Auditoria de logon no Windows

Server 2008 R2 (pt-BR)

Table of Contents
• Introdução
• Habilitando a auditoria de logon em servidores Stand Alone.
• Habilitando a auditoria de logon em servidores membros de um domínio do Active Directory
• Consultar Logs de Segurança
• Código e Descrição de tipos de logon
• Código e Descrição de tipo de Evento

Introdução
Através do Event Viewer do Windows Server 2008 R2 é possível identificar as tentativas de acesso
(logon) no servidor. Nem sempre tentativas sem sucesso de logon são ataques.
As tentativas sem sucesso (Failure) são registradas somente se forem habilitadas através de uma
politica de auditoria de logon.
Talvez seja interessante Configurar auditoria dos eventos de logon de conta (pt-BR) e caso esteja
habilitando auditoria em servidores com Windows Server Core veja este
artigo: Encaminhando eventos de um Windows Server 2008 R2 Server Core (pt-BR)

Habilitando a auditoria de logon

em servidores Stand Alone.
Clique em Start / Administrative Tools / Local Security Policy
Ou simplesmente digite: Secpol.msc no RUN.
Expandir: Local Policies / Audity Policy

Clique duas vezes em Audit logon events e marque a opção “Failure”

Habilitando a auditoria de logon
em servidores membros de um
domínio do Active Directory
.
Clique em Start / Administrative Tools / Group Policy Management.
Expanda o nó Forest
Expanda o nó Domains
Expanda o domínio e com o lado direito do mouse em “Default Domain Policy” selecione Edit.
No editor:
Em Computer Configuration
Expanda Policies / Windows Settings / Security Settings / Local Policies / Audit Policy.
Clique duas vezes em Audit logon events e marque a opção “Failure”.
Execute o comando : Gpupdate /Force /target:computer para atualizar a politica no domínio.
Com a politica de auditoria de logon habilitada já serão registrados os eventos no LOG de segurança.

Consultar Logs de Segurança

Para consultar os logs clique em:
Start / Administrative Tools / Event Viewer.
No Event Viewer em Windows Logs/ Security é possível verificar os eventos relacionados e quando houver
ocorrência de logon veremos o evento 4625
Os eventos trazem uma serie de informações que descrevem exatamente o que aconteceu, como data,
hora, usuário envolvido e muitas outras informações de simples entendimento e outras baseadas em
códigos.
A seguir uma lista de códigos importantes para o entendimento correto da auditoria de logon.

Código e Descrição de tipos de

logon
LogonType Info Descrição

2 Interactive Um usuário fez logon nesse computador

3 Network Um usuário ou computador fez logon nesse

computador a partir da rede

4 Batch O tipo de logon Batch é usado por servidores batch

quando podem haver processos sendo executados
em nome de um usuário sem a sua intervenção
direta.

5 Service Um serviço foi iniciado pelo Gerenciador de

Controle de Serviços

7 Unlock Essa estação de trabalho foi desbloqueada

8 NetworkCleartext Um usuário fez logon nesse computador a partir da

rede. A senha do usuário foi transmitida ao pacote
de autenticação em sua forma sem hash. Todos os
pacotes de autenticação internos aplicam hash em
credenciais antes de enviá-las pela rede. As
credenciais não precisam atravessar a rede em texto
simples (também conhecido como texto não
criptografado).

9 NewCredentials Um chamador clonou seu token atual e especificou

novas credenciais para conexões de saída. A nova
sessão de logon possui a mesma identidade local,
mas usa credenciais diferentes para outras conexões
de rede.

10 RemoteInteractive Um usuário fez logon nesse computador

remotamente usando serviços de terminal ou área
de trabalho remota

11 CachedInteractive Um usuário fez logon nesse computador com

credenciais de rede que estavam armazenadas
localmente no computador. O controlador do
domínio não foi contatado para verificar as
credenciais
Código e Descrição de tipo de
Evento
A seguinte tabela enumera os tipos de eventos de segurança.

Status E Sub Status Descrição

0xC0000064 O usuário não existe

0xC000006A O nome de usuário existe mas a senha esta errada.

0xC0000234 O usuário está bloqueado

0xC0000072 A conta está desabilitada

0xC000006F Tentou fazer logon com uma conta com restrição de data e hora.

0xC0000070 Estação com restrição

0xC0000193 Conta expirada

0xC0000071 Senha expirada

0xC0000133 Os horários entre o DC e o outro computadores estão fora de

sincronia

0xC0000224 O usuário deve alterar a senha no proximo logon

0xC0000225 BUG no sistema (não é um risco)

0xc000015B O usuário não tem o direito de fazer logon nesse computador.

0xc000006d Problema causado pelo sistema e não está relacionado a segurança