Calendário

Setembro 2010
STQQSSD
«Jul Out »
 12345
6789101112
13141516171819
20212223242526
27282930 

Enquetes

O que precisa melhorar neste blog?

Ver os resultados

Loading ... Loading ...

Logs de segurança em servidores windowsLogs de Segurança em servidores Windows

Logs de segurança?

Como descobrir quem excluiu determinado arquivo,ou quem abriu e alterou o conteúdo daquele ficheiro do chefe?

Quando alguma coisa deste tipo ocorre e é pedido ao Departamento de T.I. para averiguar quem efetuou o quê,muitas vezes os profissionais de T.I. menos experientes com a segurança da informação irão ficar frustados ao descobrir que o log de eventos do windows não tem as informações necessárias ou as respostas a estas perguntas.

É frustante varrer o Event Viewer em busca de informações para chegar à triste conclusão que elas não existem!

Por padrão,o Windows não habilita todas as opções de segurança. Esse é um processo manual e que deve ser feito pelo profissional de T.I. atendendo às exigências de cada empresa. Pessoalmente,eu acho que quanto mais logs disponíveis,mais fácil fica rastrear as ações dos usuários ou os problemas no sistema,no entanto isso tem um custo –espaço disponível.

Como que fazer?

Concordamos que o ideal é dispor dos logs de segurança em caso de necessidade,vou então demonstrar como fazer para habilitá-los:

1.º Passo –Ativação dos logs nas diretivas de segurança local do servidor:


Diretivas de SegurançaFig.1 –Acessar as diretivas de segurança local em Ferramentas Administrativas >Diretiva de Segurança Local

Após acessar as diretivas de segurança local,é necessário ativar todos os itens da Diretiva de Auditoria para Êxito e Falha e também os componentes de Auditoria em Opções de Segurança.

Diretivas de AuditoriaFig.2 –Ativar todos os itens para registro em Êxito e/ou Falha.

Ativar os itens Auditoria:Fazer auditoria do acesso a objetos do sistema global e Auditoria:Fazer auditoria do uso dos privilégios de Backup e Restauração.

Opções de SegurançaFig.3 –Ativar os itens de Auditoria em Opções de Segurança.

2.º Passo –Ativação do registro nas pastas ou unidades desejadas

Após termos feito estes passos poderiamos pensar que agora já estamos registrando tudo –não estamos! Agora temos ainda que selecionar os arquivos,pastas ou unidades para os quais queremos auditar as informações.

Abaixo demonstro os passos necessários:

Propriedades pastasFig.4 –Acessar a pasta ou unidade desejada e clicar em Propriedades ou Compartilhamento e Segurança.

Propriedades de SegurançaFig.5 -Na aba de Segurança,clicar em Avançado para ver as permissões especiais e configurações avançadas.

Adicionar AuditoriaFig. 6 –Na aba de Auditoria clicar em Adicionar para adicionar a entrada de auditoria (caso já exista pode editar a entrada existente).

Adicionar o usuário “Todos“,  desta forma garante que qualquer entrada é registrada,independentemente do nível e do grupo de acesso do usuário. Após isso selecionar os itens que deseja auditar,aconselho a selecionar todos os itens e marcar sempre o Êxito e a Falha.

Selecionar auditoriaFig. 7 –Marcar o Êxito e a Falha.

É aconselhável marcar a opção Substituir as entradas de auditoria em todos os objetos filho pelas entradas aplicáveis mostradas aqui. Isso assegura que todos os níveis terão as entradas de auditoria que queremos. Caso esteja herdando alguma coisa do pai,desmarcar a opção acima:Permitir que as entradas de auditoria herdáveis do pai sejam propagadas…

Finalizar propriedades de auditoriaFig. 8 –Marcar:Substituir as entradas de auditoria em todos os objetos filho…

3.º Passo –Tamanho dos logs de segurança.

Agora terminámos? Quase…lembra-se que falei que ativar os logs tem um custo? Exatamente! O espaço físico (armazenamento) dos logs! Por padrão o Windows Server registra 16Mb de informação em log,se o servidor de arquivos atender a muitos usuários rápidamente vai encher o log de segurança.

E o que acontece ao encher os logs? –Depende. Depende de como estiver a configuração do seu servidor. O windows pode simplesmente parar de registrar as entradas de auditoria,substituir as últimas entradas pelas mais recentes ou até parar o servidor!

Então agora teremos que analisar o impacto da ativação das entradas de auditoria no sistema,ou seja,monitorar o desempenho do Event Viewer (Visualizador de Eventos) e verificar quanto tempo ele está levando para “encher”os logs. Podemos aumentar o tamanho desses logs,mas lembre-se que o tamanho é medido em Kb. Então para aumentar os logs para 1Gb devermos fazer 1Mb = 1024Kb,logo 1024Mb = 1024x1024Kb = 1048576Kb = 1Gb.

Para isso abrir o Event Viewer,clicar com o botão direito no tipo de log de eventos que se deseja alterar (exemplo “Segurança”),clique em Propriedades e acesse a aba Geral.

Alteração de tamanho do logFig.9 –Alterar tamanho do log de eventos.

Atenção que ativando todas as opções de auditoria o tamanho dos logs irá aumentar rapidamente! Eu aconselho que sejam verificados os logs periodicamente,e o melhor mesmo é efectuar um script que automaticamente (e diariamente) descarregue os logs de segurança para uma pasta no servidor de arquivos (ou lugar seguro) e limpe o Event Viewer.

Veja o meu próximo artigo sobre como criar um script de arquivamento de logs para saber mais.

Deixar uma Resposta

  

  

  


*

You can use these HTML tags

<a href=""title=""><abbr title=""><acronym title=""><b><blockquote cite=""><cite><code><del datetime=""><em><i><q cite=""><strike><strong>