Ol a todos, netes artigo vamos ver como configurar Auditoria ao Sistema de Arquivos no Windows 2008 Server R2.

Auditando o Acesso ao Sistema de Arquivos no Windows 2008 Server R2 Primeiramente vamos falar um pouco sobre a Auditoria do Windows 2008 e o que temos de novidades com relao aos Logs. Como parte de sua estratgia de segurana geral, voc deve determinar o nvel de auditoria apropriada para o ambiente. A auditoria deve identificar ataques, sejam bem-sucedidos ou no, que representem uma ameaa rede ou a recursos que voc determinou que so valiosos. Em qualquer ambiente seguro, voc deve monitorar ativamente as invases e os ataques. Seria contraproducente implementar sistemas seguros e no realizar qualquer auditoria, com base na suposio de que voc no ser atacado. Ao decidir o quanto auditar, tenha em mente que quanto mais voc auditar, mais eventos gerar e mais difcil poder ser a identificao de eventos crticos. Se voc estiver realizando uma auditoria extensiva, recomendo o uso de ferramentas adicionais, como o SCOM 2007 R2 (System Center Operations Manager), para ajudar a filtrar eventos que tenham maior importncia. Os eventos de auditoria podem ser divididos em duas categorias: eventos de xito e eventos de falha. Um evento de xito indica que um usurio obteve acesso com xito a um recurso, enquanto um evento de falha mostra que ele tentou, mas no conseguiu. Os eventos de falha so muito teis para controlar tentativas de ataques ao ambiente, mas os eventos de xito so muito mais difceis de ser interpretados. Embora a grande maioria dos eventos de auditoria bem-sucedidos serem simplesmente indicaes de atividade normal, um invasor que consiga obter acesso a um sistema tambm gerar um evento de xito. Com freqncia, um padro de eventos to importante quanto os prprios eventos. Por exemplo, uma srie de falhas seguida de um xito pode indicar que uma tentativa de ataque acabou sendo bem-sucedida. O Windows Server 2008, Windows Vista e o Windows 7 traz uma infraestrutura nova de registro de auditoria e tratamento de eventos chamado Windows Eventing 6.0. Essa a maior mudana nesta rea desde o lanamento do Windows NT, e traz novidades especificamente desenhadas para nos ajudar na gerncia de logs do Windows -Novidades Novo formato para os eventos. Informaes mais claras e compreensveis, e uma guia separado para os detalhes.

Eventos formatados em XML. Os eventos so gravados agora dentro do Windows em formato XML, que pode ser recuperado via XPath. (XPath um conjunto de regras de sintaxe para definir partes de um documento XML)

Antes e Depois. Nos eventos de alteraes no Active Directory e no Registry, o registro de eventos indica no s que houve uma alterao, mas mostra tambm o valor anterior e o novo valor. Agora possvel saber exatamente qual mudana foi feita por quem, isso facilita caso seja necessrio reverter o processo/ao efetuada. Poltica de Auditoria Granular. Nas verses anteriores existiam somente 9 categorias que voc podiahabilitar ou desabilitar, para eventos de sucesso ou falha. No Windows Server 2008 essas categorias so divididas em 56 subcategorias, e podem ser configuradas individualmente. Granular Audit Policy pode ser configurada via poltica de grupo, mesmo em domnios rodando ainda Windows 2003. Escalabilidade. Com certeza um grande avano!!! Os logs nas verses anteriores no Windows estavam limitados entre 200 600MB, dependendo da memria (Exatamente, memria!) do sistema. No Windows Server 2008 o log est limitado somente pelo seu espao em disco. Anexar uma tarefa a um evento. Isso sim muito bom! Voc pode anexar uma tarefa agora a um evento especfico ou at mesmo em 1 LOG completo, configurando o Windows para executar automaticamente um programa, um script ou apenas mostar uma mensagem ao operador quando um determinado evento acontecer.

Replicao de Eventos. Event subscriptions. Um sistema pode ser configurado para coletar os registros de auditoria de outros sistemas, buscando o contedo XML de acordo com os filtros que voc definir. A replicao autenticada, e a transferncia atravs da rede pode ser protegida via SSL. Reteno Automtica. Agora podemos configurar a opo de arquivar os logs antigos automaticamente assim que o espao do log completado. Uma vez cheio, o log gravado em um arquivo.evtx, gerado um evento com ID 1104 (Event log rollover) e a gravao retomada.

Uma coisa no muito boa que os nmeros dos eventos (event ID) foram alterados de uma verso para outra. Ento, fique ciente disso se voc for fazer alguma correlao entre sistemas de verses diferentes. Essa foi uma Viso Geral do Event Viewer do Windows Server 2008, e agora vamos configurar as Definies de Auditoria em Pastas. Vamos auditar uma pasta de dados como exemplo. Primeiramente entramos nas propriedades da pasta e selecionamos a aba Security (Figura1.0)

Figura 1.0 - Advanced Clicamos agora no boto Advanced conforme exibido na Figura 1.0 e na tela Advanced Security Settings selecionamos a aba Auditing, Clique no boto Continue Se voc receber essa tela (Figura 1.1)

Figura 1.1 - Auditing (Figura 1.2) Agora clique no boto Add e adicione usurios ou grupos a serem auditados nesta pasta. Nesse caso vou adicionar o grupo Everyone (Todos). (Figura 1.3)

Figura 1.2

Figura 1.3

- Auditing Entry Ao clicar em OK ser exibido a seguinte tela (Figura 1.4) Onde iremos marcar quais aes efetuadas pelos usurios devem ser auditadas.

Figura 1.4

D Ok e Apply at fechar todas as janelas. Detalhe: Os Logs de auditoria tm a tendncia de ficar muito grandes com muita rapides, portanto, a regra de ouro da auditoria configurar o mnimo necessrio. A especificao dos xitos e das falhas de auditoria em uma pasta de dados

auditoria configurar o mnimo necessrio. A especificao dos xitos e das falhas de auditoria em uma pasta de dados ativa para o grupo Todos utilizando o Controle Total (Todas as Permisses) geraria logs enormes de auditoria que afetariam o desempenho do servidor, e poderiam tornar impossivel a localizao de um evento auditado especifico. Vamos agora aplicar a Auditoria via GPO utilizando o GPMC (Group Policy Management Console) Este que j vem instalado no Windows 2008. A Configurao das entradas de auditoria no descritor de segurana de um arquivo ou pasta no permite, por si s, a auditoria. A auditoria deve ser ativada por meio de uma diretiva. Para abrir o GPMC clique em Start, Administrative Tools e Selecione Group Policy Management (Figura 1.5)

Figura 1.5 - GPMC No GPMC vamos criar uma nova GPO clicando com o boto direito sobre Group Policy Objects e Selecionando New (Figura 1.6)

Figura 1.6

- New GPO Vamos simplismente dar 1 nome para a GPO e clicar em OK

- Edit Agora vamos editar a GPO de acordo com a imagem (Figura 1.7)

Figura 1.7

- Group Policy Management Editor (Figura 1.8)Para configurar a Auditoria na GPO siga os caminhos: -Computer Configuration > Policies > Windows Settings > Security Settings > Local Policy > Audit Policy

Figura 1.8

- Audit Directory service access Clicando 2x sobre Audit Directory service access para abrir as suas propriedades vamos deixa-la como na imagem (Figura 1.9) e clique em OK. E pode fechar o Group Policy Management Editor

Figura 1.9

De volta ao GPMC vamos agora clicar com o direito sobre o nome do noso dominio onde desejamos ativar a GPO e selecionar Link an Existing GPO (Figura 2.0) ou tambm diretamente em algum OU especifica onde se encontram as contas de computadores.

Figura 2.0

- Select GPO Agora vamos selecionar a GPO clicando sobre o seu respectivo nome e depois em OK. (Figura 2.1)

Figura 2.1 Pronto, agora tudo que foi configurado para ser auditado na pasta e na diretiva ser registrado no Log Security no Event Viewer.

Por enquanto isso.