As identificações do evento 560 e 562 são exibidas muitas vezes no log de eventos de segurança

Após configurar a Diretiva de Grupo ou a Diretiva de Segurança Local para fazer auditoria no acesso a um objeto, muitos eventos semelhantes aos seguintes eventos são exibidos no log de eventos de segurança:

Origem do evento: Segurança
Categoria de evento: Acesso a objeto
Identificação do evento: 560
Data: data
Hora: hora
Tipo: Êxito
Usuário: EXEMPLO\nome_de_usuário
Computador: nome_do_computador
Descrição:
Objeto aberto:
Servidor de objetos: Segurança
Tipo de objeto: Tipo_de_Objeto
Nome do objeto: Tipo_de_Objeto
Nova identificação do identificador: 104
Identificação da operação: {0,252360}
Identificação do processo: 1156
Nome de usuário primário: nome_de_usuário
Domínio primário: EXEMPLO
Identificação de logon primário: (logon_ID)
Nome de usuário do cliente:
Domínio do cliente:
Identificação de logon do cliente:
Acessos
<Lista de acessos>
Privilégios

Origem do evento: Segurança
Categoria de evento: Acesso a objeto
Identificação do evento: 562
Data: data
Hora: hora
Tipo: Êxito
Usuário: EXEMPLO\nome_de_usuário
Computador: nome_do_computador
Descrição:
Indentificador fechado:
Servidor de objetos: Segurança
Identificação do identificador: 104
Identificação do processo: 1156

Esses eventos aparecem se a SACL (lista de controle de acesso de segurança) não tiver sido configurada no objeto que está sendo auditorado. Os eventos também ocorrem se a SACL tiver sido configurada, porém, não para todos os acessos listados. Por exemplo, esses eventos são registrados quando um usuário ou um programa lê uma subchave de Registro e quando a caixa de seleção Controle de leitura ou a caixa de seleção Consultar valor não tiver sido marcada na entrada de auditoria para essa subchave de Registro.

Observação Para obter mais informação sobre como configurar a auditoria, consulte a seção "Mais informações".

O problema pode ocorrer se uma das seguintes condições for verdadeira:

• Você habilita a configuração de Diretiva de Segurança Local Fazer auditoria do acesso aos objetos do sistema global. Caso habilite essa configuração, serão gerados muitos eventos de auditoria. Estes eventos, normalmente, serão as origens de segurança dos eventos com a identificação do evento 560, no qual este tipo de objeto é um evento mutante, de processo, de seção, de sinal, de encadeamento ou token. Esses eventos são de interesse apenas do desenvolvedor de sistema. Normalmente, a configuração Fazer auditoria do acesso aos objetos do sistema global Diretiva de Segurança Local não está habilitada.
• Habilite auditoria no controlador de domínio. Ao habilitar auditoria no controlador de domínio, eventos de auditoria serão gerados, os quais, normalmente, contêm referências aos seguintes tipos de objeto:
  • SAM_ALIAS
  • SAM_GROUP
  • SAM_USER
  • SAM_DOMAIN
  • SAM_SERVER
  Esses eventos indicam que os objetos do SAM (Gerenciador de contas de segurança) têm SACL e que há muitas atividades do SAM ocorrendo. Normalmente, esses eventos ocorrem apenas no controlador de domínio.
• Use um aplicativo que abra os objetos auditados freqüentemente ou que abra os objetos auditados com um acesso maior do que o aplicativo exige. Por exemplo, o aplicativo pode exigir acesso de controle total quando o aplicativo exige apenas acesso de leitura. Quando esse comportamento ocorrer, devem ser gerados eventos em que o processo mencionado é sempre o mesmo aplicativo.

Para resolver o problema, execute um dos seguintes métodos:

Método 1

Desabilite a configuração de Diretiva de Segurança Local Fazer auditoria do acesso aos objetos do sistema global, caso essa configuração tenha sido habilitada anteriormente. Para fazer isto, execute as seguintes etapas:

1. Clique em Iniciar, em Executar, digite gpedit.msc e clique em OK.
2. Localize a seguinte entrada:
   Console Root\Local Computer Policy\Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options
3. Clique duas vezes na diretiva Fazer auditoria do acesso aos objetos do sistema global, clique em Desabilitar em Diretiva local e em OK.
4. No menu Console, clique em Sair e reinicie o computador.

Método 2

Use o snap-in ADSI Edit para remover as entradas SACL para um objeto SAM caso você tenha habilitado a auditoria no controlador de domínio. Para fazer isto, execute as seguintes etapas:

Observação O snap-in ADSI Edit está localizado na pasta Suporte no CD-ROM de instalação do Windows 2000.

Aviso Se usar o snap-in ADSI Edit, o utilitário LDP ou outro cliente LDAP versão 3 e modificar incorretamente os atributos dos objetos do Active Directory, problemas sérios poderão ocorrer. Estes problemas podem exigir a reinstalação do Microsoft Windows 2000 Server, do Microsoft Windows Server 2003, do Microsoft Exchange 2000 Server, do Microsoft Exchange Server 2003 do Windows ou do Exchange. A Microsoft não garante que os problemas decorrentes da modificação incorreta dos atributos de objeto do Active Directory possam ser solucionados. A modificação destes atributos é de sua responsabilidade.

1. Faça logon no controlador de domínio usando uma conta que tenha permissões de Administrador de domínio.
2. Clique em Iniciar, em Executar, digite adsiedit.msc e clique em OK.
3. No console de gerenciamento ADSI Editar, clique com o botão direito do mouse em ADSI Editar e clique em Conectar-se a.
4. Na caixa de diálogo Conexão, verifique se a opção Nome distinto está selecionada e digite o seguinte no campo Nome distinto:
   
   CN=Server,CN=System,DC=Nome_do_Domínio, DC=Extensão_do_Domínioaceholder throughout these steps.
5. Selecione a opção Padrão (Domínio ou Servidor que você se conecta) e clique em OK.
6. No console de gerenciamento ADSI Editar, clique com o botão direito do mouse na opção CN=Server,CN=System,DC=Nome_do_Domínio,DC=Extensão_do_Domínio e clique em Propriedades.
7. Na caixa de diálogo CN=Server,CN=System,DC=Nome_do_Domínio,DC=Extensão_do_Domínio Propriedades clique na guia Segurança.
8. Clique em Avançado e na guia Auditoria.
9. Desmarque a caixa de seleção Permitir que as entradas de auditoria herdáveis do pai sejam propagadas a este objeto.
10. Quando a seguinte mensagem for solicitada, clique em Remover.
    
    
    Entradas de auditoria herdáveis de propagandas estão sendo evitadas para esse objeto. O que você deseja fazer?
11. Clique em OK duas vezes para salvar a configuração e para fechar a caixa de diálogo CN=Server,CN=System,DC=Nome_do_Domínio,DC=Extensão_do_Domínio Propriedades.

Método 3

Configure o aplicativo personalizado para abrir os objetos auditados apenas quando for solicitado. Por exemplo, configure o aplicativo personalizado para exigir apenas o acesso mínimo solicitado. Se o aplicativo exigir apenas acesso de leitura para um objeto específico, atribua apenas o acesso de leitura. Neste caso, o acesso de controle total não é solicitado.

O Windows 2000 implementa a auditoria com base no acesso exigido pelo usuário ou pelo programa. Se um usuário ou um programa acessa um objeto usando uma conta que tenha um nível auditável de acesso ao objeto, o Windows gera o evento de auditoria correspondente. Por exemplo, se um programa for configurado com acesso para gravação a um objeto, e a auditoria para eventos para gravação tiver sido configurada, um evento para gravação será gerado quando um programa acessar o objeto. Esse comportamento ocorre se o programa não executar uma operação de gravação para a subchave do Registro. Neste cenário, o evento de auditoria é gerado, pois o programa tem a capacidade para gravar no objeto.

O Windows implementa esse método de auditoria para manter a conformidade com os padrões de certificação dos Critérios Comuns e, anteriormente, com os padrões de certificação C2. Para obter mais informações sobre os requisitos de auditoria C2, consulte Um Guia para Compreender a Auditoria em Sistemas Confiáveis. Para consultar esse guia, visite a seguinte página da Web da Microsoft (em inglês): "Seção 6.1.1 Eventos Auditáveis" neste guia existem os dois seguintes eventos auditáveis:

• Introdução de objetos em um espaço de endereço do usuário
• Exclusão de objetos de um espaço de endereço do usuário

No Windows, a identificação do evento 560 representa o primeiro evento, e a identificação do evento 562 representa o segundo evento.

+Para obter mais informações sobre esses padrões de certificação dos Critérios Comuns, visite o seguinte site da Microsoft (em inglês): Para obter informações adicionais sobre como auditar as chaves do Registro, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento Microsoft (a página pode estar em inglês): Para obter informações adicionais, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento Microsoft (alguns artigos podem estar em inglês): A Microsoft fornece informações para contato com terceiros para ajudá-lo a encontrar suporte técnico. Estas informações podem ser alteradas sem aviso prévio. A Microsoft não garante a precisão destas informações.