Noções básicas sobre a auditoria do Gerenciador de Autorização

Monitorar o acesso a recursos controlados e a quaisquer alterações em uma diretiva de autorização permite controlar possíveis problemas potenciais de segurança, ajuda a assegurar a responsabilidade do usuário e fornece provas se houver falha na segurança.

Tipos de auditoria

Com o Gerenciador de Autorização, você pode usar dois tipos de auditoria: a auditoria em tempo de execução e a auditoria de alteração do repositório de autorização.

Auditoria em tempo de execução

Há dois aspectos na auditoria em tempo de execução:

Auditoria de inicialização de aplicativo em tempo de execução, que gera auditorias quando um aplicativo é aberto.
Auditoria de verificação de contexto e acesso de cliente em tempo de execução, que gera auditorias quando um contexto de cliente é criado e sempre que o cliente solicita uma verificação de acesso. As verificações de acesso se baseiam no método AccessCheck descrito na seção Autorização do SDK da plataforma. Para obter mais informações sobre as APIs (interfaces de programação de aplicativo) relacionadas a autorização, consulte Autorização (a página pode estar em inglês) (https://go.microsoft.com/fwlink/?linkid=64031).

Você pode configurar a auditoria em tempo de execução para registrar êxitos, falhas ou ambos.

Auditoria de alteração do repositório de autorização

Quando você habilita a auditoria de alteração do repositório de autorização, são geradas auditorias sempre que o repositório de autorização é modificado. A auditoria registra todos os eventos em log, sejam eles bem-sucedidos ou malsucedidos.

Para a auditoria de alteração de repositório de autorização, o Gerenciador de Autorização dá suporte para o sistema de arquivos NTFS (para repositórios de autorização baseados em XML), os Serviços de Domínio Active Directory (AD DS), o Active Directory Lightweight Directory Services (AD LDS) e o Microsoft SQL Server.

Localizando eventos de auditoria

Para exibir eventos de auditoria gerados pelo Gerenciador de Autorização, exiba os logs de eventos no computador apropriado:

Os eventos de auditoria em tempo de execução estão no log de segurança do computador cliente em que o aplicativo está sendo executado.
Os eventos de auditoria de alteração de repositório de autorização estão no log de segurança do computador em que o repositório se encontra.
- No caso de um repositório de autorização baseado em XML, os registros de auditoria serão encontrados no Visualizador de Eventos do computador em que o arquivo XML está armazenado.
- No caso de um repositório de autorização que usa o AD DS ou o AD LDS, os registros de auditoria serão encontrados no Visualizador de Eventos do controlador de domínio ou no servidor AD LDS que estiver sendo acessado.
- No caso de repositório de autorização baseado em SQL, os registros de auditoria serão encontrados no Visualizador de Eventos do computador que hospeda o SQL Server.

Disponibilidade da auditoria

A disponibilidade da auditoria depende dos seguintes fatores:

Se o repositório de autorização é baseado em AD DS, AD LDS, XML ou SQL.
Se a auditoria é configurada no nível de repositório de autorização, no nível de aplicativo ou no nível de escopo.

A tabela abaixo descreve a disponibilidade dos dois tipos de auditoria.

Nível	A auditoria em tempo de execução está disponível em	A auditoria em tempo de execução pode ser configurada nesse nível em	A auditoria de alteração de repositório de autorização está disponível em
Repositório de autorização	XML AD DS e AD LDS SQL Server	XML AD DS e AD LDS SQL Server	XML AD DS e AD LDS SQL Server
Aplicativo	XML AD DS e AD LDS SQL Server	XML AD DS e AD LDS SQL Server	AD DS e AD LDS SQL Server
Escopo	XML AD DS e AD LDS SQL Server	Não disponível (configurada no nível de aplicativo)	AD DS e AD LDS SQL Server

Para usar a auditoria, você deve marcar a caixa de seleção adequada na guia Auditoria. Para habilitar a auditoria em tempo de execução, marque a caixa de seleção Auditoria de inicialização de aplicativo em tempo de execução. Para habilitar a auditoria de alteração de repositório de autorização, marque a caixa de seleção Audit. de verific. de acesso e contexto de cliente em tempo de exec..

Configurando o sistema para permitir auditoria

Antes de implementar a auditoria, escolha uma diretiva de auditoria. Uma diretiva de auditoria especifica categorias de eventos relacionados à segurança dos quais você deseja fazer auditoria. Por padrão, quando o Windows é instalado pela primeira vez, todas as categorias de auditoria estão desabilitadas.

Para configurar que aplicativos e escopos devem ser submetidos à auditoria, você deve ter o privilégio Gerenciar a auditoria e o log de segurança no computador em que o repositório reside. Para isso, em geral, se faz logon como membro do grupo local Administradores ou fornecendo uma senha de administrador quando solicitado.

Se o repositório de autorização for baseado em XML, será necessário especificar a auditoria de acesso a objetos. Se o repositório de autorização for baseado em AD DS ou AD LDS, será necessário especificar a auditoria de acesso ao serviço de diretório.

Para gerar auditorias de verificação de contexto e acesso de cliente em tempo de execução, os usuários de aplicativos que usam o Gerenciador de Autorização devem ter o privilégio Gerar auditoria de segurança. Se os usuários do aplicativo não tiverem esse privilégio, nenhum evento de auditoria será registrado.

Habilitando a auditoria de acesso a objetos

Por padrão, a auditoria de acesso a objetos fica desativada. Para ativá-la, é necessário usar a Diretiva de Grupo no domínio, no controlador de domínio ou em outro nível de unidade organizacional aplicável no AD DS ou no AD LDS. É possível usar também a diretiva de segurança local.

Se o repositório baseado em XML estiver localizado em um controlador de domínio, o objeto de Diretiva de Grupo (GPO) Diretiva padrão de controladores de domínio será o local mais adequado para ativar a auditoria de acesso a objetos. Se o repositório de autorização baseado em XML estiver localizado em uma estação de trabalho ou servidor membro, você poderá editar o Objeto de Diretiva de Grupo desse computador para definir a diretiva de segurança local, porém essas configurações se aplicarão somente até a próxima atualização das configurações de segurança da Diretiva de Grupo. Isso poderá ser útil caso você esteja gerando auditorias apenas uma vez. Contudo, se planeja gerar auditorias de segurança regularmente, você deverá editar outro GPO que se aplique ao computador através do AD DS.

Para habilitar a auditoria de acesso a objetos, configure os seguintes objetos:

Em um computador local
1. Abra o Editor de Diretiva de Grupo Local.
2. Na árvore de console, clique duas vezes em Configuração do Computador , Configurações do Windows Configurações de Segurança, Diretivas Locais e Diretiva de Auditoria..
3. Clique em Auditoria de acesso a objetos.
4. No painel de detalhes, marque a caixa de seleção Definir estas configurações de diretiva, marque a caixa Êxito e, em seguida, marque a caixa Falha.
Somente para controladores de domínio
1. Clique em Iniciar, em Todos os Programas, em Ferramentas Administrativas e clique duas vezes em Diretiva de Segurança de Controlador de Domínio.
2. Na árvore de console, clique duas vezes em Configuração do Computador, Configurações do Windows Configurações de Segurança, Diretivas Locais e Diretiva de Auditoria..
3. Clique em Auditoria de acesso a objetos.
4. No painel de detalhes, marque a caixa de seleção Definir estas configurações de diretivas, marque a caixa de seleção Êxito e marque a caixa de seleção Falha.
Para um domínio ou unidade organizacional
1. Abra o GPMC (Console de Gerenciamento de Diretiva de Grupo).
2. Clique com o botão direito do mouse no GPO que deseja auditar e, em seguida, clique em Editar.
3. Na árvore de console, clique duas vezes em Configuração do Computador, Diretivas Configurações de Segurança, Diretivas Locais e Diretiva de Auditoria..
4. Clique em Auditoria de acesso a objetos.
5. No painel de detalhes, marque a caixa de seleção Definir estas configurações de diretivas, marque a caixa de seleção Êxito e marque a caixa de seleção Falha.

Considerações adicionais

Você deve instalar o GPMC a fim de editar configurações de diretivas baseadas em domínio. O GPMC é um recurso adicional do Windows Server 2008 que pode ser instalado usando o Gerenciador de Servidor.
Quando você edita o GPO local, a caixa Definir estas configurações de diretiva não aparece no Editor de Objeto de Diretiva Local. Ela é exibida apenas ao editar GPOs armazenados no AD DS.
Se as caixas de seleção de auditoria Êxito e Falha não estiverem disponíveis, a caixa de seleção Definir estas configurações de diretiva provavelmente foi selecionada através da diretiva de segurança que está agindo em um nível mais alto na estrutura do AD DS. Nesse caso, é necessário descobrir em que local a caixa de seleção Definir estas configurações de diretivas está selecionada e limpar essa configuração. Para encontrar essa configuração, procure nos GPOs que afetam esse computador.

Habilitando a auditoria de acesso a diretórios

Por padrão, a auditoria de acesso ao serviço de diretório fica desativada. Para ativá-la, é necessário usar a Diretiva de Grupo no domínio, no controlador de domínio ou em outro nível de unidade organizacional aplicável no AD DS.

Para habilitar a auditoria de acesso a objetos, expanda os seguintes nós: Configuração do Computador, Configurações do Windows, Configurações de Segurança, Diretivas Locais, Diretiva de Auditoria e clique duas vezes em Acesso ao serviço de diretório de auditoria.

Marque a caixa de seleção Definir estas configurações de diretiva, marque a caixa Êxito e, em seguida, a caixa Falha.