Você está na página 1de 6

Auditoria de logon no Windows Server 2008 R2 (pt-BR)

Table of Contents

Introduo Habilitando a auditoria de logon em servidores Stand Alone. Habilitando a auditoria de logon em servidores membros de um domnio do Active Directory Consultar Logs de Segurana Cdigo e Descrio de tipos de logon Cdigo e Descrio de tipo de Evento

Introduo
Atravs do Event Viewer do Windows Server 2008 R2 possvel identificar as tentativas de acesso (logon) no servidor. Nem sempre tentativas sem sucesso de logon so ataques. As tentativas sem sucesso (Failure) so registradas somente se forem habilitadas atravs de uma politica de auditoria de logon. Talvez seja interessante Configurar auditoria dos eventos de logon de conta (pt-BR) e caso esteja habilitando auditoria em servidores com Windows Server Core veja este artigo: Encaminhando eventos de um Windows Server 2008 R2 Server Core (pt-BR)

Habilitando a auditoria de logon em servidores Stand Alone.


Clique em Start / Administrative Tools / Local Security Policy Ou simplesmente digite: Secpol.msc no RUN. Expandir: Local Policies / Audity Policy Clique duas vezes em Audit logon events e marque a opo Failure

Habilitando a auditoria de logon em servidores membros de um domnio do Active Directory


. Clique em Start / Administrative Tools / Group Policy Management. Expanda o n Forest Expanda o n Domains Expanda o domnio e com o lado direito do mouse em Default Domain Policy selecione Edit. No editor: Em Computer Configuration Expanda Policies / Windows Settings / Security Settings / Local Policies / Audit Policy . Clique duas vezes em Audit logon events e marque a opo Failure.

Execute o comando : Gpupdate /Force /target:computer para atualizar a politica no domnio. Com a politica de auditoria de logon habilitada j sero registrados os eventos no LOG de segurana.

Consultar Logs de Segurana


Para consultar os logs clique em: Start / Administrative Tools / Event Viewer. No Event Viewer em Windows Logs/ Security possvel verificar os eventos relacionados e quando houver ocorrncia de logon veremos o evento 4625

Os eventos trazem uma serie de informaes que descrevem exatamente o que aconteceu, como data, hora, usurio envolvido e muitas outras informaes de simples entendimento e outras baseadas em cdigos. A seguir uma lista de cdigos importantes para o entendimento correto da auditoria de logon.

Cdigo e Descrio de tipos de logon


LogonType Info 2 3 Interactive Network Descrio Um usurio fez logon nesse computador Um usurio ou computador fez logon nesse computador a partir da rede O tipo de logon Batch usado por servidores batch quando podem haver processos sendo executados em nome de um usurio sem a sua interveno direta. Um servio foi iniciado pelo Gerenciador de Controle de Servios Essa estao de trabalho foi desbloqueada Um usurio fez logon nesse computador a partir da rede. A senha do usurio foi transmitida ao pacote de autenticao em sua

Batch

5 7 8

Service Unlock NetworkCleartext

forma sem hash. Todos os pacotes de autenticao internos aplicam hash em credenciais antes de envi-las pela rede. As credenciais no precisam atravessar a rede em texto simples (tambm conhecido como texto no criptografado). Um chamador clonou seu token atual e especificou novas credenciais para conexes de sada. A nova sesso de logon possui a mesma identidade local, mas usa credenciais diferentes para outras conexes de rede.

NewCredentials

10

Um usurio fez logon nesse computador RemoteInteractive remotamente usando servios de terminal ou rea de trabalho remota Um usurio fez logon nesse computador com credenciais de rede que estavam armazenadas CachedInteractive localmente no computador. O controlador do domnio no foi contatado para verificar as credenciais

11

Cdigo e Descrio de tipo de Evento


A seguinte tabela enumera os tipos de eventos de segurana.

Status e Sub Status 0xC0000064 0xC000006A 0xC0000234 0xC0000072 0xC000006F 0xC0000070 0xC0000193 0xC0000071 0xC0000133

Descrio O usurio no existe O nome de usurio existe mas a senha esta errada. O usurio est bloqueado A conta est desabilitada Tentou fazer logon com uma conta com restrio de data e hora. Estao com restrio Conta expirada Senha expirada Os horrios entre o DC e o outro computadores esto fora de sincronia

0xC0000224 0xC0000225 0xc000015B 0xc000006d

O usurio deve alterar a senha no proximo logon BUG no sistema (no um risco) O usurio no tem o direito de fazer logon nesse computador. Problema causado pelo sistema e no est relacionado a segurana

Você também pode gostar