Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
As informações neste tópico explicam os aprimoramentos de auditoria de segurança introduzidos no Windows Server 2012 e as novas configurações de auditoria que você deve considerar ao implantar o Controle de Acesso Dinâmico em sua empresa. As configurações reais da política de auditoria que você implantar dependerão de suas metas, que podem incluir conformidade normativa, monitoramento, análise forense e solução de problemas.
Note
Informações detalhadas sobre como planejar e implantar uma estratégia geral de auditoria de segurança para sua empresa são explicadas em Planejando e implantando políticas avançadas de auditoria de segurança. Para obter mais informações sobre como configurar e implantar uma diretiva de auditoria de segurança, consulte o Guia Passo a Passo da Política de Auditoria de Segurança Avançada.
Os seguintes recursos de auditoria de segurança no Windows Server 2012 podem ser usados com o Controle de Acesso Dinâmico para estender sua estratégia geral de auditoria de segurança.
Políticas de auditoria baseadas em expressões. O Controle de Acesso Dinâmico permite criar políticas de auditoria direcionadas usando expressões baseadas em declarações de usuário, computador e recursos. Por exemplo, você pode criar uma política de auditoria para controlar todas as operações de leitura e gravação em arquivos classificados como de alto impacto nos negócios por funcionários que não têm uma autorização de alta segurança. As políticas de auditoria baseadas em expressões podem ser criadas diretamente para um arquivo ou pasta ou centralmente por meio da Diretiva de Grupo. Para obter mais informações, consulte Diretiva de Grupo usando a auditoria de acesso a objetos globais.
Informações adicionais da auditoria de acesso a objetos. A auditoria de acesso a arquivos não é nova no Windows Server 2012. Com a política de auditoria correta em vigor, os sistemas operacionais Windows e Windows Server geram um evento de auditoria cada vez que um usuário acessa um arquivo. Os eventos de Acesso a Arquivos existentes (4656, 4663) contêm informações sobre os atributos do arquivo que foi acessado. Essas informações podem ser usadas por ferramentas de filtragem de log de eventos para ajudá-lo a identificar os eventos de auditoria mais relevantes. Para obter mais informações, consulte Audit Handle Manipulation e Audit Security Accounts Manager.
Mais informações sobre eventos de início de sessão do usuário. Com a política de auditoria correta em vigor, os sistemas operacionais Windows geram um evento de auditoria sempre que um usuário entra em um computador local ou remotamente. No Windows Server 2012 ou no Windows 8, você também pode monitorar declarações de usuário e dispositivo associadas ao token de segurança de um usuário. Os exemplos podem incluir autorizações de Departamento, Empresa, Projeto e Segurança. O evento 4626 contém informações sobre essas declarações de usuário e declarações de dispositivo, que podem ser aproveitadas por ferramentas de gerenciamento de log de auditoria para correlacionar eventos de logon do usuário com eventos de acesso a objetos para habilitar a filtragem de eventos com base em atributos de arquivo e atributos de usuário. Para obter mais informações sobre a auditoria de logon do usuário, consulte Auditar Logon.
Rastreamento de alterações para novos tipos de objetos securizáveis. O controle de alterações em objetos protegíveis pode ser importante nos seguintes cenários:
Controlo de alterações para políticas de acesso central e regras de acesso central. As políticas de acesso central e as regras de acesso central definem a política central que pode ser usada para controlar o acesso a recursos críticos. Qualquer alteração a eles pode afetar diretamente as permissões de acesso a arquivos concedidas aos usuários em vários computadores. Portanto, controlar as alterações nas políticas de acesso central e nas regras de acesso central pode ser importante para sua organização. Como as políticas de acesso central e as regras de acesso central são armazenadas nos Serviços de Domínio Ative Directory (AD DS), você pode auditar tentativas de modificá-las, como auditar alterações em qualquer outro objeto protegível no AD DS. Para obter mais informações, consulte Acesso ao serviço de diretório de auditoria.
Rastreamento de alterações para definições no dicionário de reivindicações. As definições de declaração incluem o nome da declaração, a descrição e os valores possíveis. Qualquer alteração na definição de declaração pode afetar as permissões de acesso em recursos críticos. Portanto, controlar as alterações nas definições de declaração pode ser importante para sua organização. Como as políticas de acesso central e as regras de acesso central, as definições de declaração são armazenadas no AD DS; portanto, eles podem ser auditados como qualquer outro objeto protegível no AD DS. Para obter mais informações, consulte Acesso ao serviço de diretório de auditoria.
Controle de alterações para atributos de arquivo. Os atributos de arquivo determinam qual regra de acesso central se aplica ao arquivo. Uma alteração nos atributos do arquivo pode potencialmente afetar as restrições de acesso no arquivo. Portanto, pode ser importante controlar as alterações nos atributos de arquivo. Você pode controlar as alterações nos atributos de arquivo em qualquer computador configurando a política de auditoria de alteração da política de autorização. Para obter mais informações, consulte Auditoria de alteração de política de autorização e Auditoria de acesso a objetos para sistemas de arquivos. No Windows Server 2012, o Evento 4911 diferencia as alterações de diretiva de atributo de arquivo de outros eventos de alteração de diretiva de autorização.
Rastreamento de Chang para a política de acesso central associada a um arquivo. O evento 4913 exibe os identificadores de segurança (SIDs) das antigas e novas políticas de acesso central. Cada política de acesso central também tem um nome amigável que pode ser pesquisado usando esse identificador de segurança. Para obter mais informações, consulte Auditoria de alteração de política de autorização.
Controle de alterações para atributos de usuário e computador. Como arquivos, objetos de usuário e computador podem ter atributos, e alterações nesses atributos podem afetar a capacidade do usuário de acessar arquivos. Portanto, pode ser valioso controlar as alterações nos atributos do usuário ou do computador. Os objetos de usuário e computador são armazenados no AD DS; portanto, as alterações em seus atributos podem ser auditadas. Para obter mais informações, consulte DS Access.
Preparação de mudança de política. As alterações nas diretivas de acesso central podem afetar as decisões de controle de acesso em todos os computadores em que as diretivas são aplicadas. Uma política flexível pode conceder mais acesso do que o desejado, e uma política excessivamente restritiva pode gerar um número excessivo de chamadas de Help Desk. Como resultado, pode ser extremamente valioso verificar as alterações em uma política de acesso central antes de aplicar a alteração. Para isso, o Windows Server 2012 introduz o conceito de "preparação". O preparo permite que os usuários verifiquem as alterações de política propostas antes de aplicá-las. Para usar o faseamento de políticas, as políticas propostas são implementadas com as políticas aplicadas, mas as políticas em fase não concedem ou negam permissões. Em vez disso, o Windows Server 2012 registra um evento de auditoria (4818) sempre que o resultado da verificação de acesso que usa a diretiva em estágios é diferente do resultado de uma verificação de acesso que usa a diretiva imposta.