Uma das questões mais sensíveis que uma organização tem em mente é a segurança e confidencialidade, não só em seus princípios, mas em toda a sua infraestrutura (equipamentos, dados, usuários, etc.) e grande parte de todas essas informações ficam armazenadas nos servidores da organização e se tivermos acesso ao servidor como administrador, coordenador ou assistente de sistema, temos uma grande responsabilidade em prevenir o acesso não autorizado ao sistema.
Em muitas ocasiões, espero que não, é que em algumas situações eles foram apresentados acesso não devido ao sistema Y alterações não autorizadas foram feitas e infelizmente Não se sabe qual usuário foi o responsável ou quando o evento foi.
Vamos dar um exemplo real desta situação:
Em algum momento da empresa, alguém entrou no servidor e excluiu um usuário que, embora tivesse um nome padrão, era um usuário usado para acessar uma máquina produtiva, portanto, quando o usuário foi excluído, o serviço foi desativado e houve um grande problema e não foi possível determinar quem ou como fez a mudança.
Felizmente, o Windows Server nos permite realizar um processo de auditoria de todos os eventos que ocorreram no servidor e neste estudo vamos analisar como implementar esta auditoria simples e eficaz.
O ambiente em que trabalharemos será Visualização Técnica 5 do Windows Server 2016 Datacenter.
1. Implementar auditoria do Active Directory
A primeira coisa que devemos fazer é entrar no console de gerenciamento de política de grupo ou gpmc, para isso usaremos a combinação de teclas:
Nestes casos, devemos instalar gpmc com qualquer uma das seguintes opções:
- Entre no Server Manager e abra a opção: Adicionar funções e recursos e mais tarde em Recursos - Recursos selecionar Gerenciamento de políticas de grupo.
- Por meio do Windows PowerShell usando o cmdlet:
Windows-InstallFeature -Name GPMC
Assim que tivermos acesso ao gpmc veremos a janela onde ele aparece floresta, nós o implantamos e depois Domínios, então o nome do nosso domínio, então exibimos Controladores de domínio e finalmente selecionamos Política de controlador de domínio padrão.
Lá iremos clicar com o botão direito em Política de controlador de domínio padrão e nós selecionamos Editar ou Editar para fazer alguns ajustes nele e assim permitir o registro dos eventos que ocorreram em nosso Windows Server 2016.
Veremos o seguinte:
Como podemos ver, conseguimos acessar o editor das Políticas de Grupo de Controladores de Domínio, estando lá, vamos seguir o seguinte caminho:
- Configuração do Computador
- Políticas
- Configurações do Windows
- Configurações de segurança
- Configuração Avançada de Política de Auditoria
- Políticas de Auditoria
PROLONGAR
[color = # a9a9a9] Clique na imagem para ampliar [/ color]
Lá devemos configurar os parâmetros dos seguintes elementos:
- Logon da conta
- Gestão de Contas
- Acesso DS
- Logon / Logoff
- Acesso a Objetos
- Mudança de política
Vamos configurar Logon da conta, veremos que, uma vez selecionado no lado direito, o seguinte é exibido:
PROLONGAR
[color = # a9a9a9] Clique na imagem para ampliar [/ color]
Lá, devemos configurar cada uma dessas opções da seguinte maneira. Clique duas vezes em cada um e adicione os seguintes parâmetros.
Nós ativamos a caixa Configure os seguintes eventos de auditoria e marcamos as duas caixas disponíveis, Sucesso Y Falha, (Esses valores permitem que os eventos bem-sucedidos e com falha sejam registrados).
Fazemos isso com cada um e pressionamos Aplicar e logo OK para salvar as alterações.
Vamos repetir esse processo para todos os campos nos seguintes parâmetros:
- Gestão de Contas
- Acesso DS
- Logon / Logoff
- Acesso a Objetos
- Mudança de política
PROLONGAR
[color = # a9a9a9] Clique na imagem para ampliar [/ color]
Podemos ver no lado direito da coluna Eventos de auditoria que os valores configurados foram modificados (Sucesso e Falha).
A seguir vamos forçar as políticas que modificamos para que o sistema as adote, para isso entraremos na linha de comando cmd e digitaremos o seguinte comando:
gpupdate / force[color = # a9a9a9] Atualize as políticas sem precisar reinicializar. [/ color]
Saímos do cmd usando o comando exit. Agora vamos abra o editor ADSI ou ADSI Edit usando o termo adsiedit.msc a partir do comando Executar (Windows + R) ou inserindo o termo ADSI na caixa de pesquisa do Windows Server 2016 e selecionando ADSI Edit.
Veremos a seguinte janela:
Assim que estivermos dentro do ADSI Edit, clicaremos com o botão direito em ADSI Edit no lado esquerdo e selecione Conectar a.
A seguinte janela será exibida:
No campo Ponto de conexão na aba "Selecione um contexto de nomenclatura bem conhecido " Veremos as seguintes opções de conexão:
- Contexto de nomenclatura padrão
- Configuração
- RootDSE
- Esquema
Esses valores determinam como os eventos devem ser registrados em Windows Server 2016, neste caso devemos selecionar a opção Configuração para que os eventos a serem registrados tomem os valores da configuração feita anteriormente no gpmc.
Nós pressionamos OK e devemos repetir a etapa anterior para adicionar os outros valores:
- Padrão
- RootDSE
- Esquema
Esta será a aparência de ADSI Edit depois de adicionar todos os campos.
Agora devemos habilitar a auditoria em cada um desses valores, para isso realizaremos o processo em Contexto de nomenclatura padrão e vamos repetir esse processo para os outros.
Exibimos o campo e clicamos com o botão direito na linha do nosso controlador de domínio e selecionamos Propriedades (editar) - Propriedades.
Veremos a seguinte janela onde selecionamos a guia Segurança - Segurança.
Lá vamos apertar o botão Avançado - Avançado e veremos o seguinte ambiente onde selecionamos a guia Auditoria - Auditoria
Enquanto estiver lá, clicaremos em Adicionar adicionar Todos e desta forma poder auditar as tarefas executadas por qualquer usuário independentemente do seu nível de privilégios; Assim que pressionarmos Adicionar, procuraremos o usuário assim:
Nós pressionamos OK e na janela exibida marcaremos todas as caixas e apenas desmarcaremos as seguintes para fazer a auditoria:
- Controlo total
- Conteúdo da lista
- Leia todas as propriedades
- Permissões de leitura
PROLONGAR
[color = # a9a9a9] Clique na imagem para ampliar [/ color]
Nós pressionamos OK para salvar as alterações.
2. Eventos de auditoria de mudanças feitas no AD
Vamos lembrar de realizar as mesmas etapas para os outros valores nos nós de ADSI Edit. Para validar que todas as mudanças feitas em Windows Server 2016 estão registrados, abriremos o visualizador de eventos, podemos abri-lo da seguinte forma:
- Clique com o botão direito no ícone iniciar e selecione Visualizador de eventos ou Visualizador de eventos.
- No comando Executar, podemos inserir o termo:
eventvwr
e pressione Enter.
Esta será a aparência do Event Viewer em Windows Server 2016.
PROLONGAR
Como podemos ver, notamos que temos quatro categorias que são:
- Visualizações personalizadas: A partir desta opção, podemos criar visualizações personalizadas dos eventos no servidor.
- Logs do Windows: Através desta opção podemos analisar todos os eventos ocorridos no ambiente Windows, seja ao nível de segurança, arranque, eventos, sistema, etc.
- Logs de aplicativos e serviços: Com esta alternativa podemos ver os eventos ocorridos em relação aos serviços e aplicativos instalados no Windows Server 2016.
- Assinaturas: É um novo recurso no visualizador que permite que você analise todos os eventos que ocorreram com assinaturas do Windows, como o Azure.
Vamos mostrar, por exemplo, os eventos registrados no nível de segurança selecionando a opção Logs do Windows e lá escolhendo Segurança.
PROLONGAR
[color = # a9a9a9] Clique na imagem para ampliar [/ color]
Como podemos ver, os eventos são registrados por palavra-chave, data e hora do evento, ID que é muito importante, etc.
Se analisarmos veremos que existem milhares de eventos e pode ser difícil ler um a um para ver qual evento ocorreu, para simplificar esta tarefa podemos apertar o botão Filtro de registro atual para filtrar eventos de várias maneiras.
Lá podemos filtrar os eventos por nível de afetação (Crítico, Cuidado, etc.), por data, por ID, etc.
Se quisermos ver o eventos de logon Podemos filtrar pelo IKD 4624 (Logon) e obteremos os seguintes resultados:
PROLONGAR
[color = # a9a9a9] Clique na imagem para ampliar [/ color]
Podemos clicar duas vezes no evento ou clicar com o botão direito e selecionar Propriedades do Evento para visualizar informações detalhadas do evento, como data e hora, equipamento onde o evento foi gravado, etc.
Desta forma, temos em mãos um grande ferramenta para analisar quem fez qualquer modificação em um usuário, um objeto ou em geral no ambiente Windows Server 2016.
Alguns dos IDs mais importantes que podemos verificar são:
ID / Evento528 login realizado com sucesso
520 A hora do sistema foi modificada
529 Login errado (nome desconhecido ou senha errada)
538 Sair
560 Objeto aberto
4608 Inicialização do Windows
4609 Desligamento do Windows
4627 Informação do membro do grupo
4657 Um valor de registro foi modificado
4662 Um evento foi executado em um objeto
4688 Um novo processo foi criado
4698 Uma tarefa agendada foi criada
4699 Uma tarefa agendada foi excluída
4720 Uma conta de usuário foi criada
4722 Uma conta de usuário foi habilitada
4723 Foi feita uma tentativa de alterar a senha
4725 Uma conta de usuário foi desativada
4726 Uma conta de usuário foi excluída
4728 Um usuário foi adicionado a um grupo global
4729 Um usuário foi removido de um grupo global
4730 Um grupo de segurança foi removido
4731 Um grupo de segurança foi criado
4738 Uma conta de usuário foi modificada
4739 Uma política de domínio foi modificada
4740 Uma conta de usuário foi bloqueada
4741 Uma equipe foi criada
4742 Uma equipe foi modificada
4743 Uma equipe foi eliminada
4800 O computador foi bloqueado
4801 O equipamento foi desbloqueado
5024 Inicialização bem-sucedida do Firewall
5030 Falha ao iniciar o Firewall
5051 Um arquivo foi virtualizado
5139 Um serviço de diretório foi movido
5136 Um serviço de diretório foi modificado
Como podemos ver, temos vários IDs disponíveis para analisar cada evento que ocorre em nosso sistema. Windows Server 2016 e, assim, nos permite ter controle específico sobre os eventos que podem afetar o desempenho e a segurança do sistema.
