Segurança – Introdução a Auditoria

Publicado em por

auditoria Nenhuma estratégia de segurança está completa sem uma estratégia de auditoria abrabgente. Com freqüência, organizações compreendem isso somente após sofrerem um incidente de segurança. Sem uma faixa de auditoria de ações, é quase impossível investigar com êxito um incidente de segurança. Você deve determinar, como parte da sua estratégia de segurança como um todo, que eventos necessitam de auditoria, qual o nível de auditoria adequado para o seu ambiente, como os eventos dos quais foi feita a auditoria são coletados e como são consultados.

Auditoria é o processo que rastreia as atividades do usuário e as atividades do sistema operacional gravando tipos selecionados de eventos no log de segurança de um servidor ou de uma estação de trabalho. Logs de segurança contêm várias entradas de auditoria, que contêm as informações a seguir:

  • A Ação que foi executada.
  • O usuário que executou a ação.
  • O êxito ou falha do evento e quando ele ocorreu.
  • Informações adicionais, como o computador no qual o evento ocorreu.

As necessidades de segurança de uma organização ajudam a determinar a quantidade de auditoria usada. Por exemplo, uma rede de segurança mínima pode optar por fazer a auditória de tentativas de logon que falharam para monitorar ataques de força bruta em potencial. Uma rede de alta segurança pode optar por fazer a auditoria de tentativas de logon de êxito ou de falha para rastrear quaisquer usuários não autorizados que consigam obter acesso à rede.

Embora a auditoria possa oferecer informações valiosas, auditorias excessivas podem preencher o log com informações desnecessárias. Sso pode afetar potencialmente o desempenho do sistema e dificultar muito a localização de informações importantes.

Os tipos mais comuns de eventos a serem submetidos à auditoria ocorrem quando:

  • Objetos, como arquivos e pastas, são acessados.
  • Contas de usuário e contas de grupos são gerenciadas.
  • Usuários fazem logon e logoff do sistema.

Estabelecer uma diretiva de auditoria é uma parte importante da segurança. O monitoramento da criação ou modificação de objetos que você rastreie possíveis problemas de segurança.

Uma Diretiva de auditoria define os tipos de eventos de segurança que o Windows Server 2003 grava no log de segurança em cada computador. O Windows Server 2003 grava eventos no log de segurança do computador específico onde ocorreu o evento.

Configure a diretiva de auditora em um computador para:

  • Rastrear os eventos de êxito ou de falha, como tentativas de fazer logon, tentativas de um usuário em particular de ler um arquivos específico, alterações em uma conta de usuário ou membro de grupo, e alterações das configurações de segurança.
  • Minimizar o risco de uso não autorizado de recursos.
  • Manter um registro de atividades do usuário e do administrador.

Use Visualizar Eventos para exibir os eventos que o Windows Server 2003 registra no log de segurança. Você também pode arquivar os logs para rastrear tendências ao longo do tempo. Isso é útil para determinar tendências no uso de impressoras, acesso a arquivos e tentativas de uso não autorizado de recursos.

Você pode configurar uma diretiva de auditoria em qualquer computador, tanto diretamente usando o snap-in Diretiva Local ou indiretamente utilizando a Diretiva de Grupo, que é uma comumente usada em grandes organizações. Depois do desenvolvimento e da implementação de uma diretiva de auditoria, informações começam a ser exibidas nos logs de segurança. Cada computador na organização possui um log de segurança separado que registra eventos locais.

Quando você implementa um diretiva de auditoria:

  • Especifique as categorias de eventos das quais deseja fazer auditoria.

Exemplos de categorias de evento são logon e logoff do usuário e gerenciamento de contas. As categorias de eventos especificas constituem a diretiva de auditoria . Não há uma diretiva de auditoria padrão.

  • Defina o tamanho e o comportamento do log de segurança. O log de segurança pode ser exibido com o recurso Visualizar Eventos.
  • Determine de que objetos você deseja monitorar o acesso e que tipo de acesso deseja monitorar, se deseja fazer a auditoria do acesso ao serviço de diretório ou ao objeto. Por exemplo, se desejar fazer a auditoria de usuários que tentam abrir um arquivo em particular, pode definir as configurações da diretiva de auditoria na categoria de evento de acesso ao objeto, para que as tentativas de êxito e de falha na leitura de um arquivo sejam registradas.

Tipos de Eventos de auditoria

O primeiro passo para a criação de uma estratégia de auditoria do sistema operacional é a determinação do tipo de ações ou operações que você necessita registrar.

De quais eventos do sistema operacional você deve fazer auditoria? Não convém fazer a auditoria de todos os eventos, pois isso requer uma enorme quantidade de recursos e pode afetar de maneira negativa o desempenho do sistema. Você deve trabalhar com outros especialistas de segurança para determinar de que eventos do sistema operacional devem fazer a auditoria. Faça a auditoria somente dos eventos que você considera úteis para referência no futuro.

Uma maneira eficaz de fazer essa avaliação, é reunir i grupo de pessoas relevante e discutir:

  • Que ações ou operações você deseja rastrear.
  • Em que sistemas você deseja rastrear esses eventos.

Por exemplo, você pode decidir rastrear:

  • Todos os domínios eventos de logon locais em todos os computadores.
  • O uso de todos os arquivos na pasta Publico no servidor de Arquivos.

No Windows Server 2003, eventos de auditoria podem ser divididos em duas categorias:

  • Eventos de êxito: Um evento de êxito indica que o sistema operacional concluiu com êxito a ação ou operação. Eventos de êxito são indicados pelo ícone de uma chave.
  • Evento de falha: Um evento de falha indica que houve uma tentativa de ação ou operação malsucedida. Eventos de falha são indicados pelo ícone de um cadeado.

Eles são muito úteis para rastrear tentativas de ataques no seu ambiente, mas eventos de êxito são muito mais difíceis de interpretar. A grande maioria de eventos de êxito são indicações de atividade normal e um agressor que acessa um sistema também gera um evento de êxito.

Frequentemente, um padrão de eventos é tão importante quanto os eventos em si. Por exemplo, uma serie de falhas seguidas de êxito podem indicar uma tentativa de ataque que obteve êxito eventualmente.

Do mesmo modo, o desvio de um padrão pode também indicar uma atividade suspeita. Por exemplo, suponha que os logs de segurança mostrem que um usuário na sua organização faz logon entre 8h e 10h nos dias de trabalho, mas de repente o usuário faz logon na rede às 15h. Apesar desse comportamento poder ser inocente, ele deve ser investigado.

O primeiro passo para a implementação de uma diretiva de auditoria é a seleção dos tipos de eventos dos quais você deseja que o Windows Server 2003 faça a auditoria. Abaixo descreve esses eventos.

  • Logon de conta: Uma conta é autenticada por um banco de dados de segurança. Quando um usuário faz logon no computador local, o computador registra o evento LogonDeConta. Quando um usuário faz logon no domínio, o controlador de domínio de autenticação registra o evento Logon de conta.
  • Gerenciamento de Conta: Um administrador cria, altera ou exclui uma conta de usuário ou grupo; uma conta de usuário é renomeada, desativada ou reativada; ou uma senha é definida ou alterada.
  • Acesso ao serviço de diretório: Um usuário acessa um objeto do Active Directory. Para fazer o log desse tipo de acesso, você deve configurar objetos para auditoria específicos do Active Directory.
  • Logon: Um usuário faz logon ou logoff de um computador local, ou efetua ou cancela uma conexão de rede ao computador. O evento é registrado no computador que o usuário acessa, independente de uma conta local ou de uma conta de domínio se usada.
  • Acesso ao objeto: Um usuário acessa um arquivo, pasta ou impressora. O administrador deve configurar arquivos, pastas ou impressoras específicos para auditoria.
  • Alteração de diretiva: Um alteração é feita nas opções de segurança do usuário ( por exemplo, opções de senha ou configurações de logon de conta), direitos de usuários ou diretivas de auditoria.
  • Uso de privilégios: Um usuário exercita o seu direito, como quando altera a hora do sistema (que não inclui direitos relacionados ao logon de conta), direitos de usuário ou diretivas de auditoria.
  • Rastreamento do processo: Um aplicativo executa uma ação. Em geral esta informação é útil somente para programadores que desejam controlar os detalhes sobre aplicativos em execução.
  • Sistema: Um usuário reinicia ou desliga o computador, ou ocorre um evento que afeta a segurança ou log de segurança do Windows Server 2003.

Fonte:Desmonta&CIA

Deixe um comentário