Como habilitar e aplicar a auditoria de segurança no Windows 2000

Traduções deste artigo Traduções deste artigo
ID do artigo: 300549 - Exibir os produtos aos quais esse artigo se aplica.
Este artigo foi publicado anteriormente em BR300549
Expandir tudo | Recolher tudo

Neste artigo

Sumário

Esse guia descreve detalhadamente como habilitar e aplicar a auditoria de segurança do Windows.

Habilitar a auditoria de segurança do Windows

É importante que você proteja as informações e os recursos de serviços de pessoas que não devem ter acesso à essas informações e recursos, ao mesmo tempo, disponibilizá-los aos usuários autorizados. Este artigo descreve como usar os recursos de segurança do Windows 2000 para auditar o acesso aos recursos.

É possível configurar os logs de segurança para registrar informações sobre o acesso aos diretórios e arquivos ou aos eventos do servidor. É possível definir esse nível de auditoria, usando as Diretivas de Auditoria no Console de Gerenciamento Microsoft. Esses eventos são registrados no log de segurança do Windows. O log de segurança pode registrar eventos de segurança, como tentativas de logon válidas e inválidas, bem como eventos relacionados ao uso de recursos, como a criação, a abertura ou a exclusão de arquivos. Para controlar quais são os eventos auditados e exibidos no log de segurança, é preciso fazer logon como administrador.

IMPORTANTE: Antes do Windows 2000 poder auditar o acesso aos arquivos e pastas, é preciso usar o snap-in de Diretiva de Grupo para habilitar a configuração Auditoria de Acesso a Objetos na Diretiva de Auditoria. Se isso não for feito, uma mensagem de erro durante a definição da auditoria de arquivos e pastas será exibida e nenhuma pasta ou arquivo será auditado. Após habilitar a auditoria na Diretiva de Grupo, visualize o log de Segurança em Visualizar Eventos para rever as tentativas válidas e as inválidas de acesso às pastas e aos arquivos auditados.

Para habilitar a auditoria de segurança local do Windows:
  1. Faça logon no Windows 2000 com uma conta que tenha direitos de Administrador. Caso queira conceder a outros usuários os direitos para definir a auditoria, consulte "Como habilitar outra conta para configurar a auditoria" na seção "Referência" deste artigo.
  2. Certifique-se de que o snap-in da Diretiva de Grupo está instalado. Se não estiver, siga as instruções em "Como instalar o snap-in da Diretiva de Grupo" na seção "Referências" deste artigo para instalá-lo.
  3. Clique em Iniciar, aponte para Configurações e clique em Painel de controle.
  4. Clique duas vezes em Ferramentas administrativas.
  5. Clique duas vezes em Diretiva de segurança local para iniciar o snap-in Configurações locais de segurança.
  6. Clique duas vezes em Diretivas locais para expandi-la e em Diretiva de auditoria.
  7. No painel à direita, clique duas vezes na diretiva que deseja habilitar ou desabilitar.
  8. Marque as caixas de seleção Com êxito (Uma tentativa de acesso de segurança auditada com sucesso) e Sem êxito (Uma tentativa de acesso de segurança auditada com falha) para ativar e desativar o Registro. Por exemplo, com essa configuração, uma tentativa válida de logon de um usuário no sistema é registrada como um evento Auditoria com êxito. Se um usuário tenta acessar uma unidade de rede e não consegue, a tentativa é registrada como um evento Auditoria sem êxito.
  9. Se estiver configurando a auditoria de um servidor Web com o IIS 5.0 (Serviços de Informações da Internet) ou versão posterior, consulte "Recomendações para a auditoria em um servidor Web executando o Windows 2000 e os Serviços de Informações da Internet 5.0" na seção "Referências" deste artigo e obtenha uma lista de auditorias sugeridas.
OBSERVAÇÃO: Se você for membro de um domínio e tiver uma diretiva em nível de domínio, as configurações nesse nível substituem as configurações de diretiva local.

Se o Active Directory estiver habilitado, os administradores poderão monitorar o acesso ao Active Directory, o que faz com que as tentativas com êxito e "sem êxito" de auditoria sejam registradas no log de eventos do Serviço de Diretório. Esse log de eventos está presente somente em controladores de domínio do Windows 2000.

Para habilitar a auditoria do Active Directory:
  1. Faça logon no Windows 2000 com uma conta que tenha direitos de Administrador, caso queira dar à outras pessoas os direitos de auditoria e consulte a seção de referência abaixo.
  2. Certifique-se de que o snap-in de Diretiva de Grupo está instalado. Se não estiver, siga as instruções para instalá-lo.
  3. Inicie o snap-in dos usuários e computadores do Active Directory, clicando em Iniciar, apontando para Programas e para Ferramentas administrativas.
  4. No menu Exibir, clique em Recursos avançados.
  5. Clique com o botão direito do mouse no contêiner Controladores de domínio e clique em Propriedades.
  6. Clique na guia Diretiva de grupo.
  7. Clique em Diretiva de controlador de domínio padrão e clique em Editar.
  8. Clique duas vezes nos seguintes itens para abri-los: Configuração do computador, Configurações do Windows, Configurações de segurança, Diretivas locais e Diretiva de auditoria.
  9. No painel à direita, abra Auditar acesso aos serviços de diretório.
  10. Clique nas opções apropriadas: Auditar tentativas com êxito ou Auditar tentativas sem êxito ou ambas.
  11. Se estiver configurando a auditoria de um servidor Web com o IIS 5.0, consulte "Recomendações para a auditoria em um servidor Web executando o Windows 2000 e os Serviços de Informações da Internet 5.0" na seção "Referências" deste artigo e obtenha uma lista de auditorias sugeridas.
OBSERVAÇÃO: no Windows 2000, os controladores de domínio consultam as alterações de diretiva a cada cinco minutos. Outros controladores de domínio da empresa recebem as alterações nesse intervalo, mais o tempo de replicação.

OBSERVAÇÃO: se as caixas de seleção em Acesso na caixa de diálogo Entrada de auditoria estiverem sombreadas ou se o botão Remover não estiver disponível na caixa de diálogo Configurações do controle de acesso, isso significa que a auditoria foi herdada da pasta pai. Como o log de Segurança tem o tamanho limitado, selecione os arquivos e as pastas que deseja auditar com cuidado. Também considere o espaço em disco a ser dedicado ao log de Segurança. O tamanho máximo está definido em Visualizar Eventos.

Auditar eventos no Windows 2000 Server

Configurar, visualizar, alterar ou remover arquivo ou pasta de auditoria do Windows

A auditoria é configurada para detectar e registrar eventos relacionados à segurança, como o momento em que um usuário tenta acessar um arquivo ou pasta confidencial. Quando um objeto é auditado, uma entrada é registrada no log de Segurança do Windows 2000 sempre que o objeto é acessado de alguma forma. Você determina quais objetos auditar, cujas ações devem auditar e exatamente que tipos de ações são auditadas. Após a configuração da auditoria, é possível rastrear os usuários que acessam determinados objetos e analisar as violações de segurança. O controle de auditoria pode mostrar quem realizou as ações e quem tentou executar ações não permitidas.

Para configurar a auditoria:
  1. Inicie o Windows Explorer (clique em Iniciar, aponte para Programas, para Acessórios e clique em Windows Explorer) e localize a pasta ou o arquivo a ser auditado.
  2. Clique com o botão direito do mouse no arquivo ou na pasta, clique em Propriedades e clique na guia Segurança.
  3. Clique em Avançado e na guia Auditoria.
  4. Execute uma das seguintes etapas, conforme aplicável:
    1. Configurar a auditoria para um novo grupo ou usuário:
      1. Clique em Adicionar. Na caixa Nome, digite o nome de usuário que deseja auditar.
      2. Clique em OK para abrir automaticamente a caixa de diálogo Entrada de auditoria.
    2. Para exibir ou alterar a auditoria de um grupo ou usuário já existente, clique no nome e em Visualizar/Editar.
    3. Para remover a auditoria de um grupo ou usuário já existente, clique no nome e em Remover.
  5. Em Acesso, clique em Com êxito, Sem êxito ou ambos Com êxito e Sem êxito, dependendo do tipo de acesso que deseja auditar.
  6. Se quiser impedir que arquivos e subpastas na árvore herdem essas entradas de auditoria, desmarque a caixa de seleção Aplicar entradas de auditoria.

Auditar para detectar acesso não-autorizado

É possível detectar tentativas de acesso não-autorizado no log de Segurança do Windows e, essas tentativas podem aparecer como entradas de aviso ou de erro. Também é possível arquivar esses logs para uso posterior.

Para detectar possíveis problemas de segurança, revisando o log de Segurança do Windows:
  1. Clique em Iniciar, aponte para Configurações e clique em Painel de controle.
  2. Clique duas vezes em Ferramentas administrativas e em Gerenciamento do computador.
  3. Expanda Ferramentas de sistema e Visualizar eventos.
  4. Clique em Log de segurança.

    OBSERVAÇÃO: se não for possível exibir o log de Segurança, a conta de usuário que está usando não tem os privilégios para isso. Esse problema ocorre porque as diretivas de segurança no nível de domínio substituem as diretivas que estão no nível do computador, o que significa que é possível fazer logon como administrador do computador local, mas sem acesso ao log de segurança do computador. Para obter essas permissões, entre em contato com o administrador de rede. Para obter mais informações sobre as diretivas de segurança, consulte a documentação do Windows.
  5. Inspecione os logs em busca de eventos de segurança suspeitos, inclusive os seguintes:
    • Tentativas de logon inválidas.
    • Uso de privilégios sem êxito.
    • Tentativas de acesso e modificação de arquivos .bat ou .cmd sem êxito.
    • Tentativas de alterar privilégios de segurança ou o log de auditoria.
    • Tentativas de desligamento do servidor.

Trabalhar com logs de segurança do Windows

Como arquivar um log de segurança do Windows

Para arquivar um log de segurança do Windows:
  1. Clique em Iniciar, aponte para Configurações e clique em Painel de controle.
  2. Clique duas vezes em Ferramentas administrativas e em Gerenciamento do computador.
  3. Expanda Ferramentas do sistema e Visualizar eventos.
  4. Clique em Segurança.
  5. No menu Ação, clique em Salvar arquivo de log como.
  6. Na caixa de diálogo Salvar como, clique no diretório em que deseja salvar o arquivo e digite um nome para o arquivo.
OBSERVAÇÃO: o log de Segurança pode ser salvo como um arquivo de evento (.evt), texto (.txt) ou delimitado por vírgula (.csv).

Como abrir um log de Segurança arquivado do Windows

Para abrir um log de Segurança arquivado do Windows:
  1. Clique em Iniciar, aponte para Configurações e clique em Painel de controle.
  2. Clique duas vezes em Ferramentas administrativas e em Gerenciamento do computador.
  3. Expanda Ferramentas do sistema e Visualizar eventos.
  4. No menu Log, clique em Segurança.
  5. No menu Ação, aponte para Abrir arquivo de log.
  6. Na caixa de diálogo Abrir, clique no log salvo anteriormente ou altere o local na lista Pesquisar e procure o arquivo.
  7. Na lista Tipo de log, clique em Segurança.
  8. Clique em OK para abrir o arquivo no visualizador.

Solução de problemas

Como o log de Segurança tem o tamanho limitado, selecione os arquivos e pastas que deseja auditar com cuidado. Também considere o espaço em disco a ser dedicado ao log de Segurança. O tamanho máximo está definido em Visualizar Eventos.

IMPORTANTE: antes do Windows 2000 poder auditar o acesso aos arquivos e pastas, é preciso usar o snap-in de Diretiva de Grupo para habilitar a configuração Auditoria de acesso a objetos na Diretiva de Auditoria. Se isso não for feito, uma mensagem de erro durante a definição da auditoria de arquivos e pastas será exibida e nenhuma pasta ou arquivo será auditado. Após habilitar a auditoria na Diretiva de Grupo, visualize o log de Segurança em Visualizar Eventos para examinar as tentativas válidas e as inválidas de acesso a pastas e arquivos auditados.




Referências

Como instalar o snap-in de Diretiva de Grupo

Para usar os recursos de auditoria descritos neste artigo, é necessário instalar o snap-in de Diretiva de Grupo. Esse snap-in não está incluído no Console de gerenciamento Microsoft e é necessário criar um novo console para o snap-in de Diretiva de Grupo. Para obter mais informações sobre como adicionar snap-ins MMC, consulte a documentação do Windows 2000.

Para criar um novo console MMC e adicionar o snap-in de Diretiva de Grupo:
  1. Clique em Iniciar e em Executar. Na caixa de diálogo Executar, digite mmc para iniciar um novo console MMC.
  2. No menu Console, clique em Adicionar/remover snap-in.
  3. Na caixa de diálogo Adicionar/remover snap-in, clique em Adicionar.
  4. Na caixa de diálogo Adicionar snap-in autônomo, clique em Diretiva de grupo na lista dos snap-ins disponíveis. Clique em Adicionar.
  5. Na caixa de diálogo Selecionar objeto de diretiva de grupo, clique em Concluir para auditar o computador local ou Procurar para localizar o computador que deseja auditar.
  6. Caso clique em Procurar, vá para a etapa 7. Se clicar em Concluir, vá para a etapa 9.
  7. Na caixa de diálogo Procurar um objeto de diretiva de grupo, clique na guia Computadores, clique em Outro computador, procure o computador que deseja auditar e clique em OK.
  8. Na caixa Selecionar objeto de diretiva de grupo, clique em Concluir.
  9. Feche a caixa de diálogo Adicionar snap-in autônomo.
  10. Clique em OK.
  11. No menu Console, selecione Salvar para salvar o novo console no disco rígido. Esse é o console a ser usado na configuração dos recursos de auditoria.

Como habilitar outra conta para configurar a auditoria

Por padrão, apenas os membros do grupo Administradores têm privilégios para configurar a auditoria. É possível delegar a tarefa de configurar a auditoria de eventos do servidor para outra conta de usuário, concedendo o direito Gerenciar a auditoria e o log de Segurança na Diretiva de Grupo.

Para habilitar a conta e configurar a auditoria:
  1. No console de Diretiva de Grupo criado, expanda os seguintes menus na seguinte ordem:
    1. Configuração do computador
    2. Configurações do Windows
    3. Configurações de segurança
    4. Diretivas locais
    5. Atribuição de direitos de usuário
  2. Clique em Gerenciar a auditoria e o log de segurança, em Ação e em Segurança.
  3. Na caixa de diálogo Gerenciar a auditoria e o log de segurança, clique em Adicionar.

    OBSERVAÇÃO: se o botão Adicionar não estiver disponível (aparecer esmaecido), desmarque a caixa de seleção Excluir da diretiva local para habilitar o botão Adicionar.
  4. Clique no usuário ou no grupo correspondente e em Adicionar. Clique em OK.

Recomendações para a auditoria em servidores Web IIS 5.0 com Windows 2000

Para um computador com o Windows 2000 Server executando IIS 5.0, é necessário auditar usando os seguintes eventos do Windows. "Auditar tentativas com êxito" indica que você está interessado em eventos válidos e "Auditar tentativas sem êxito", que você está interessado em falhas no momento em que o evento foi realizado. "Ativado" significa que o evento está sendo auditado e "Desativado", que o evento não está sendo auditado.

A seguinte lista fornece sugestões de auditoria para vários eventos em um computador com base em Windows 2000 que é um servidor Web IIS:
  • Logon de conta
    Auditar tentativas com êxito: Ativado

    Auditar tentativas sem êxito: Ativado
  • Gerenciamento da conta
    Auditar tentativas com êxito: Desativado

    Auditar tentativas sem êxito: Ativado
  • Acesso do serviço de diretório
    Auditar tentativas com êxito: Desativado

    Auditar tentativas sem êxito: Ativado
  • Logon
    Auditar tentativas com êxito: Ativado

    Auditar tentativas sem êxito: Ativado
  • Acesso a objetos
    Auditar tentativas com êxito: Desativado

    Auditar tentativas sem êxito: Desativado
  • Alteração da diretiva
    Auditar tentativas com êxito: Ativado

    Auditar tentativas sem êxito: Ativado
  • Privilégio de uso
    Auditar tentativas com êxito: Desativado

    Auditar tentativas sem êxito: Ativado
  • Controle de processo
    Auditar tentativas com êxito: Desativado

    Auditar tentativas sem êxito: Desativado
  • Sistema
    Auditar tentativas com êxito: Desativado

    Auditar tentativas sem êxito: Desativado

Propriedades

ID do artigo: 300549 - Última revisão: quarta-feira, 16 de maio de 2007 - Revisão: 4.2
A informação contida neste artigo aplica-se a:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
Palavras-chave: 
kbhowto kbhowtomaster kbperformance KB300549

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com