Luiz Henrique Lima Campos – Microsoft MVP

Práticas de auditoria para Windows Server

| 0 comentários

Não há nada mais difícil de se encontrar na web do que um bom artigo que traga as principais práticas de política de auditoria para Windows Server. Sempre que precisei de algo relacionado era uma luta para encontrar um bom artigo e quando encontrava tinha que pegar informações de vários blogs até chegar em uma conclusão. Como o meu intuito sempre foi facilitar a vida dos meus leitores e sempre trazer bons conteúdos em português, criei este artigo para servir como um guia – e, claro, não teria como não compartilhar com a comunidade.

Essas recomendações devem ser apenas um guia de linha de base inicial para os administradores. Cada organização deve tomar as suas próprias decisões sobre as ameaças que enfrentam, suas tolerâncias de risco aceitáveis e quais categorias ou subcategorias de diretiva de auditoria para Windows Server eles devem habilitar.

Políticas de auditoria recomendadas por sistema operacional

Esta seção contém tabelas que listam as recomendações de configuração de auditoria para Windows Server ou não, que se aplicam aos seguintes sistemas operacionais:

  • Windows Server 2016
  • Windows Server 2012
  • Windows Server 2012 R2
  • Windows Server 2008
  • Windows 10
  • Windows 8.1
  • Windows 7

Essas tabelas contêm a configuração padrão do Windows, as recomendações de linha de base e as recomendações mais fortes para esses sistemas operacionais.

Legenda das tabelas de política de auditoria para Windows Server

Categoria ou subcategoria da política de auditoriaPadrão do WindowsFalha de êxitoRecomendação de linha de baseFalha de êxitoRecomendação mais forteFalha de êxito
Logon da conta
Validação de Credenciais de AuditoriaNãoSim nãoSim Sim
Auditoria do serviço de autenticação KerberosSim Sim
Auditoria das operações do tíquete de serviço KerberosSim Sim
Auditoria de outros eventos de logon de contaSim Sim
Gerenciamento de contas
Auditoria do gerenciamento de grupo de aplicativos
Auditoria de Gerenciamento de Conta de ComputadorSim nãoSim Sim
Auditoria de Gerenciamento de Grupo de Distribuição
Auditoria de Outros Eventos de Gerenciamento de ContasSim nãoSim Sim
Auditoria de Gerenciamento de Grupo de SegurançaSim nãoSim Sim
Auditoria de Gerenciamento de Conta de UsuárioSim nãoSim nãoSim Sim
Acompanhamento detalhado
Auditoria de Atividade DPAPISim Sim
Auditoria de Criação de ProcessoSim nãoSim Sim
Auditoria de Terminação de Processo
Auditoria de Eventos de RPC
Acesso ao DS
Auditoria de Replicação Detalhada do Serviço de Diretório
Auditoria do acesso ao serviço de diretório
Auditoria de Alterações no Serviço de Diretório
Auditoria de Replicação do Serviço de Diretório
Logon e logoff
Auditoria de Bloqueio de ContaSim nãoSim não
Auditoria das declarações de dispositivo/usuário
Auditoria de Modo Estendido do IPsec
Auditoria de Modo Principal do IPsecSE FOR
Auditoria de Modo Rápido do IPsec
Logoff de AuditoriaSim nãoSim nãoSim não
Logon de auditoria 1Sim SimSim SimSim Sim
Auditoria de Servidor de Política de RedeSim Sim
Auditoria de outros eventos de logon/logoff
Auditoria de Logon EspecialSim nãoSim nãoSim Sim
Acesso a objeto
Auditoria de Aplicativo Gerado
Auditoria de serviços de certificação
Compartilhamento de Arquivos de Auditoria Detalhado
Auditoria de Compartilhamento de Arquivos
Auditoria de Sistema de Arquivos
Auditoria de Conexão de Plataforma de Filtragem
Auditoria de Descarte de Pacote de Plataforma de Filtragem
Auditoria de Manipulação de Identificador
Auditoria de Objeto Kernel
Auditoria de Outros Eventos de Acesso a Objetos
Auditoria de Registro
Auditoria do armazenamento removível
Auditoria de SAM
Auditoria do preparo da política de acesso central
Alteração de política
Auditoria de Alteração de Políticas de AuditoriaSim nãoSim SimSim Sim
Auditoria de Alteração de Políticas de AutenticaçãoSim nãoSim nãoSim Sim
Auditoria de Alteração de Políticas de Autorização
Auditoria de Alteração na Política da Plataforma de Filtragem
Auditoria de Alteração na Política de Nível de Regra MPSSVCSim
Auditoria de Outros Eventos de Alteração de Políticas
Uso de privilégios
Auditoria de Uso de Privilégio Não Importante
Auditoria de outros eventos de uso de privilégios
Auditoria de Uso de Privilégio Importante
Sistema
Auditoria do driver IPsecSim SimSim Sim
Auditoria de outros eventos do sistemaSim Sim
Auditoria de Alteração no Estado de SegurançaSim nãoSim SimSim Sim
Auditoria de Extensão do Sistema de SegurançaSim SimSim Sim
Auditoria da integridade do sistemaSim SimSim SimSim Sim
Auditoria de acesso a objetos globais
Auditoria do driver IPsec
Auditoria de outros eventos do sistema
Auditoria de Alteração no Estado de Segurança
Auditoria de Extensão do Sistema de Segurança
Auditoria da integridade do sistema

Recomendações de configurações de auditoria do Windows 10, do Windows 8 e do Windows 7.

1 a partir do Windows 10 versão 1809, o logon de auditoria é habilitado por padrão para êxito e falha. Nas versões anteriores do Windows, apenas êxito é habilitado por padrão.

Recomendações de configurações de auditoria para Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 R2 e Windows Server 2008.

Categoria ou subcategoria da política de auditoria para Windows ServerPadrão do WindowsFalha de êxitoRecomendação de linha de baseFalha de êxitoRecomendação mais forteFalha de êxito
Logon da conta
Validação de Credenciais de AuditoriaNãoSim SimSim Sim
Auditoria do serviço de autenticação KerberosSim Sim
Auditoria das operações do tíquete de serviço KerberosSim Sim
Auditoria de outros eventos de logon de contaSim Sim
Gerenciamento de contas
Auditoria do gerenciamento de grupo de aplicativos
Auditoria de Gerenciamento de Conta de ComputadorSim DCSim Sim
Auditoria de Gerenciamento de Grupo de Distribuição
Auditoria de Outros Eventos de Gerenciamento de ContasSim SimSim Sim
Auditoria de Gerenciamento de Grupo de SegurançaSim SimSim Sim
Auditoria de Gerenciamento de Conta de UsuárioSim nãoSim SimSim Sim
Acompanhamento detalhado
Auditoria de Atividade DPAPISim Sim
Auditoria de Criação de ProcessoSim nãoSim Sim
Auditoria de Terminação de Processo
Auditoria de Eventos de RPC
Acesso ao DS
Auditoria de Replicação Detalhada do Serviço de Diretório
Auditoria do acesso ao serviço de diretórioCONTROLADOR DE DOMÍNIO DCCONTROLADOR DE DOMÍNIO DC
Auditoria de Alterações no Serviço de DiretórioCONTROLADOR DE DOMÍNIO DCCONTROLADOR DE DOMÍNIO DC
Auditoria de Replicação do Serviço de Diretório
Logon e logoff
Auditoria de Bloqueio de ContaSim nãoSim não
Auditoria das declarações de dispositivo/usuário
Auditoria de Modo Estendido do IPsec
Auditoria de Modo Principal do IPsecSE FOR
Auditoria de Modo Rápido do IPsec
Logoff de AuditoriaSim nãoSim nãoSim não
Logon de AuditoriaSim SimSim SimSim Sim
Auditoria de Servidor de Política de RedeSim Sim
Auditoria de outros eventos de logon/logoffSim Sim
Auditoria de Logon EspecialSim nãoSim nãoSim Sim
Acesso a objeto
Auditoria de Aplicativo Gerado
Auditoria de serviços de certificação
Compartilhamento de Arquivos de Auditoria Detalhado
Auditoria de Compartilhamento de Arquivos
Auditoria de Sistema de Arquivos
Auditoria de Conexão de Plataforma de Filtragem
Auditoria de Descarte de Pacote de Plataforma de Filtragem
Auditoria de Manipulação de Identificador
Auditoria de Objeto Kernel
Auditoria de Outros Eventos de Acesso a Objetos
Auditoria de Registro
Auditoria do armazenamento removível
Auditoria de SAM
Auditoria do preparo da política de acesso central
Alteração de política
Auditoria de Alteração de Políticas de AuditoriaSim nãoSim SimSim Sim
Auditoria de Alteração de Políticas de AutenticaçãoSim nãoSim nãoSim Sim
Auditoria de Alteração de Políticas de Autorização
Auditoria de Alteração na Política da Plataforma de Filtragem
Auditoria de Alteração na Política de Nível de Regra MPSSVCSim
Auditoria de Outros Eventos de Alteração de Políticas
Uso de privilégios
Auditoria de Uso de Privilégio Não Importante
Auditoria de outros eventos de uso de privilégios
Auditoria de Uso de Privilégio Importante
Sistema
Auditoria do driver IPsecSim SimSim Sim
Auditoria de outros eventos do sistemaSim Sim
Auditoria de Alteração no Estado de SegurançaSim nãoSim SimSim Sim
Auditoria de Extensão do Sistema de SegurançaSim SimSim Sim
Auditoria da integridade do sistemaSim SimSim SimSim Sim
Auditoria de acesso a objetos globais
Auditoria do driver IPsec
Auditoria de outros eventos do sistema
Auditoria de Alteração no Estado de Segurança
Auditoria de Extensão do Sistema de Segurança
Auditoria da integridade do sistema

Deixe uma resposta

Campos requeridos estão marcados *.