Monitorizar o acesso a recursos controlados e quaisquer alterações efectuadas à política de autorização proporciona-lhe uma forma de controlo de potenciais problemas de segurança, ajuda-o a garantir a contabilização dos utilizadores e fornece provas no caso de uma falha de segurança.

Tipos de auditoria

Com o Gestor de Autorizações pode utilizar dois tipos de auditoria: auditoria de tempo de execução e auditoria de alterações do arquivo de autorização.

Auditoria de tempo de execução

Existem dois aspectos da auditoria de tempo de execução:

  • Auditoria de tempo de execução da inicialização da aplicação, que gera auditorias quando uma aplicação é aberta.

  • Auditoria em tempo de execução de acesso e contexto de cliente, que gera auditorias quando um contexto de cliente é criado e sempre que o cliente invoca uma verificação de acesso. As verificações de acesso baseiam-se no método "AccessCheck" descrito na secção Autorização do Platform SDK. Para mais informações sobre interfaces de programação de aplicações (APIs) relacionadas com autorizações, consulte Autorização (pode estar em inglês) (https://go.microsoft.com/fwlink/?linkid=64031).

Pode configurar a auditoria de tempo de execução para registar auditorias com êxito, sem êxito ou ambos.

Auditoria de alterações do arquivo de autorização

Quando a auditoria de alterações do arquivo de autorização é activada, são geradas auditorias sempre que o arquivo de autorização é modificado. A auditoria regista todos os eventos, com e sem êxito.

Para a auditoria de alterações do arquivo de autorização, o Gestor de Autorizações suporta o sistema de ficheiros NTFS (para arquivos de autorização baseados em XML), os Serviços de Domínio do Active Directory (AD DS), os Serviços LDS do Active Directory (AD LDS) e o Microsoft SQL Server.

Localizar eventos de auditoria

Para ver eventos de auditoria gerados pelo Gestor de Autorizações, veja os registos de eventos no computador apropriado:

  • Os eventos de auditoria de tempo de execução encontram-se no registo de segurança do computador cliente onde a aplicação está em execução.

  • Os eventos de auditoria de alteração de arquivo de autorização encontram-se no registo de segurança do computador onde reside o arquivo.

    • No caso de um arquivo de autorização baseado em XML, os registos de auditoria serão localizados no Visualizador de Eventos do computador onde o ficheiro XML está armazenado.

    • No caso de um arquivo de autorização que utilize AD DS ou AD LDS, os registos de auditoria serão localizados no Visualizador de Eventos do controlador de domínio ou do servidor do AD LDS que está a ser acedido.

    • No caso de um arquivo de autorização baseado em SQL, os registos de auditoria serão localizados no Visualizador de Eventos do computador que aloja o SQL Server.

Disponibilidade da auditoria

A disponibilidade da auditoria depende do seguinte:

  • Se o arquivo de autorização se baseia no AD DS, AD LDS, em XML ou em SQL.

  • Se a auditoria é configurada ao nível do arquivo de autorização, da aplicação ou do âmbito.

A tabela seguinte descreve a disponibilidade dos dois tipos de auditoria:

Nível A auditoria de tempo de execução disponível em A auditoria de tempo de execução pode ser configurada neste nível em A auditoria de alterações do arquivo de autorização está disponível em

Arquivo de autorização
  • XML

  • AD DS e AD LDS

  • SQL Server
  • XML

  • AD DS e AD LDS

  • SQL Server
  • XML

  • AD DS e AD LDS

  • SQL Server

Aplicação
  • XML

  • AD DS e AD LDS

  • SQL Server
  • XML

  • AD DS e AD LDS

  • SQL Server
  • AD DS e AD LDS

  • SQL Server

Âmbito
  • XML

  • AD DS e AD LDS

  • SQL Server

Indisponível (configurado ao nível da aplicação)
  • AD DS e AD LDS

  • SQL Server

Para utilizar a auditoria, terá de seleccionar a caixa de verificação apropriada no separador Auditoria. Para activar a auditoria de tempo de execução, seleccione a caixa de verificação Auditoria em tempo de execução de inicialização de aplicação. Para activar a auditoria de alteração de arquivo de autorização, seleccione a caixa de verificação Auditoria em tempo de execução de acesso e contexto de cliente.

Configurar o sistema para permitir auditorias

Antes de implementar a auditoria, deverá optar por uma política de auditoria. Uma política de auditoria especifica as categorias de eventos relacionados com a segurança que pretende auditar. Por predefinição, quando esta versão do Windows é instalada pela primeira vez, todas as categorias de auditoria são desactivadas.

Para configurar que aplicações e âmbitos serão auditados, tem de ter o privilégio Gerir registo de auditoria e segurança no computador onde reside a autorização. Para tal, tem de iniciar sessão como um membro do grupo Administradores incorporado ou fornecer uma palavra-passe de administrador quando solicitado.

Se o arquivo de autorização for baseado em XML, terá de especificar a auditoria de acesso a objectos. Se o arquivo de autorização for baseado no AD DS ou AD LDS, terá de especificar a auditoria de acesso ao serviço de directório.

Para poder gerar auditorias de verificação de acesso e de contexto de cliente de tempo de execução, tem de ser concedido o privilégio Gerar auditorias de segurança a utilizadores de aplicações que utilizam o Gestor de Autorizações. Se os utilizadores da aplicação não tiverem este privilégio, não serão registados eventos de auditoria.

Activar a auditoria de acesso a objectos

Por predefinição, a auditoria de acesso a objectos está desactivada. Para a activar, é necessário utilizar a Política de Grupo no domínio, no controlador de domínio ou ao nível de outras unidades organizacionais aplicáveis no AD DS ou AD LDS. Também pode utilizar a política de segurança local.

Se o arquivo de autorização baseado em XML estiver localizado num controlador de domínio, o GPO (Group Policy object) Política Predefinida de Controladores de Domínio é o local mais adequado para activar a auditoria de acesso a objectos. Se o arquivo de autorização baseado em XML estiver localizado numa estação de trabalho ou num servidor membro, poderá editar o GPO local para esse computador definir a política de segurança local, mas essas definições só serão aplicadas até à actualização das definições de segurança da Política de Grupo seguinte. Isto pode ser útil se estiver a gerar as auditorias uma única vez. No entanto, se pretender gerar auditorias de segurança regularmente, deverá editar outro GPO aplicável ao computador através do AD DS.

Para activar a auditoria de acesso a objectos, configure os seguintes objectos:

  • Para um computador local

    1. Abra o Editor de Políticas de Grupo Locais.

    2. Na árvore da consola, faça duplo clique em Configuração do Computador, Definições do Windows, Definições de Segurança, Políticas Locais e Política de Auditoria.

    3. Clique em Auditar o acesso a objectos.

    4. No painel de detalhes, seleccione a caixa de verificação Definir estas definições de política, seleccione a caixa de verificação Êxito e, em seguida, seleccione a caixa de verificação Falha.

  • Apenas para controladores de domínio

    1. Clique em Iniciar, clique em Todos os Programas, clique em Ferramentas Administrativas e clique duas vezes na Política de Segurança do Controlador de Domínio .

    2. Na árvore da consola, faça duplo clique em Configuração do Computador, Definições do Windows, Definições de Segurança, Políticas Locais e Política de Auditoria.

    3. Clique em Auditar o acesso a objectos.

    4. No painel de detalhes, seleccione a caixa de verificação Definir estas definições de política, seleccione a caixa de verificação Êxito e seleccione a caixa de verificação Falha.

  • Para um domínio ou unidade organizacional

    1. Abra o GPMC (Group Policy Management Console).

    2. Clique com o botão direito do rato no GPO que pretende auditar e, em seguida, clique em Editar.

    3. Na árvore da consola, faça duplo clique em Configuração do Computador, Políticas, Definições de Segurança, Políticas Locais e Política de Auditoria.

    4. Clique em Auditar o acesso a objectos.

    5. No painel de detalhes, seleccione a caixa de verificação Definir estas definições de política, seleccione a caixa de verificação Êxito e seleccione a caixa de verificação Falha.

Considerações adicionais

  • É necessário instalar o GPMC para editar definições de políticas baseadas no domínio. O GPMC é uma funcionalidade adicional do Windows Server 2008 que poderá instalar utilizando o Gestor de Servidor.

  • Se estiver a editar o GPO local, a caixa de verificação Definir estas definições de política não é apresentada no Editor de Políticas de Grupo Locais. Só é apresentada se estiver a editar GPOs armazenados no AD DS.

  • Se as caixas de verificação de auditoria Com Êxito e Sem Êxito não estiverem disponíveis, a caixa de verificação Definir estas definições de política foi provavelmente seleccionada através de uma política de segurança a actuar num nível superior na estrutura do AD DS. Neste caso, necessita de descobrir onde foi seleccionada a caixa de verificação Definir estas definições de política e desmarcar esta definição. Para localizar esta definição, procure nos GPOs existentes neste computador.

Activar a auditoria de acesso a directórios

Por predefinição, a auditoria de acesso ao serviço de directório está desactivada. Para a activar, é necessário utilizar a Política de Grupo no domínio, no controlador de domínio ou ao nível de outras unidades organizacionais aplicáveis nos AD DS.

Para activar a auditoria de acesso a objectos, expanda os seguintes nós: Configuração do Computador, Definições do Windows, Definições de Segurança, Políticas Locais, Política de Auditoria e faça duplo clique em Auditar acesso ao serviço de directórios.

Seleccione a caixa de verificação, Definir estas definições de política, seleccione a caixa de verificação Com Êxito e, em seguida, seleccione a caixa de verificação Sem Êxito.

Considerações adicionais

  • Se as caixas de verificação de auditoria Com Êxito e Sem Êxito não estiverem disponíveis, isso significa que a caixa de verificação Definir estas definições de política foi provavelmente seleccionada através de uma política de segurança a actuar num nível superior no AD DS. Neste caso, necessita de descobrir onde foi seleccionada a caixa de verificação Definir estas definições de política e desmarcar a caixa de verificação. Para localizar esta definição, procure nos GPOs existentes no controlador de domínio.

  • Após editar os GPOs, execute o comando gpupdate para garantir que as alterações são aplicadas imediatamente.

Auditoria activada por herança

Qualquer auditoria obtida por herança ocorre independentemente da definição local. Por exemplo, no caso de um arquivo de autorização armazenado no AD DS, a política de auditoria pode ser herdada de uma unidade organizacional principal do AD DS. No caso de um arquivo de autorização baseado em XML, é aplicável a política de auditoria na pasta com o ficheiro XML.

Sumário