Como activar e aplicar a auditoria de segurança do Windows 2000

Traduções de Artigos Traduções de Artigos
Artigo: 300549 - Ver produtos para os quais este artigo se aplica.
Este artigo foi publicado anteriormente em PT300549
Expandir tudo | Reduzir tudo

Nesta página

Sumário

Este guia de instruções passo a passo descreve como activar e aplicar a auditoria de segurança do Windows.

Activar a auditoria de segurança do Windows

É importante proteger os seus recursos de informações e serviços de pessoas que não devam ter acesso aos mesmos e, ao mesmo tempo, disponibilizar esses recursos a utilizadores autorizados. Este artigo descreve como utilizar as funcionalidades de segurança do Windows 2000 para auditar o acesso aos recursos.

Pode configurar os registos de segurança de modo a registarem informações sobre o acesso a ficheiros e directórios ou sobre eventos do servidor. Pode definir este nível de auditoria utilizando políticas de auditoria na consola de gestão da Microsoft (MMC, Microsoft Management Console). Estes eventos são registados no registo Segurança (Security) do Windows. O registo Segurança (Security) pode registar eventos de segurança, tais como tentativas válidas e inválidas de início de sessão, assim como eventos relacionados com a utilização de recursos, tais como a criação, abertura ou eliminação de ficheiros. Precisa de iniciar sessão como administrador para controlar os eventos que são submetidos à auditoria e apresentados no registo Segurança (Security).

IMPORTANTE: para que o Windows 2000 possa auditar o acesso a ficheiros e pastas, terá de utilizar o snap-in Política de grupo (Group Policy) para activar a definição Auditar o acesso a objectos (Audit Object Access) em Política de auditoria (Audit Policy). Se não o fizer, receberá uma mensagem de erro quando configurar a auditoria de ficheiros e pastas e estes não serão submetidos ao processo de auditoria. Depois de activar a auditoria na Política de grupo (Group Policy), visualize o registo Segurança (Security) no Visualizador de eventos (Event Viewer) para rever as tentativas, com êxito ou sem êxito, de acesso aos ficheiros e pastas submetidos a auditoria.

Para activar a auditoria de segurança do Windows local:
  1. Inicie sessão no Windows 2000 com uma conta que tenha direitos de administrador. Se pretender conceder direitos de definição de auditorias a outros utilizadores, consulte a secção "Como activar outra conta para configurar a auditoria" na secção "Referências" neste artigo.
  2. Certifique-se de que o snap-in Política de grupo (Group Policy) está instalado; se não estiver instalado, siga as instruções da secção "Como instalar o snap-in 'Política de grupo'", na secção "Referências" deste artigo, para o instalar.
  3. Clique em Iniciar (Start), aponte para Definições (Settings) e clique em Painel de controlo (Control Panel).
  4. Faça duplo clique em Ferramentas administrativas (Administrative Tools).
  5. Faça duplo clique em Política de segurança local (Local Security Policy) para iniciar o snap-in Definições da segurança local (Local Security Settings) da consola MMC.
  6. Faça duplo clique em Políticas locais (Local Policies) para as expandir e, em seguida, faça duplo clique em Política de auditoria (Audit Policy).
  7. No painel da direita, faça duplo clique na política que pretende activar ou desactivar.
  8. Clique nas caixas de verificação Com êxito (Success) - Uma tentativa de acesso de segurança submetida a auditoria que teve êxito e Sem êxito (Fail) - Uma tentativa de acesso de segurança submetida a auditoria que falhou para iniciar e terminar sessão. Por exemplo, com esta definição, uma tentativa de um utilizador para iniciar sessão no sistema que seja efectuada com êxito será registada como um evento do tipo Auditoria efectuada com êxito (Success Audit). Se um utilizador tentar aceder a uma unidade de rede e não conseguir, a tentativa será registada como um evento do tipo A auditoria falhou (Failure Audit).
  9. Se estiver a definir a auditoria para um servidor Web que esteja a executar o Microsoft IIS (Serviços de informação Internet - Microsoft Internet Information Services) versão 5.0, consulte a secção "Recomendações para a auditoria em servidores Web com o IIS 5.0 do Windows 2000" na secção "Referências" deste artigo, para obter uma lista de sugestões de auditorias.
NOTA: se for membro de um domínio e existir uma política definida ao nível do domínio, as definições ao nível do domínio sobrepor-se-ão às definições de política local.

Se o Active Directory estiver activado, os administradores poderão monitorizar o acesso ao Active Directory, o que faz com que as tentativas de auditoria "com êxito" e "sem êxito" sejam registadas no registo de eventos do serviço de directórios. Este registo de eventos só está presente em controladores de domínio do Windows 2000.

Para activar a auditoria do Active Directory:
  1. Inicie sessão no Windows 2000 com uma conta que tenha direitos de administrador; se pretender conceder direitos de definição de auditorias a outros utilizadores, consulte a secção de referência abaixo.
  2. Certifique-se de que o snap-in Política de grupo (Group policy) está instalado; se não estiver instalado, siga as instruções de instalação listadas na secção abaixo.
  3. Inicie o snap-in Computadores e utilizadores do Active Directory (Active Directory Users and Computers) clicando em Iniciar (Start), apontando para Programas (Programs) e, em seguida, apontando para Ferramentas administrativas (Administrative Tools).
  4. No menu Ver (View), clique em Funções avançadas (Advanced Features).
  5. Clique com o botão direito do rato no contentor Domain Controllers e, em seguida, clique em Propriedades (Properties).
  6. Clique no separador Política de grupo (Group Policy).
  7. Clique em Default Domain Controllers Policy e clique em Editar (Edit).
  8. Faça duplo clique nos seguintes itens para os abrir: Configuração do computador (Computer Configuration), Definições do Windows (Windows Settings), Definições de segurança (Security Settings), Políticas locais (Local Policies), Política de auditoria (Audit Policy).
  9. No painel da direita, abra Auditar acesso ao serviço de directórios (Audit Directory Services Access).
  10. Clique nas opções adequadas: nas tentativas Com êxito (Audit Successful), Sem êxito (Audit Failed) ou em ambas.
  11. Se estiver a definir a auditoria para um servidor Web com o IIS 5.0, consulte a secção "Recomendações para a auditoria em servidores Web com o IIS 5.0 do Windows 2000" na secção "Referências" deste artigo para obter uma lista de sugestões de auditorias.
NOTA: no Windows 2000, os controladores de domínio verificam se existem alterações de política de cinco em cinco minutos. Outros controladores de domínio da empresa recebem as alterações neste intervalo mais o tempo de replicação.

NOTA: se as caixas de verificação em Acesso (Access) na caixa de diálogo Entrada de auditoria (Auditing Entry) estiverem sombreadas ou se o botão Remover (Remove) não estiver disponível na caixa de diálogo Definições do controlo de acesso (Access Control Settings), significa que a auditoria foi herdada a partir da pasta principal. Uma vez que o registo Segurança (Security) tem um tamanho limitado, seleccione os ficheiros e pastas que pretende submeter a uma auditoria cuidadosa. Tenha também em consideração a quantidade de espaço em disco que pretende disponibilizar para o registo Segurança (Security). O tamanho máximo está definido no Visualizador de eventos (Event Viewer).

Auditoria de eventos no Windows 2000 Server

Definir, visualizar, alterar ou remover a auditoria de ficheiros ou pastas do Windows

A auditoria é configurada para detectar e registar eventos relacionados com a segurança, como nos casos em que um utilizador tenta aceder a um ficheiro ou pasta confidencial. Ao efectuar a auditoria de um objecto, sempre que este for acedido de uma determinada forma, será escrita uma entrada no registo Segurança (Security) do Windows 2000. Determine os objectos, as acções e os tipos de acção exactos que deverão ser submetidos ao processo de auditoria. Depois de configurar a auditoria, poderá manter um registo dos utilizadores que acedem a determinados objectos e analisar falhas de segurança. O registo de auditoria pode mostrar quem efectuou as acções e quem tentou efectuar acções que não eram permitidas.

Para configurar a auditoria:
  1. Inicie o Explorador do Windows (Windows Explorer) [clique em Iniciar (Start), aponte para Programas (Programs), aponte para Acessórios (Accessories) e clique em Explorador do Windows (Windows Explorer)] e, em seguida, localize o ficheiro ou pasta que pretende auditar.
  2. Clique com o botão direito do rato no ficheiro ou pasta, clique em Propriedades (Properties) e clique no separador Segurança (Security).
  3. Clique em Avançadas (Advanced) e clique no separador Auditoria (Auditing).
  4. Efectue um dos seguintes procedimentos, conforme for o caso:
    1. Para configurar a auditoria para um grupo ou utilizador novo:
      1. Clique em Adicionar (Add). Na caixa Nome (Name), escreva o nome do utilizador que pretende auditar.
      2. Clique em OK para abrir automaticamente a caixa de diálogo Entrada de auditoria (Auditing Entry).
    2. Para visualizar ou alterar a auditoria de um grupo ou utilizador existente, clique no nome e, em seguida, clique em Ver/editar (View/Edit).
    3. Para remover a auditoria de um grupo ou utilizador existente, clique no nome e, em seguida, clique em Remover (Remove).
  5. Em Acesso (Access), clique nas opções Com êxito (Successful), Sem êxito (Failed) ou em ambas as opções Com êxito (Successful) e Sem êxito (Failed), dependendo do tipo de acesso que pretende auditar.
  6. Se pretender impedir que os ficheiros e subpastas da árvore herdem estas entradas de auditoria, seleccione a caixa de verificação Aplicar estas permissões apenas aos objectos e/ou contentores dentro deste contentor (Apply these auditing entries).

Auditoria para detectar acesso não autorizado

Pode detectar tentativas de acesso não autorizado no registo Segurança (Security) do Windows; estas tentativas podem ser apresentadas como entradas de registo de aviso ou de erro. Também pode arquivar estes registos para utilização posterior.

Para detectar possíveis problemas de segurança mediante a consulta do registo Segurança (Security) do Windows:
  1. Clique em Iniciar (Start), aponte para Definições (Settings) e clique em Painel de controlo (Control Panel).
  2. Faça duplo clique em Ferramentas administrativas (Administrative Tools) e faça duplo clique em Gestão de computadores (Computer Management).
  3. Expanda Ferramentas do sistema (System Tools) e, em seguida, expanda Visualizador de eventos (Event Viewer).
  4. Clique no registo Segurança (Security).

    NOTA: se não conseguir visualizar o registo Segurança (Security), significa que a conta de utilizador que está a utilizar não tem privilégios para o fazer. Este problema ocorre porque as políticas de segurança ao nível do domínio se sobrepõem às políticas de segurança ao nível do computador local, o que significa que poderá ter sessão iniciada como administrador do computador local, mas não ter acesso ao registo de segurança do computador. Para obter estas permissões, contacte o administrador da rede. Para mais informações sobre políticas de segurança, consulte a documentação do Windows.
  5. Inspeccione os registos para verificar a existência de eventos de segurança suspeitos, incluindo os seguintes eventos:
    • Tentativas de início de sessão inválidas.
    • Utilização de privilégios falhada.
    • Tentativas falhadas para aceder e modificar ficheiros .bat ou .cmd.
    • Tentativas para alterar privilégios de segurança ou o registo de auditoria.
    • Tentativas para encerrar o servidor.

Trabalhar com registos de segurança do Windows

Como arquivar um registo 'Segurança' do Windows

Para arquivar um registo Segurança (Security) do Windows:
  1. Clique em Iniciar (Start), aponte para Definições (Settings) e clique em Painel de controlo (Control Panel).
  2. Faça duplo clique em Ferramentas administrativas (Administrative Tools) e faça duplo clique em Gestão de computadores (Computer Management).
  3. Expanda Ferramentas do sistema (System Tools) e, em seguida, expanda Visualizador de eventos (Event Viewer).
  4. Clique em Segurança (Security).
  5. No menu Acção (Action), clique em Guardar ficheiro de registo como (Save Log File As).
  6. Na caixa de diálogo Guardar como (Save As) clique no directório onde pretende guardar o ficheiro e escreva um nome para o ficheiro.
NOTA: o registo Segurança (Security) pode ser guardado como um ficheiro de eventos (.evt), de texto (.txt) ou ficheiro delimitado por vírgulas (.csv).

Como abrir um registo 'Segurança' arquivado no Windows

Para abrir um registo Segurança (Security) arquivado no Windows:
  1. Clique em Iniciar (Start), aponte para Definições (Settings) e clique em Painel de controlo (Control Panel).
  2. Faça duplo clique em Ferramentas administrativas (Administrative Tools) e faça duplo clique em Gestão de computadores (Computer Management).
  3. Expanda Ferramentas do sistema (System Tools) e, em seguida, expanda Visualizador de eventos (Event Viewer).
  4. No menu Registo (Log), clique em Segurança (Security).
  5. No menu Acção (Action), aponte para Abrir o ficheiro de registo (Open Log File).
  6. Na caixa de diálogo Abrir (Open) clique no registo anteriormente guardado ou mude para a localização existente na lista Procurar em (Look in) e navegue até ao ficheiro.
  7. Na lista Tipo de registo (Log type), clique em Segurança (Security).
  8. Clique em OK para abrir o ficheiro no visualizador.

Resolução de problemas

Uma vez que o registo Segurança (Security) tem um tamanho limitado, seleccione os ficheiros e pastas que pretende submeter a uma auditoria cuidadosa. Tenha também em consideração a quantidade de espaço em disco que pretende disponibilizar para o registo Segurança (Security). O tamanho máximo está definido no Visualizador de eventos (Event Viewer).

IMPORTANTE: para que o Windows 2000 possa auditar o acesso a ficheiros e pastas, terá de utilizar o snap-in Política de grupo (Group Policy) para activar a definição Auditar o acesso a objectos (Audit Object Access) em Política de auditoria (Audit Policy). Se não o fizer, receberá uma mensagem de erro quando configurar a auditoria de ficheiros e pastas e estes não serão submetidos ao processo de auditoria. Depois de activar a auditoria na Política de grupo (Group Policy), visualize o registo Segurança (Security) no Visualizador de eventos (Event Viewer) para rever as tentativas, com êxito ou sem êxito, de acesso aos ficheiros e pastas submetidos a auditoria.




Referências

Como instalar o snap-in 'Política de grupo'

Para utilizar as funções de auditoria descritas neste artigo, necessita de instalar o snap-in Política de grupo (Group Policy). Este snap-in não está incluído na consola Gestão de computadores (Computer Management), motivo pelo qual necessita de criar uma nova consola para o snap-in Política de grupo (Group Policy). Para obter mais informações sobre como adicionar snap-ins da MMC, consulte a documentação do Windows 2000.

Para criar uma nova consola MMC e adicionar o snap-in Política de grupo (Group Policy):
  1. Clique em Iniciar (Start) e clique em Executar (Run). Na caixa de diálogo Executar (Run), escreva mmc para iniciar uma nova consola MMC.
  2. No menu Consola (Console), clique em Adicionar/remover snap-in (Add/Remove Snap-in).
  3. Na caixa de diálogo Adicionar/remover snap-in (Add/Remove Snap-in), clique em Adicionar (Add).
  4. Na caixa de diálogo Adicionar snap-in autónomo (Add Standalone Snap-in), clique em Política de grupo (Group Policy) na lista de snap-ins disponíveis. Clique em Adicionar (Add).
  5. Na caixa de diálogo Seleccionar política de grupo (Select Group Policy Object), clique em Concluir (Finish) para fazer uma auditoria ao computador local ou em Procurar (Browse) para localizar o computador ao qual pretende efectuar uma auditoria.
  6. Se clicou em Procurar (Browse), avance para o passo 7. Se clicou em Concluir (Finish), avance para o passo 9.
  7. Na caixa de diálogo Procurar um 'Objecto de política de grupo' (Browse for a Group Policy Object), clique no separador Computadores (Computers), clique em Outro computador (Another computer), procure o computador que pretende auditar e clique em OK.
  8. Na caixa de diálogo Seleccionar política de grupo (Select Group Policy Object), clique em Concluir (Finish).
  9. Feche a caixa de diálogo Adicionar snap-in autónomo (Add Standalone Snap-in).
  10. Clique em OK.
  11. No menu Consola (Console) seleccione Guardar (Save) para guardar a nova consola no disco rígido. Esta é a consola que será utilizada para configurar as funções de auditoria.

Como activar outra conta para configurar a auditoria

Por predefinição, apenas os membros do grupo de administradores têm privilégios para configurar a auditoria. Poderá delegar a tarefa de configurar a auditoria de eventos do servidor a outra conta de utilizador, concedendo o direito Gerir auditoria e registo de segurança (Manage Auditing and Security Log) em Política de grupo (Group Policy).

Para activar a conta para configurar a auditoria:
  1. Na consola da política de grupo criada, expanda os seguintes menus pela seguinte ordem:
    1. Configuração do computador (Computer Configuration)
    2. Definições do Windows (Windows Settings)
    3. Definições de segurança (Security Settings)
    4. Políticas locais (Local Polices)
    5. Atribuição de direitos de utilizadores (User Rights Assignment)
  2. Clique em Gerir auditoria e registo de segurança (Manage audit and security log), clique em Acção (Action) e clique em Segurança (Security).
  3. Na caixa de diálogo Gerir auditoria e registo de segurança (Manage auditing and security log), clique em Adicionar (Add).

    NOTA: se o botão Adicionar (Add) não estiver disponível (desactivado), clique para desmarcar a caixa de verificação Excluir da política local (Exclude from local policy) para activar o botão Adicionar (Add).
  4. Clique no utilizador ou grupo de utilizadores apropriado na lista e, em seguida, clique em Adicionar (Add). Clique em OK.

Recomendações para a auditoria em servidores Web com o IIS 5.0 do Windows 2000

Para um computador com o Windows 2000 Server que esteja a executar o IIS 5.0, deverá efectuar a auditoria utilizando os seguintes eventos do Windows. "Tentativas de auditoria com êxito" indica que está interessado em eventos efectuados com êxito e "Tentativas de auditoria sem êxito" indica que está interessado em falhas ocorridas quando esse evento é executado. "Activado" significa que o evento está a ser submetido a uma auditoria, enquanto que "Desactivado" significa que o evento não está a ser submetido a uma auditoria.

A lista que se segue fornece sugestões de auditoria para vários eventos num computador com o Windows 2000 que seja um servidor Web com o IIS:
  • Início de sessão de conta
    Tentativas de auditoria com êxito: ACTIVADO

    Tentativas de auditoria sem êxito: ACTIVADO
  • Gestão de contas
    Tentativas de auditoria com êxito: DESACTIVADO

    Tentativas de auditoria sem êxito: ACTIVADO
  • Acesso ao serviço de directórios
    Tentativas de auditoria com êxito: DESACTIVADO

    Tentativas de auditoria sem êxito: ACTIVADO
  • Início de sessão
    Tentativas de auditoria com êxito: ACTIVADO

    Tentativas de auditoria sem êxito: ACTIVADO
  • Acesso a objectos
    Tentativas de auditoria com êxito: DESACTIVADO

    Tentativas de auditoria sem êxito: DESACTIVADO
  • Alteração de políticas
    Tentativas de auditoria sem êxito: ACTIVADO

    Tentativas de auditoria sem êxito: ACTIVADO
  • Utilização de privilégios
    Tentativas de auditoria com êxito: DESACTIVADO

    Tentativas de auditoria sem êxito: ACTIVADO
  • Rastreio de processos
    Tentativas de auditoria com êxito: DESACTIVADO

    Tentativas de auditoria sem êxito: DESACTIVADO
  • Sistema
    Tentativas de auditoria com êxito: DESACTIVADO

    Tentativas de auditoria sem êxito: DESACTIVADO

Propriedades

Artigo: 300549 - Última revisão: 26 de janeiro de 2007 - Revisão: 4.1
A informação contida neste artigo aplica-se a:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
Palavras-chave: 
kbhowto kbhowtomaster kbperformance KB300549

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com