma das necessidades de auditoria mais comuns acompanhar o acesso a determinado arquivo ou pasta. Por exemplo, pode ser necessrio identificar uma atividade como, por

exemplo, quando um usurio grava em um arquivo ao qual no deveria ter tido acesso. Habilitando a auditoria "razo para acesso", alm de poder acompanhar esse tipo de atividade, voc tambm poder identificar a entrada de controle de acesso exata que permitiu o acesso indesejado, o que pode simplificar significativamente a tarefa de modificar as configuraes de controle de acesso para impedir o acesso indesejado a objetos de forma semelhante no futuro. Para configurar, aplicar e validar uma razo para a poltica de acesso a objetos, voc deve:

Configurar a poltica de auditoria do sistema de arquivos. Habilitar a auditoria para um arquivo ou pasta. Habilitar a poltica de auditoria de manipulao de identificador. Verificar se as configuraes da Configurao de Poltica de Auditoria Avanada no foram substitudas. Atualizar as configuraes de Poltica de Grupo. Examinar e verificar a razo para os dados de auditoria de acesso.

Para configurar a poltica de auditoria do sistema de arquivos

1. Faa logon em CONTOSO-SRV como membro do grupo local Administradores. 2. Clique em Iniciar, aponte para Ferramentas Administrativas e clique em Gerenciamento de Diretiva de Grupo. 3. Na rvore de console, clique duas vezes em Floresta: contoso.com, clique duas vezes em Domnios e clique duas vezes em contoso.com. 4. Clique com o boto direito do mouse em Diretiva de Domnio Padro e clique em Editar. 5. Clique duas vezes em Configurao do Computador, clique duas vezes em Polticas e clique duas vezes em Configuraes do Windows. 6. Clique duas vezes em Configuraes de Segurana, clique duas vezes em Configurao Avanada de Diretiva de Auditoria e clique duas vezes em Polticas de Auditoria do Sistema. 7. Clique duas vezes em Acesso a Objeto e clique duas vezes em Sistema de Arquivos. 8. Marque a caixa de seleo Configurar os eventos a seguir e marque as caixas de seleo xito, Falha ou xito e Falha. 9. Clique em OK. A poltica de auditoria do sistema de arquivos s usada para monitorar objetos para os quais SACLs de auditoria foram configuradas. O procedimento a seguir mostra como configurar a auditoria para um arquivo ou pasta. Para habilitar a auditoria para um arquivo ou pasta

1. Faa logon em CONTOSO-CLNT como membro do grupo local Administradores. 2. Crie uma nova pasta ou documento .txt. 3. Clique com o boto direito do mouse no novo objeto, clique em Propriedades e clique na guia Segurana. 4. Clique em Avanado e clique na guia Auditoria. 5. Se a caixa de dilogo Controle de Conta de Usurio aparecer, confirme se a ao exibida a desejada e clique em Sim. 6. Clique em Adicionar, digite um nome de usurio ou nome de computador no formato contoso\usurio1 e clique em OK. 7. Na caixa de dilogo Entradas de Auditoria para, selecione as permisses das quais voc deseja fazer auditoria, como Controle Total ou Excluir. 8. Clique em OK quatro vezes para concluir a configurao da SACL do objeto. No Windows 7 e no Windows Server 2008 R2, a razo pela qual algum teve o acesso concedido ou negado adicionada ao evento de identificador aberto. Assim, os administradores podem entender por que algum pde abrir um arquivo, pasta ou compartilhamento de arquivos para um acesso especfico. Para ativar essa funcionalidade, a poltica de auditoria de manipulao de identificador tambm precisa ser habilitada, para que eventos de xito registrem tentativas de acesso que foram permitidas e eventos de falha registrem tentativas de acesso que foram negadas. Para habilitar a poltica de auditoria de manipulao de identificador

1. Faa logon em CONTOSO-SRV como membro do grupo local Administradores. 2. Clique em Iniciar, aponte para Ferramentas Administrativas e clique em Gerenciamento de Diretiva de Grupo. 3. Na rvore de console, clique duas vezes em Floresta: contoso.com, clique duas vezes em Domnios e clique duas vezes em contoso.com. 4. Clique duas vezes na UO Finanas, clique com o boto direito do mouse em Poltica de Auditoria de Finanas e clique em Editar. 5. Clique duas vezes em Configurao do Computador, clique duas vezes em Polticas e clique duas vezes em Configuraes do Windows. 6. Clique duas vezes em Configuraes de Segurana, clique duas vezes em Configurao Avanada de Diretiva de Auditoria e clique duas vezes em Polticas de Auditoria do Sistema. 7. Clique duas vezes em Acesso a Objeto, clique com o boto direito do mouse em Manipulao de Identificador e clique em Propriedades. 8. Marque a caixa de seleo Configurar estes eventos de auditoria, marque as caixas de seleo xito e Falha e clique em OK. Aps criar esta poltica de auditoria, confirme se essas configuraes de poltica de auditoria avanadas no podem ser substitudas. Para obter mais informaes, consulte o procedimento "Para garantir que as configuraes da Configurao de Poltica de Auditoria Avanadas no sejam substitudas" na seo Etapa 2: criando e verificando uma poltica de auditoria avanada.

Em seguida, aplique as atualizaes da Poltica de Grupo usando o procedimento "Para atualizar as configuraes de Poltica de Grupo" na seo Etapa 2: criando e verificando uma poltica de auditoria avanada. Depois que as configuraes de Poltica de Grupo atualizadas forem aplicadas, faa logon e logoff de CONTOSO-CLNT e conclua algumas tarefas que geraro a razo para eventos de acesso a objetos. Aps concluir essas etapas, voc poder examinar os dados de auditoria que fornecem a razo para o acesso. Para examinar e verificar a razo para os dados de auditoria de acesso

1. Em CONTOSO-CLNT, clique em Iniciar, aponte para Ferramentas Administrativas e clique em Visualizador de Eventos. 2. Clique em Logs do Windows e em Segurana. 3. No painel Aes, clique em Limpar Log. 4. Localize o arquivo ou pasta que voc configurou no procedimento de acesso a objeto de nvel de domnio e modifique o arquivo ou pasta usando as permisses que voc configurou para a conta de usurio. 5. Volte para o Visualizador de Eventos e, no painel Aes, clique em Atualizar. 6. Na coluna ID do Evento, clique em um ou mais eventos intitulado 4656, role para baixo at a seo Informaes de Solicitao de Acesso e confirme as permisses que foram usadas para executar a tarefa. Etapa 4: criando e verificando uma poltica de acesso a objetos globais

Uma poltica de auditoria de acesso a objetos globais pode ser usada para impor uma poltica de auditoria de acesso a objetos a um computador, compartilhamento de arquivos ou Registro sem a necessidade de configurar e propagar SACLs convencionais. A configurando e propagao SACLs uma tarefa administrativa mais complexa e difcil de verificar, particularmente se voc precisar verificar para um auditor que a poltica de segurana est sendo imposta. Usando uma poltica de auditoria de acesso a objetos globais, voc pode impor uma poltica de segurana, como "Registrar toda a atividade administrativa de Gravao em servidores que contenham informaes de Finanas", e verificar se ativos crticos esto sendo protegidos. Nesse caso, voc realizar a auditoria de todas as alteraes feitas nas chaves do Registro por membros de um grupo especfico, em vez de alteraes feitas em objetos do sistema de arquivos. Para configurar, aplicar e validar uma poltica de auditoria de acesso a objetos globais, voc deve:

Configurar uma poltica de auditoria de acesso a objetos globais do domnio. Verificar se as configuraes da Configurao de Poltica de Auditoria Avanada no foram substitudas. Atualizar as configuraes de Poltica de Grupo.

Confirmar se a auditoria de acesso a objetos globais est ocorrendo.

Para configurar uma poltica de auditoria de acesso a objetos globais do domnio

1. Faa logon em CONTOSO-SRV como membro do grupo local Administradores. 2. Clique em Iniciar, aponte para Ferramentas Administrativas e clique em Gerenciamento de Diretiva de Grupo. 3. Na rvore de console, clique duas vezes em Floresta: contoso.com, clique duas vezes em Domnios e clique duas vezes em contoso.com. 4. Clique com o boto direito do mouse em Diretiva de Domnio Padro e clique em Editar. 5. Clique duas vezes em Configurao do Computador, clique duas vezes em Polticas e clique duas vezes em Configuraes do Windows. 6. Clique duas vezes em Configuraes de Segurana, clique duas vezes em Configurao Avanada de Diretiva de Auditoria e clique duas vezes em Polticas de Auditoria do Sistema. 7. Clique duas vezes em Acesso a Objeto e clique duas vezes em Registro. 8. Marque a caixa de seleo Configurar estes eventos, marque as caixas de seleo xito e Falha e clique em OK. 9. Clique duas vezes em Polticas de Acesso a Objetos Globais e clique duas vezes em Registro. 10. Marque a caixa de seleo Definir esta configurao de poltica e clique em Configurar. 11. Na caixa Configuraes de Segurana Avanadas para SACL do Registro, clique em Adicionar. 12. Digite um nome de usurio ou computador no formato contoso\usurio1, usurio1@contoso.com ou CONTOSO-CLNT e clique em OK. 13. Na caixa Configuraes de Segurana Avanadas para SACL do Registro, selecione as atividades com xito ou Falha para as quais voc deseja registrar entradas para auditoria, como, por exemplo, Criar Subchave, Excluir ou Ler. 14. Clique em OK trs vezes para concluir a configurao da poltica de auditoria. Aps criar a poltica de auditoria, confirme se essas configuraes de poltica de auditoria avanadas no podem ser substitudas. Para obter mais informaes, consulte o procedimento "Para garantir que as configuraes da Configurao de Poltica de Auditoria Avanadas no sejam substitudas" na seo Etapa 2: criando e verificando uma poltica de auditoria avanada. Em seguida, aplique as atualizaes da Poltica de Grupo usando o procedimento "Para atualizar as configuraes de Poltica de Grupo" na seo Etapa 2: criando e verificando uma poltica de auditoria avanada. Depois que as configuraes de Poltica de Grupo atualizadas forem aplicadas, faa logon e logoff de CONTOSO-CLNT. Para verificar se a poltica de acesso a objetos globais foi aplicada

1. Abra o Editor do Registro e crie e modifique uma ou mais configuraes do Registro.

2. Excluir um ou mais das configuraes do Registro que voc criou. 3. Abra o Visualizador de Eventos e confirme se suas atividades resultaram em eventos de auditoria, embora voc no tenha definido SACLs de auditoria explcitas nas configuraes do Registro que criou, modificou e excluiu. Etapa 5: criando e verificando polticas de auditoria avanadas adicionais

Agora que voc criou, aplicou e validou os trs tipos bsicos de configuraes de poltica de auditoria de segurana avanadas, continue a identificar e testar configuraes de poltica de auditoria de segurana avanadas adicionais usando os procedimentos bsicos descritos nas sees anteriores. Para identificar configuraes adicionais de interesse potencial para sua organizao, examine as informaes de Novidades na Auditoria de Segurana do Windows. Informaes adicionais esto disponveis em Configurao do Computador\Polticas\Configuraes do Windows\Configuraes de Segurana\Configurao de Poltica de Auditoria Avanada\Polticas de Auditoria do Sistema clicando com o boto direito do mouse nas configuraes individuais, clicando em Propriedades e clicando na guia Explicar. Ao aplicar e testar configuraes adicionais, considere como os dados de eventos de auditoria gerados podem ajud-lo a criar uma rede mais segura. Em particular, considere o seguinte:

As informaes fornecidas por esses eventos de auditoria so teis? So fornecidas informaes suficientes pelos dados de auditoria? So fornecidas informaes demais pelos dados de auditoria? Como posso ajustar estas configuraes de poltica de auditoria para obter apenas as informaes de que necessito?

A auditoria de segurana uma ferramenta crtica e essencial para ajudar a garantir que seus ativos de rede estejam seguros. Voc deve reservar todo o tempo que for necessrio para explorar e entender as novas configuraes de de poltica de auditoria de segurana avanadas do Windows 7 e do Windows Server 2008 R2. Gerenciando a auditoria por usurios no Windows 7 e no Windows Server 2008 R2

As configuraes de poltica de auditoria de segurana no Windows 7 e no Windows Server 2008 R2 podem ser definidas e usadas somente para cada computador, e no para cada usurio. No entanto, existem vrias maneiras de aplicar configuraes de auditoria para usurios especficos:

Quando disponvel, configure as permisses de segurana avanadas no objeto que est sendo submetido a auditoria, para que a poltica de auditoria seja

aplicada apenas a um grupo especfico. Por exemplo, se voc desejar que a configurao de poltica Acesso a Objeto seja aplicada a um arquivo ou pasta, possvel configurar as permisses no arquivo ou pasta para que o acesso a objeto seja acompanhado somente para os indivduos ou grupos que voc especificar. O procedimento intitulado "Para habilitar a auditoria para um arquivo ou pasta", fornecido anteriormente neste documento, descreve como concluir essa tarefa.

Defina e implante configuraes de auditoria por usurio usando um arquivo de texto de poltica de auditoria, um script de logon e a ferramenta da linha de comando Auditpol.exe. Importante A auditoria por usurio com base em scripts de logon s pode ser aplicada a usurios individuais, no a grupos. Voc no pode usar scripts de logon para excluir subcategorias ou categorias de configuraes de poltica de auditoria para administradores.

O procedimento a seguir descreve como criar um arquivo de texto de poltica de auditoria que pode ser implantado usando um script de logon. Para obter mais informaes sobre como usar scripts de logon para implantar uma poltica de auditoria, consulte o artigo 921469 na Base de Dados de Conhecimento Microsoft (http://go.microsoft.com/fwlink/?LinkID=82447). Para criar um arquivo de texto de poltica de auditoria

1. Em um prompt de comando, digite auditpol /set /user:securityprincipalname/category:"subcategoryname" /include /xito ou Falha:enable para adicionar uma configurao de auditoria por usurio. Repita essa etapa para cada subcategoria de poltica de auditoria e usurio ou grupo que voc desejar adicionar ao arquivo de texto de poltica de auditoria. Observao Para obter uma lista de possveis configuraes de auditoria em formato de relatrio, abra uma janela de Prompt de Comando, digite auditpol /list /subcategory:* /r e pressione ENTER. Para obter mais informaes sobre como usar Auditpol, consulte Auditpol set e Auditpol list. 2. Em um prompt de comando, digite auditpol /backup /file: auditpolicyfilename.txt para exportar a poltica. 3. Formate a poltica abrindo auditpolicyfilename.txt e removendo todas as linhas, exceto a primeira linha do texto e as linhas de texto de auditoria por usurio. Observao O texto da poltica de auditoria por usurio estar no formato: ComputerName,S1-XXXX,SubcategoryName,GUID,TextIncludeSettings,TextExcludeSettings,#. As configuraes do sistema estaro no formato: ComputerName,System,SubcategoryName,GUID,TextAuditSettings,#. Alm disso, no deixe de remover as ltimas seis linhas, que contm as configuraes

de opo de auditoria. 4. Quando terminar de criar o arquivo, no menu Arquivo, clique em Salvar como e confirmar se ANSI est selecionado na lista Codificao. Clique em OK. 5. Em um prompt de comando, digite auditpol /restore /file: auditpolicyfilename.txt e pressione ENTER para confirmar se as configuraes de auditoria desejadas esto configuradas. Digite auditpol /list /user e pressione ENTER para listar todos os usurios com as configuraes por usurio de auditoria. 6. Copie o arquivo auditpolicyfilename.txt para o compartilhamento Netlogon do controlador de domnio que contm a funo de emulador de PDC (controlador de domnio primrio) no domnio. Importante No importe polticas de auditoria que contenham configuraes de auditoria por usurio diretamente para um GPO (objeto de Poltica de Grupo). Quando configuraes de auditoria por usurio so implantadas por meio da Poltica de Grupo e no atravs de scripts de logon, conforme descrito neste procedimento, isso pode fazer com que nveis inesperados de eventos de falha apaream em seus logs de auditoria de segurana. Seo opcional: reverter a poltica de auditoria de segurana de Poltica de Auditoria Avanada para poltica de auditoria bsica

A aplicao de configuraes de poltica de auditoria avanadas substitui quaisquer configuraes de poltica de auditoria de segurana bsicas comparveis. Se, posteriormente, alterar a configurao de poltica de auditoria avanada para No configurada, voc precisar concluir as seguintes etapas para restaurar as configuraes de poltica de auditoria de segurana bsicas originais: 1. Defina todas as subcategorias de Poltica de Auditoria Avanada como No configurada. 2. Exclua todos os arquivos .csv da pasta %SYSVOL% no controlador de domnio. 3. Reconfigure e aplique as configuraes de poltica de auditoria bsicas. A menos que voc conclua todas essas etapas, as configuraes de poltica de auditoria bsicas no sero restauradas.