A auditoria do Windows é um recurso capaz de rastrear eventos. Saber quando e onde esses eventos ocorreram e quem os acionou pode ajudar principalmente a identificar falhas de segurança na rede. Também pode ser muito útil para detectar certos tipos de problemas, como atribuições de direitos impróprios no sistema de arquivos.
O planejamento da auditoria do Windows é um passo importante no processo. Os administradores devem ser seletivos na determinação dos objetos a serem auditados porque a auditoria do Windows cria sobrecarga do sistema. Portanto, a auditoria de muitos objetos fará com que o log de segurança fique grande e difícil de gerenciar.
A segurança é uma preocupação cada vez maior em uma rede de computadores. Um plano bem elaborado de segurança nos sistemas não deve incluir apenas as políticas para garantir que os direitos de acesso sejam configurados para os usuários, mas também incluir métodos para verificar se esses direitos estão realmente sendo aplicados adequadamente.
LEIA TAMBÉM:
Como compartilhar impressora na Rede
Como copiar pastas usando o comando Robocopy
Vírus que criptografa arquivos
Políticas de auditoria no Windows
- Auditoria de eventos de logon da conta – Determina se será auditada cada instância de um usuário fazendo logon ou logoff de outro dispositivo no qual este dispositivo é usado para validar a conta.
- Auditoria de gerenciamento de contas – Determina a auditoria de cada evento de gerenciamento de conta em um dispositivo.
- Auditoria do acesso ao serviço de diretório – Determina a auditoria do evento de um usuário que acessa um objeto do Active Directory que tem sua própria lista de controle de acesso do sistema (SACL) especificada.
- Auditoria de eventos de logon – Determina a auditoria de cada instância de um usuário que faz logon ou logoff de um dispositivo.
- Auditoria de acesso a objetos – Determina a auditoria do evento de um usuário que acessa um objeto.
- Auditoria de alteração de política – Determina a auditoria de cada incidente de alteração em políticas de atribuição de direitos de usuário, políticas de auditoria ou políticas de confiança.
- Auditoria de uso de privilégios – Determina a auditoria de cada instância de um usuário no exercício de um direito de usuário.
- Auditoria de acompanhamento de processos – Determina a auditoria de informações de controle detalhadas de eventos como ativação de programa, saída do processo, duplicação de identificador e acesso indireto a objetos.
- Auditoria de eventos do sistema – Determina se haverá auditoria quando um usuário reiniciar ou desligar o computador ou quando ocorrer um evento que afete a segurança do sistema ou o log de segurança.
Em cada política de auditoria no Windows podemos escolher os eventos que serão acionados. Podemos auditar por exemplo eventos com falha. Isso permite que você rastreie quando um usuário não conseguiu acessar algo por não ter uma permissão. Muito útil para identificar uma tentativa de acesso não autorizado.
A ativação de qualquer uma dessas políticas de auditoria fará com que o Windows grave mensagens no log de eventos sempre que ocorrer um evento.
Configurar auditoria de acesso a objetos no Windows
Uma das principais informações que precisamos analisar é a auditoria do sistema de arquivos – especificamente se você deseja saber quem leu, modificou, excluiu ou criou arquivos em uma pasta compartilhada. Para isso é necessário:
- A Auditoria de Acesso a Objetos precisa estar ativada
- A Pasta Compartilhada precisa ter a auditoria ativada
- Você precisa coletar e interpretar eventos do sistema
Saiba como configurar auditoria de acesso a objetos no vídeo abaixo:
E para manter-se sempre bem informado, CLIQUE AQUI e assine gratuitamente nossa newsletter para receber os novos artigos!
Até mais…