Documentação sobre Diretivas de Auditoria de Segurança em

JOSE NETO LUZ CARNEIRO
DOCUMENTAÇÃO SOBRE DIRETIVAS DE AUDITORIA
DE SEGURANÇA EM DOMÍNIO WINDOWS 2003 SERVER
Palmas
2006
2
JOSÉ NETO LUZ CARNEIRO
DOCUMENTAÇÃO SOBRE DIRETIVAS DE AUDITORIA
DE SEGURANÇA EM DOMÍNIO WINDOWS 2003 SERVER
“Trabalho apresentado como
requisito parcial da disciplina
Estágio
Supervisionado
do
Curso
de
de
Informação,
Sistemas
supervisionado
pelo Prof. Ricardo Max.”
Palmas
2006
3
SUMÁRIO
1. INTRODUÇÃO.................................................................................................... 5
2. REVISÃO DE LITERATURA ............................................................................ 8
2.1. Active Directory................................................................................................ 8
2.1.1.
Domínios ...................................................................................................... 9
2.1.2.
Árvore de domínios ...................................................................................... 9
2.1.3.
Floresta de domínios................................................................................... 10
2.1.4.
Esquema ..................................................................................................... 11
2.1.5.
Objetos do Active Directory ....................................................................... 11
2.1.6.
Unidades Organizacionais .......................................................................... 12
2.1.7.
Diretivas de segurança................................................................................ 12
2.1.8.
Vantagens do Active Directory................................................................... 13
2.1.9.
Armazenamento de dados do Active Directory .......................................... 13
2.2. DNS – Domain Name System......................................................................... 14
2.3. GPMC – Group Policy Manager Console ..................................................... 16
2.4. Segurança de Rede.......................................................................................... 17
2.5. Auditoria em Redes Windows........................................................................ 18
2.6. Categorias dos eventos de auditoria ............................................................... 21
2.7. Registros de Logs ........................................................................................... 21
2.7.1.
Auditoria de acesso a objetos ..................................................................... 22
2.7.2.
Auditoria de Acesso ao serviço de diretório............................................... 25
2.7.3.
Auditoria de alteração de diretiva............................................................... 25
2.7.4.
Auditoria de controle de processo .............................................................. 27
2.7.5.
Auditoria de eventos de Logon................................................................... 29
2.7.6.
Auditoria de eventos de Sistema ................................................................ 32
2.7.7.
Auditoria de Gerenciamento de conta ........................................................ 33
2.7.8.
Auditoria de uso de privilégios................................................................... 36
2.7.9.
Auditoria de eventos de logon de conta...................................................... 37
3. PREPARAÇÃO DO AMBIENTE ..................................................................... 39
3.1. Cenário ........................................................................................................... 39
3.1.1.
Computadores............................................................................................. 39
3.1.2.
Sistemas ...................................................................................................... 39
3.1.3.
Configuração .............................................................................................. 39
3.2. Configuração do Controlador de Domínio e Servidor DNS........................... 40
3.3. Configurações do endereço do DNS nos equipamentos................................. 45
3.4. Instalação da ferramenta de Gerenciamento de Políticas de Grupo ............... 47
3.5. Operacionalização da ferramenta GPMC no Windows Server 2003 ............. 49
3.5.1.
Execução da ferramenta GMPC. ................................................................ 49
3.5.2.
Criação de uma nova Diretiva de grupo ..................................................... 50
3.5.3.
Realização de backup das diretivas de grupo ............................................. 51
3.5.4.
Editor de Diretivas de grupo....................................................................... 52
3.6. Configuração da diretiva de Auditoria de grupo ............................................ 53
3.6.1.
Ativação das diretivas de grupo.................................................................. 54
3.6.2.
Ativação das diretivas de auditoria no Computador Local......................... 57
3.7. Configuração da política de armazenamento dos Logs de segurança. ........... 57
3.8. Aplicação das diretivas de Auditoria.............................................................. 59
3.8.1.
Passos para aplicação da diretiva de auditoria............................................ 60
4
3.8.2.
Herança e conflito na aplicação da diretiva de auditoria............................ 62
3.8.3.
Modificação de configuração de diretiva de grupo .................................... 63
3.8.4.
Atualização das Diretivas ........................................................................... 64
3.8.5.
Aplicação da diretiva de acesso a objetos. ................................................. 64
3.8.6.
Aplicação da diretiva de acesso ao serviço de diretório............................. 67
3.8.7.
Aplicação de Auditoria de alteração de diretiva......................................... 72
3.8.8.
Aplicação de Auditoria de controle de processo ........................................ 73
3.8.9.
Aplicação de Auditoria de auditoria de eventos de logon .......................... 73
3.8.10. Aplicação de diretiva de auditoria de eventos de Sistema.......................... 74
3.8.11. Aplicação de diretiva de auditoria de gerenciamento de contas................. 75
3.8.12. Aplicação de diretiva de auditoria uso de privilégios ................................ 76
3.8.13. Aplicação de diretiva de auditoria de eventos de logon de conta............... 77
4. RESULTADOS E DISCUSSÕES...................................................................... 78
4.1. Visualização dos Logs de segurança .............................................................. 78
4.1.1.
Visualização dos Logs a partir do controlador de domínio........................ 78
4.1.2.
Visualizar Logs de segurança na própria estação de trabalho. ................... 81
4.1.3.
Visualizar Logs de segurança do controlador de domínio. ........................ 81
4.2. Teste de aplicação das diretivas ..................................................................... 82
4.2.1.
Teste de aplicação da diretiva de acesso a objetos. .................................... 82
4.2.2.
Teste de aplicação da diretiva de acesso a serviço de diretório.................. 83
4.2.3.
Teste de aplicação de auditoria de alteração de diretiva. ........................... 87
4.2.4.
Teste de aplicação da diretiva de auditoria de controle de processo. ......... 90
4.2.5.
Teste de aplicação da diretiva de auditoria de eventos de logon................ 91
4.2.6.
Teste de aplicação da diretiva de auditoria de eventos de Sistema. ........... 93
4.2.7.
Teste de aplicação de auditoria de Gerenciamento de Conta. .................... 94
4.2.8.
Teste de aplicação de auditoria de uso de privilégios. ............................... 97
4.2.9.
Teste de aplicação de auditoria de eventos de logon de conta. .................. 98
5. CONCLUSÕES ................................................................................................ 100
6. REFERÊNCIAS BIBLIOGRÁFICAS ............................................................. 102
5
1. INTRODUÇÃO
A difusão das conectividades, do digital, da virtualização e a expansão célere da
rede mundial de computadores, a Internet, têm contribuído eficazmente para diminuir as
dificuldades de diversas atividades. Como também têm colaborado no esvaziamento da
falta de nivelamento e acesso às informações, em razão das distâncias entre os locais tidos
como desenvolvidos e os mais desprovidos de tecnologias e modernização.
O mundo ficou próximo demais tanto para o que é benéfico como para o que o não
é, ou seja, abriram-se portas para as informações fluírem, porém essas portas abertas sem
controle efetivo, permitem acessos construtivos e destrutivos. Para identificá-los faz-se
necessário o uso de filtros de segurança e permanente acompanhamento pelo pessoal de
segurança.
Toda essa tecnologia de aproximar pessoas, disseminar conhecimentos e facilitar
serviços é inevitável atualmente, mas como a ciência e as descobertas científicas e muito
menos os cientistas não são responsáveis pelo mau uso da tecnologia, dependendo de
quem a está fazendo uso poderá ter resultados bons e maus. Deter o uso indevido da
tecnologia com indícios de causar prejuízo às pessoas, empresas ou instituições tem sido o
maior desafio dos órgãos de segurança atualmente.
Neste contexto estão os usuários mal intencionados conectados à grande rede de
computadores, fazendo uso e descobrindo novas formas e meios de prejudicar quem está
do outro lado da rede, seja uma pessoa, uma pequena, média ou grande empresa ou uma
instituição. Tornou-se comum falar sobre crimes e assaltos cibernéticos. Os inocentes e os
dormentes de conhecimentos informáticos são os mais procurados pelos espiões e
furtadores de dados pessoais dos usuários. Por acharem que nunca baterão nas portas
abertas de suas máquinas, aliás, nem sabem dessas portas, além de não desconfiarem das
diversas oferendas em trocas de informações sigilosas.
6
Os investimentos em segurança para acesso aos serviços disponíveis na internet
têm superado os próprios recordes a cada dia, ao passo que, o grau de confiança dos
usuários parece ter diminuído diante do cenário de notícias de acessos indevidos. Isto
prova que segurança é um processo e não um estado, o que torna complicado a afirmação
de que está seguro e inviolável.
Existem os mais preparados e equipados para detectarem falhas de segurança e/ou
tentativas de ataques, contudo, todos os dias surgem novas formas de ataques que fazem
com o que nível de segurança seja afetado. Em uma rede de computadores de uma
instituição, que possui dezenas de usuários dos mais variados níveis e conscientização, o
processo se torna um tanto mais complicado. A gerência da rede na área de segurança
torna-se inevitável para garantir a provisão dos serviços e a funcionalidade da própria
rede.
Devido ao assunto segurança ser muito complexo e abrangente, o qual vai desde a
formação e comportamento dos usuários às complexas formas de dificultar acessos
indevidos, este trabalho tem como objetivo apresentar meios que podem ser utilizados para
facilitar o gerenciamento da rede Windows através de diretivas de auditoria de segurança.
O que incorpora diversas formas de registros que podem servir para análises sobre o
comportamento e ações de usuários de uma rede, bem como facilitar a detecção de
possíveis acessos indesejáveis e a ação de usuários não autorizados. As diretivas são
objetos do Active Directory (serviço de diretório) do Windows 2003 Server, cuja aplicação
e gerenciamento são facilitados pela estrutura do Active Directory do controlador de
domínio da rede Windows.
O desenvolvimento deste trabalho de estágio foi realizado na STI (Secretaria da
Tecnologia da Informação) do TRE-TO com o objetivo implantar uma política de
auditoria e melhorar o gerenciamento da rede. Cujos resultados servirão para fazer
rastreamento da rede e monitorar equipamentos dos usuários, principalmente, quando
suspeitarem de acessos indevidos nos seus computadores, visto que, até então faltava à
equipe técnica conhecimentos e práticas sobre a implantação de auditoria e gerenciamento
dos registros de auditoria da rede.
Este trabalho está dividido da seguinte forma: a seção Revisão de Literatura
apresenta estudo dos assuntos e tecnologias necessárias para facilitar o entendimento e
implantação de gerência de rede través de diretiva de auditoria, como: Active Directory,
DNS (Domain Name System), Gerenciamento de políticas de grupos, Segurança em
7
Redes, Auditoria em redes Windows, Diretivas de auditoria e registros de logs. Na seção
seguinte é apresentado o cenário do ambiente utilizado para realização dos testes sem
influenciar na estrutura de produção do TRE-TO, os passos necessários para configurações
de toda estrutura para implantação das diretivas de auditoria, inclusive as configurações
das mesmas. Na seção Resultados e discussão são apresentados os resultados dos testes de
funcionamento de cada diretiva de auditoria de segurança, como também análises dos
respectivos logs gerados. Na seção Considerações Finais são apresentadas conclusões
sobre o desenvolvimento desse trabalho e as sugestões de trabalhos futuros que poderão
ser desenvolvidos a partir dos resultados da implantação das diretivas de auditoria de
segurança. Por último está a seção de Referências Bibliográficas com a relação das
literaturas técnicas e filosóficas utilizadas como base para realização do trabalho.
8
2. REVISÃO DE LITERATURA
2.1. Active Directory
O Active Directory (Serviço de Diretório) surgiu com o Windows 2000 Server e
continua sendo o elemento principal para o planejamento e implementação da infraestrutura de rede no Windows 2003 Server. Utilizando dessa infra-estrutura são
cadastrados e gerenciados os objetos do active diretory, como: usuários, computadores e
grupos de usuários (BATTISTI, 2006. Parte 1, p. 2).
Quando o servidor Windows Server 2003 é configurado para exercer a função de
Controlador de Domínio de uma rede, na prática ocorre a construção da estrutura do Active
Directory. Essa estrutura de diretório possui uma base de dados que contempla todas as
informações necessárias para funcionamento da rede baseada no Windows 2003 Server.
(BATTISTI, 2006. Parte 2, p4).
Segundo Battisti (2006. Parte 1, p. 3), o Active Directory possui duas estruturas:
uma física e outra lógica. A estrutura lógica é formada pelos elementos: domínios, árvores,
florestas, relações de confiança, objetos do active directory, unidades organizacionais e
esquemas, enquanto que a estrutura física é responsável por definir o local de
armazenamento das informações do Active Directory e como será feita a sincronização das
informações entre os Controladores de Domínio máster e membros de um domínio.
Controlador de domínio é o servidor Windows 2003 Server que possui a base de
dados do Active Directory com todas as informações dos usuários, senhas, grupos de
usuários e computadores do domínio, é quem faz a autenticação dos usuários no domínio.
Em uma rede poderão existir vários controladores de domínio, os quais possuem cópia da
mesma base de dados do Active Directory.
9
2.1.1. Domínios
Entende-se por domínio um conjunto de objetos de computadores, usuários, grupo
de usuários e etc., que compartilham um mesmo banco de dados de diretórios e aplicações
de diretivas de segurança. Dentro do serviço de diretório o domínio possui autonomia de
gerenciamento dos serviços e dados, o que faz ser o limite de gerenciamento do active
directory. Uma empresa poderá ter um ou mais domínios e subdomínios e vários
controladores de domínio. A idéia de subdomínio ou hierarquia de domínios é facilitar a
administração da rede com a independência de alguns setores. (DOMÍNIOS, 2004). Por
exemplo: para o domínio tre-to.gov.br poderia ter subdomínio para um setor ou secretaria
específico, como compras.tre-to.gov.br. A figura 1 demonstra o exemplo de um domínio.
tre-to.gov.br
Figura 1: Exemplo de um domínio.
No exemplo da figura 1 “tre-to.gov.br” é o domínio principal ou raiz da rede.
Quando existe mais de um domínio na rede, formando uma hierarquia de domínios e
subdomínios, tem-se uma árvore de domínios.
2.1.2. Árvore de domínios
Apesar da independência administrativa entre os domínios de uma árvore, os
mesmos possuem relações de confiança natas do Windows 2003 Server, criadas e mantidas
pelo Active Directory. A identificação entre os domínios é realizada pelo sistema de
resolução de nomes (DNS – Domain Name System) e cada domínio exige pelo menos um
controlador de domínio. A figura 2 apresenta um exemplo de uma árvore de domínio.
10
tre-to.gov.br
compras.tre-to.gov.br
zonas.tre-to.gov.br
xp.compras.tre-to.gov.br
ze01.zonas.tre-to.gov.br
Figura 2: Exemplo de uma árvore de domínios.
Como mencionado anteriormente, a identificação entre os domínios hierárquicos se
dá através do DNS. Dentro dessa hierarquia o primeiro domínio é denominado de raiz ou
pai e os demais, de domínios filhos ou folhas. Em redes de maior porte pode existir até
mesmo uma floresta formada por várias árvores de domínios.
2.1.3. Floresta de domínios
A floresta pode ser formada por uma ou mais árvores. Quando a rede possui mais
de um domínio raiz significa dizer que possui mais de uma árvore, contudo, por
pertencerem a uma mesma floresta a relação de confiança entre os domínios e o
compartilhamento de esquema ainda se dá de forma automática. A floresta representa o
topo da hierarquia de domínios de uma rede Windows 2003 Server e o limite para o
estabelecimento das relações de confiança automáticas entre os domínios e aplicações de
diretivas.
Enquanto o domínio representa o limite de gerenciamento, a floresta representa o
limite de segurança do active directory. Logo, se os domínios pertencerem a florestas
diferentes a relações de confiança entre eles não se dá de forma automática. A figura 3
ilustra o exemplo de uma floresta de domínios com mais de uma árvore.
11
tre-to.gov.br
tre-to1.gov.br
zonas.tre-to.gov.br
correg.tre-to.gov.br
ze01.zonas.tre-to.gov.br
Figura 3: Exemplo de uma floresta de domínios.
O catálogo global contempla todas as informações das bases dos diretórios
pertencentes à floresta. A relação de confiança entre os domínios no Windows 2003 Server
se dá de forma automática, diferentemente do Windows NT Server onde a relação de
confiança era construída manualmente. (BATTISTI, 2006. Parte 4, p. 4).
2.1.4. Esquema
O esquema do active directory é constituído por classes de objetos e atributos,
contendo as definições para os objetos do diretório, como: usuários, grupos de usuários,
computadores, unidades organizacionais etc. Assim, quando é criado um novo objeto é
realizada a validação de acordo com a definição apropriada no esquema, ou seja, é criada
uma instância de classe de objeto do esquema.
A classe contém todos os atributos capazes de definirem as informações que deve
conter no objeto, contudo, um atributo pode pertencer a várias classes uma vez que são
definidos de forma separada da classe. Para definir os atributos de uma classe é realizada
uma associação entre a classe e os respectivos atributos. (DIRECTORY, 2005. Noções
básicas sobre esquema).
2.1.5. Objetos do Active Directory
Os objetos que compõem o Active Directory são os usuários, grupos,
computadores, domínios, unidades organizacionais e diretivas de segurança. Os usuários
são os cadastrados no diretório para terem acessos (login e senha) aos computadores do
12
domínio e aos recursos compartilhados na rede. Os grupos de usuários são criados para
otimização do processo de atribuição de permissões aos usuários, visto que uma vez
definidas as permissões para um grupo, qualquer usuário pertencente a esse grupo herda
essas permissões, evitando atribuição usuário a usuário. Os computadores para fazerem
parte do domínio precisam ser autenticados e, para tanto, devem ser cadastrados no serviço
de diretório. A identificação e a localização dos nomes dos computadores do domínio são
realizadas através do DNS. (BATTISTI, 2006).
2.1.6. Unidades Organizacionais
O domínio de uma rede pode ser segmentado em Unidades organizacionais (UOs)
com o objetivo de facilitar o gerenciamento dos objetos do Active Directory pertencentes
ao domínio. As unidades organizacionais são divisões lógicas de um domínio e trazem
uma melhor flexibilidade na organização da estrutura da rede de acordo com a necessidade
da Instituição. (BATTISTI, 2006. Parte 4, p. 5).
Por exemplo, podem ser criadas UOs para cada departamento de uma empresa ou
instituição com a vantagem de poder efetivar configurações e diretivas de segurança de
forma específica aos objetos que fazem parte dessa unidade organizacional, além da
vantagem de delegação da administração de uma unidade a usuários específicos, de forma
que esses usuários não tenha permissão de gerenciamento sobre as demais unidades do
domínio.
2.1.7. Diretivas de segurança
Diretivas de segurança são objetos do Active Directory que têm como objetivo
facilitar as configurações de segurança para o domínio. Dentre as diretivas de segurança
fazem parte também as diretivas de auditoria. Por exemplo, as definições das regras de
senhas dos usuários, como: tamanho, prazo de expiração, rodízio, forma de composição da
senha etc., são definidas através de uma diretiva de segurança específica. Aplicando uma
diretiva a nível de todo o domínio, as contas de todos os usuários, computadores e outros
recursos, serão submetidas às regras de segurança aplicadas.
Em se tratando de segurança da rede através de auditoria quando os usuários
acessam qualquer estação de trabalho pertencente ao domínio, antes da autorização de
13
logon, é verificado se o usuário e a respectiva senha conferem com o cadastro. Estando
ativas diretivas de auditoria de segurança de logon os eventos relacionados durante o
acesso dos usuários são registrados em arquivos de logs. Desta mesma forma acontece
quando ativadas as demais diretivas de auditoria. Uma vez submetidos os registros de logs
para análises detalhadas, informações importantíssimas podem ser extraídas para o grupo
de segurança da rede. (AUDITORIA, 2004).
2.1.8. Vantagens do Active Directory
A principal vantagem do Active Directory é a centralização do gerenciamento e
configuração dos seus objetos, principalmente, quanto aos usuários, grupos e
computadores de um domínio. É possível aplicar regras e configurações a todos os
usuários e computadores de forma automática, bem como gerenciar a segurança da rede de
forma centralizada.
Outra vantagem do Active Directory é a possibilidade de integração da base de
usuários com outros servidores, por exemplo: Servidores de Email e de aplicações
administrativas, mesmo que construídos em outros sistemas operacionais. Evitando que
tenha base de usuários em cada servidor, o que dificulta sobremaneira a gerência da rede e
a segurança, principalmente, em razão da diversidade de senhas necessárias para os
usuários acessarem cada serviço ou sistema. Na prática quando o usuário possui diversas
senhas (para não esquecê-las) acabam anotando em adesivos e deixando de fácil acesso, o
que coloca em risco a segurança da rede. (BATTISTI, 2006. Parte 2, p4).
2.1.9. Armazenamento de dados do Active Directory
A base de dados do active directory fica armazenada nos Controladores de
domínio, tanto no controlador conhecido como Máster como nos demais controladores
membros do domínio. Assim, quando ocorre alteração na base de dados em um
controlador é disparado, de forma automática, o processo de replicação aos demais
controladores com o objetivo de manter a mesma base de dados em todos os controladores
do domínio.
Com esta vantagem da replicação automática a criação de uma nova conta de
usuário poderá ser feita em qualquer dos DCs do domínio. Isso implica que quando
14
acontece problema com um controlador máster, por exemplo, os outros assumem o
processo de autenticação dos objetos sem causar transtornos aos usuários e serviços da
rede. O processo de replicação também acontece na inserção de um novo controlador
como membro do domínio e no retorno de algum controlador que tenha ficado inativo por
algum problema ou mesmo desligado. (DIRECTORY, 2005. Armazenamento de dados de
diretório).
Outro serviço indispensável no Controlador de Domínio é o serviço de resolução
de nomes – DNS, o qual é responsável por fazer a associação entre os nomes dos objetos e
respectivos endereços IPs (Internet Protocol). Na prática, para o usuário é mais difícil
trabalhar com os endereços IPs do que com nomes, cujo impasse é resolvido pelo Serviço
de DNS. Durante a criação do controlador de domínio Máster acontece a criação do
Serviço de DNS da rede, uma vez ser indispensável para os serviços de diretório.
2.2. DNS – Domain Name System
“DNS é um sistema que atribui nomes a serviços de rede e computadores,
organizado de acordo com uma hierarquia de domínios”. A atribuição de nomes de DNS é
utilizada em redes TCP/IP. Como as redes atualmente utilizam esse protocolo, inclusive a
Internet, dentro do universo de equipamentos e serviços que existem, cada um com o
endereço IP próprio, seria uma tarefa bastante complicada ter que saber os endereços IPs
para localizar computadores e serviços espalhados na grande rede internet, ou até mesmo,
dentro de uma rede privada de uma empresa de médio porte. A solução de trabalhar com
nomes amigáveis aos usuários facilitam sobremaneira as conexões, troca de informações e
uso dos recursos da rede e localização de computadores. (DNS, 2005).
Por exemplo, é muito mais fácil saber que uma máquina de nome de host “seinf1”
pertence à secretaria de informática do que olhando para o endereço IP 10.40.5.90. Esta é
a vantagem de trabalhar com nomes amigáveis, pois, é mais fácil de memorizar nomes do
que números. No entanto, esta vantagem beneficia apenas os usuários porque os
computadores entre si se comunicam utilizando os endereços numéricos, ou seja, através
do protocolo TCP/IP.
O serviço de DNS do Windows 2003 Server adiciona em uma tabela, de forma
automática à medida que os computadores são inseridos no domínio, a relação entre o
nome de host da máquina e o endereço IP atribuído à mesma. Assim quando o usuário
15
procurar pela máquina X acontece uma consulta ao serviço de DNS para verificar se trata
de uma máquina pertencente ao domínio.
Da mesma forma acontece com os acessos aos endereços da internet, é muito mais
fácil memorizar o endereço da microsoft como www.microsoft.com do que o IP do
servidor que hospeda o site microsoft, por exemplo 207.46.130.108.
Para resolver os nomes digitados pelos usuários e encontrar os respectivos
computadores, sites, serviços, é realizada uma consulta ao Servidor de DNS mais próximo.
No domínio Estagio.tre-to.gov.br o servidor de DNS está ativo, portanto, as consultas
dentro desse domínio são dirigidas primeiramente para esse servidor. Caso o nome não
conste na sua relação acontecem as consultas recursivas, ou seja, o mesmo se
responsabiliza a repassar a consulta do usuário ou cliente ao Servidor de DNS da escala
superior, e, assim sucessivamente até encontrar um servidor de DNS capaz de resolver
aquele nome ou esgotar as tentativas, quando então exibe mensagens ao usuário que não
foi possível localizar o endereço solicitado.
Uma vez resolvida à consulta solicitada, o Servidor de DNS local responde para o
usuário/cliente e ambos guardam na memória a relação do nome procurado com o
endereço IP retornado, possibilitando acesso direto e mais rápido na próxima busca do
usuário, evitando assim a repetição da consulta novamente. (DNS, 2005).
A figura 4 mostra o fluxo que acontece em uma consulta de DNS para resolver
uma solicitação de um usuário.
Figura 4: Fluxo de Consulta DNS. (DNS, 2005)
16
Simplificando o fluxo apresentado na figura 1, quando o usuário iniciar o acesso
via web browser no domínio www.microsoft.com, a consulta acontecerá nas seguintes
fases:
•
O Serviço de DNS local faz em princípio dois tipos de consultas para resolver o nome.
Primeiro consulta o ficheiro de host (tabela de relação entre nomes e endereços IP),
caso não conste no ficheiro, verifica no cache (memória) a existência do endereço para
o nome, relativa a consultas anteriores a outros Servidores de DNS.
•
Não resolvido no passo anterior, o cliente envia a consulta ao servidor de DNS, que
procede da mesma forma.
•
O servidor de DNS não sendo capaz de resolver o problema de nome, repassa a
consulta para outros Servidores.
•
O retorno da consulta resolvida é guardado no cache para facilitar os próximos acessos
ao domínio www.microsoft.com.
A solução de guardar em cache os problemas de nomes já resolvidos pode ser
verificada através do comando ipconfig /displaydns. Fazendo alguns acessos a
computadores da rede ou a domínios poderá ver em seguida os endereços IPs guardados
para cada nome utilizado nos acessos. Para limpar o cache basta utilizar o comando
ipconfig /flushdns.
2.3. GPMC – Group Policy Manager Console
A ferramenta GPMC (Group Policy Manager Console) ou simplesmente
Gerenciamento de Políticas de Grupo tem como objetivo integrar e facilitar o
gerenciamento das políticas de grupos do Active Directory. Uma vez que a mesma reúne
em um mesmo local as tarefas principais da diretiva de grupo próprias das ferramentas
“Usuários e Computadores do Active Directory”, “Serviços e Sites do Active Directory” e
“Conjunto de Diretivas Resultantes” (Rsop, Resultant set of Policy). (WINS2003, 2003.
Módulo 08, p.12).
Além da vantagem da integração das diretivas de grupos para fins de
gerenciamento, a ferramenta GPMC traz outras vantagens não existentes até então nas
ferramentas de diretiva de grupo integrantes do Windows Server 2003, como:
•
Opção para fazer backup e restauração de GPOs (Group policy object);
•
Cópia e importação de GPOs.
17
•
Permite usar filtros WMI (Windows Management Instrumentation)
•
Relatar dados de GPO e RSoP.
•
Opção para pesquisar GPOs.
Uma vez instalada a ferramenta GPMC as opções de diretiva de grupo deixam de
existir nas ferramentas do Active Directory. No entanto, as opções de gerenciamento de
objetos (usuários, computadores, grupos etc.) continuam presentes no Active Directory.
Como também não há substituição do editor de objetos de Diretiva de Grupo, somente a
integração das funcionalidades do editor a partir da ferramenta GMPC. (WINS2003, 2003.
Módulo 08, p.12).
2.4. Segurança de Rede
Implementar políticas de segurança em uma rede de computadores não é nada fácil,
nem pode parecer complicado para os usuários e muitos menos intervir de forma
significativa no uso da rede por parte dos mesmos. É um trabalho que exige dedicação
quase que exclusiva e como resultado não poder garantir segurança.
Segundo Wadlow (2000), “segurança é a direção que se pode viajar, mas nunca
chegar de fato ao destino”, é o caminho que tem começo, mas, não tem fim. “É um
processo que se pode aplicar seguidamente à empresa que a mantém e, assim, melhorar a
segurança dos sistemas. Se não iniciar ou interromper a aplicação do processo, a segurança
será cada vez pior, à medida que surgirem novas ameaças e técnicas”.
Políticas de segurança para serem aplicadas em uma instituição exigem árduo
planejamento, é preciso ter uma definição bastante clara dos métodos a serem aplicados e
gerenciados para diminuir os riscos sem afetar de forma relevante o uso dos recursos.
Visto que quanto mais seguro, mais difícil e burocrático poderá ficar o acesso, seja acessos
físicos ou a sistemas e recursos disponibilizados em uma rede.
O projeto de segurança em rede de computadores deve possuir a capacidade de
resistir a muitos e diferentes tipos de ataques, de adaptar os mecanismos de defesa às
novas ameaças e de aprender com essas ameaças antes que representem um risco real para
rede. “O processo de preparação para as ameaças conhecidas, prevendo também novas
ameaças, e possuir um sistema para lidar com as ameaças é a melhor definição para o
processo de segurança”. (WADLOW, 2000)
18
Dentre os meios de prover segurança em uma rede está o processo de auditorias, o
qual provoca registros de tudo que acontece nos computadores de um domínio em
arquivos de logs. Cujas informações são relativas às ações dos usuários no exercício das
suas atribuições ou fora delas, como também das ações dos estranhos à rede. Através
desses registros é possível traçar o comportamento de uso da rede, dos usuários e dos
serviços, o que facilita a administração da rede, até mesmo, pelo simples fato de detecção
de desvios de padrões conhecidos e aceitáveis para a rede em análise. (BRISA, 1993).
2.5. Auditoria em Redes Windows
No Sistema Windows os processos de auditorias de segurança são realizados
através de diretivas de grupo de auditoria. Essas diretivas, através dos recursos dos
serviços de diretório, podem ser aplicadas em todos os computadores e/ou usuários de um
domínio, ou em apenas alguns ou ainda em modo local. (AUDITORIA, 2004).
As diretivas são aplicadas por herança do maior nível às menores unidades,
conforme demonstra a figura 5, porém, a opção de herança precisa está desbloqueada nas
unidades menores. Quando existe impedimento ou conflito de aplicação de diretiva por
herança em uma unidade organizacional, em razão de necessidade de configurações
específica, a opção de herança precisa ser bloqueada nesta unidade. Mesmo ocorrendo
conflito entre aplicações de diretivas, porém com a herança desbloqueada, e tendo que
prevalecer a aplicação de maior nível será necessário aplicá-la de forma forçada, ou seja,
marcando a opção “enforced”, cuja opção elimina as barreiras de conflitos descartando as
aplicações em níveis menores.
Figura 5: Precedência de processamento de diretivas. (DOMÍNIOS, 2004)
19
Como demonstrado na figura 5 as diretivas são aplicadas das unidades mais
distantes das contas de usuários e computadores para as unidades mais próximas, onde de
fato estão as contas. (DOMÍNIOS, 2004).
Para possibilitar a ocorrência de auditoria de segurança é necessário que os logs de
auditoria sejam gravados com os eventos relativos à segurança. Cuja gravação pode
ocorrer tanto localmente em cada máquina auditada como também de forma remota,
dependendo do tipo de auditoria. Portanto, os eventos de auditorias utilizados para
detecção de mau uso dos recursos da rede, atentados contra a segurança ou de problemas
que prejudique a concretização da política de segurança, como alteração indevida das
configurações de auditorias, precisam ser controlados pelos usuários do grupo de
gerenciamento de segurança. (BRISA, 1993).
As opções de auditoria, por padrão em qualquer sistema, possuem status de não
configuradas ou não definidas, exatamente porque exige definição do que precisa ser
auditado de acordo com a política de auditoria da empresa ou instituição, o que é bastante
peculiar a cada interesse.
Os registros de auditoria, através dos arquivos de logs, têm valor inestimável para a
administração de segurança de uma rede, contudo, são ignorados pela maioria dos
administradores, devido o tempo para análise e entendimento dos arquivos de logs.
Normalmente quando acontecem incidentes há uma lembrança imediata em buscar nos
arquivos de logs a origem do problema. Essa busca, quase sempre, é frustrada pela falta de
definição e aplicação prévia da política de auditoria de segurança na rede, ou pela falta de
habilidade para uma boa análise dos arquivos de logs. Neste contexto, dois passos são
fundamentais para uma boa análise de auditoria de segurança: Primeiro é preciso definir e
aplicar a política de auditoria. Segundo é necessário ter conhecimento sobre a estrutura
dos arquivos de logs gerados pela auditoria. (NORTHCUTT, 2002).
As diretivas de auditoria da rede Windows, quando aplicadas, geram arquivos de
logs dos eventos de várias áreas de segurança, como:
Acesso a objetos;
Acesso ao serviço de diretório
Alteração de diretiva
Controle de processo
Eventos de logon
Eventos de sistema
20
Gerenciamento de conta
Uso de privilégios
Eventos de logon de conta
É notório que ativar todas essas diretivas de auditoria de segurança torna
impraticável a gerência e a análise dos arquivos de logs, visto que cada diretiva destas gera
eventos e arquivos de logs com estruturas diferentes. O que obrigaria ter conhecimento
sobre todos eles, uma boa ferramenta de administração e filtragem desses logs e grande
espaço em disco. Todas essas diretivas de auditoria ativadas geram milhares de logs por
dia por máquina, o que poderia prejudicar a performance do equipamento e
consequentemente da rede. Portanto, a recomendação mais insistente para ter bons
resultados oriundos da aplicação de auditoria em uma rede é a definição sensata da política
de auditoria de segurança a ser adotada.
É melhor fazer auditorias de poucos eventos e ter meios de gerenciamento e
acompanhamento dos respectivos registros do que ativar diversas diretivas de auditorias e
não ter condições de usufruir das informações para facilitar o gerenciamento e alcançar os
objetivos esperados. Diante da importância da segurança, vale frisar que o assunto
auditoria nunca será bem vindo aos usuários de uma rede porque tende a parecer uma
espionagem sobre suas ações. Neste cenário a política de auditoria de segurança precisa ter
subsídios suficientes para convencer a direção da empresa ou instituição sobre os
benefícios que trará para a administração da rede e segurança das informações.
Uma boa política de segurança, segundo Wadlon(2000), precisa atender alguns
propósitos. Adequando-os a uma boa política de Auditoria, destacamos os seguintes:
•
Descrever o por quê, como e o que será auditado;
•
Definir prioridades sobre o que precisa ser auditado conforme a necessidade e
o impacto da auditoria;
•
Definir métodos de retenção dos registros de eventos;
•
Definir meios de gerenciamento e acompanhamento sistemático dos registros
de eventos.
•
Impedir que o departamento de segurança tenha um desempenho fútil e sem
objetivo perante a administração da instituição;
•
Permitir um acordo explícito e o convencimento das várias partes da instituição
sobre o valor da auditoria.
21
2.6. Categorias dos eventos de auditoria
No Sistema Windows existe apenas duas categorias para os eventos de auditoria,
os quais deverão ser definidos quando da ativação de cada diretiva. (VIDAL, 2006).
Eventos de êxito:
Os eventos de êxito são diferenciados pelo ícone de uma chave e indicam que o
sistema operacional concluiu a ação ou operação com êxito.
Eventos de Falha
Os eventos de falha são diferenciados pelo ícone de um cadeado e indicam que
houve uma tentativa de ação ou operação mal sucedida.
Por padrão as diretivas de auditoria são definidas como “sem auditoria” ou “não
definida”, exceto nos casos de sucesso de algumas diretivas, porém, apenas no controlador
de domínio.
2.7. Registros de Logs
Os eventos de auditoria são registrados em arquivos de logs de segurança, no
entanto, já foi frisado que para fazer uma boa análise dos logs é necessário conhecimento
da estrutura dos mesmos. Para os eventos de logon, por exemplo, são registrados logs
quando o usuário obtém êxito ou quando ocorre falha na tentativa de acesso ao
computador. Porém, como mostrado na Tabela 5 existem diferenças de registros quando a
falha ocorre por erro de senha, quando o usuário não existe, quando a tentativa é remota
ou local. Da mesma forma para os eventos de êxito, existe uma série de variedades que
precisam ser analisadas para obter informações interessantes para o processo de auditoria.
Por exemplo, se um usuário sempre faz logon em determinada máquina em horário
normal, e, durante a análise dos registros de logs forem encontrados logons desse usuário
em máquina de outro departamento e em horário fora de expediente é uma informação que
merece destaque para o processo de auditoria. Convém, diante desse contexto, fazer
pesquisa mais detalhada, inclusive sobre os eventos da máquina anormal para o logon
desse usuário, pois, neste caso houve um desvio de padrão no comportamento do usuário.
Os logs guardam informações significativas que servem para detectar tentativas de
autenticação, intrusos, erros de aplicações, alterações nas configurações, acessos não
autorizados a arquivos e pastas confidenciais, máquina origem do acesso, enfim, é a arma
22
utilizada pela auditoria para construir o espelho dos acontecimentos na rede de
computadores. É indispensável familiarização com estrutura dos arquivos de logs e com
todos os tipos de campos, códigos e informações de cada evento para que facilite o filtro
dos eventos importantes para o processo de auditoria. (NORTHCUTT, 2002).
Com base nos documentos técnicos da Microsoft (AUDITORIA, 2004) serão
descritas, a seguir, as diretivas aplicáveis no ambiente Windows, bem como os eventos
geradores de logs de cada diretiva de auditoria de segurança.
2.7.1. Auditoria de acesso a objetos
Esta diretiva registra em arquivos de logs os eventos provocados pelas ações dos
usuários sobre os objetos configurados para serem auditados. Por exemplo: exclusão e
alteração de arquivos, pastas, impressoras, registros etc. basicamente as ações sobre os
objetos do sistema de arquivos e impressoras.
Para geração dos logs desta diretiva é necessário primeiro efetivar a ativação da
mesma e em seguida configurar os objetos a serem auditados. Os usuários cujas ações
sobre esse objeto devem ser auditadas deverão constar na SACL (Lista de controle de
acesso ao sistema) específica do objeto antes da definição dos tipos de eventos (criação,
exclusão, alteração, apropriação etc.).
A tabela 1 apresenta todos os eventos geradores dos logs de auditoria de acesso a
objetos com os respectivos códigos identificáveis na estrutura dos logs gerados.
Tabela 1 - Códigos dos eventos de acesso a objetos. (EVENTOS, 2005).
Eventos de acesso Descrição
a objetos
Foi concedido acesso a um objeto já existente.
Observação:
Para detectar as tentativas não autorizadas de alteração de
permissões de arquivo devem ser verificados os seguintes
campos nas propriedades do evento:
Identificador do Logon Primário;
Nome
de Usuário do Cliente; e
560
Nome de Usuário Primário.
Para identificar o tipo de operação deve ser verificado o campo:
Acessos.
Esse evento mostra apenas que acessos foram solicitados ou
concedidos — ele não significa que o acesso ocorreu. O usuário
atuante é o Usuário Cliente ou o Usuário Primário.
(SEGURANÇA, 2005).
23
Eventos de acesso
a objetos
Descrição
Um manipulador de objeto foi fechado.
562
563
564
565
567
568
569
570
571
Observação nossa:
O MMC é um manipulador de objetos. Este evento é gerado
quando é fechado o acesso do manipulador no sistema. Por
exemplo, como o visualizador de eventos usa o mmc, uma
simples atualização na tela de visualização de eventos registra
dois eventos: o 560 concedendo acesso e em seguida o 562
fechando o acesso do manipulador.
Foi feita uma tentativa de abertura de um objeto com a intenção
de excluí-lo.
Observação
Isso é usado pelos sistemas de arquivos quando o sinalizador
FILE_DELETE_ON_CLOSE é especificado em Createfile().
Um objeto protegido foi excluído.
Foi concedido acesso a um tipo de objeto já existente.
Uma permissão associada a um manipulador foi utilizada.
Observação:
Um manipulador é criado com determinadas permissões
concedidas (Leitura, Gravação, entre outras). Quando o
identificador é utilizado, até uma auditoria é gerada para cada
permissão usada.
Para correlacionar com o evento 560 devem ser comparados os
campos Identificação do Identificador dos dois eventos.
Foi feita uma tentativa de criação de um vínculo físico com um
arquivo que está sendo auditado.
Observação nossa:
Quando efetiva a criação do vínculo físico de um arquivo nas
propriedades do evento mostra tanto o nome do arquivo
vinculado como o nome do vínculo.
O gerenciador de recursos do Gerenciador de autorização
tentou criar um contexto de cliente.
Um cliente tentou acessar um objeto.
Observação
Será gerado um evento a cada tentativa de operação de um
objeto.
O contexto de cliente foi excluído pelo aplicativo Gerenciador
de autorização.
Observação nossa:
O gerenciador de autorização é um inap-in que permite definir
permissões baseadas em função para aplicativos ativados pelo
Gerenciador de autorização.
24
Eventos de acesso
a objetos
572
772
773
774
775
Descrição
O gerenciador de administradores iniciou o aplicativo.
O gerenciador de certificados negou uma solicitação de
certificado pendente.
Os serviços de certificado receberam uma solicitação de
certificado enviada novamente.
Os Serviços de certificado revogaram um certificado.
777
Os serviços de certificado receberam uma solicitação para
publicar a lista de certificados revogados (CRL).
Os Serviços de certificado publicaram a lista de certificados
revogados (CRL).
Foi feita uma extensão de solicitação de certificado.
778
Um ou mais atributos da solicitação de certificado mudaram.
779
780
Os Serviços de certificado receberam uma solicitação para
desligamento.
Backup dos Serviços de certificado iniciado.
781
Backup dos Serviços de certificado concluído.
782
Restauração dos serviços de certificado iniciada.
783
Restauração dos serviços de certificado concluída.
784
Serviços de certificado iniciados.
785
Serviços de certificados parados.
786
As permissões de segurança dos Serviços de certificado foram
alteradas.
Os Serviços de certificado recuperaram uma chave arquivada.
776
787
788
789
790
Os Serviços de certificado importaram um certificado para o
banco de dados.
O filtro de auditoria dos Serviços de certificado foi alterado.
796
Os Serviços de certificado receberam uma solicitação de
certificado.
Os Serviços de certificado aprovaram uma solicitação de
certificado e emitiram um certificado.
Os Serviços de certificado negaram uma solicitação de
certificado.
Os Serviços de certificado definiram o status de uma solicitação
de certificado como pendente.
A configuração do gerenciador de certificados dos Serviços de
certificado foi alterada.
Uma entrada de configuração foi alterada nos Serviços de
certificado.
Foi alterada uma propriedade dos Serviços de certificado.
797
Os Serviços de certificado arquivaram uma chave.
791
792
793
794
795
25
Eventos de acesso
a objetos
798
799
800
801
Descrição
Os Serviços de certificado importaram e arquivaram uma
chave.
Os Serviços de certificado publicaram o certificado CA para
Active Directory.
Uma ou mais linhas foram excluídas do banco de dados de
certificados.
Separação de funções ativada.
2.7.2. Auditoria de Acesso ao serviço de diretório
A ativação desta diretiva faz com os eventos oriundos das ações sobre os objetos
do Active Directory (usuários, grupos, unidades organizacionais etc.) sejam registrados em
arquivos de logs.
No entanto, o objeto sobre o qual serão registrados os eventos precisa ser
previamente configurado a opção de auditoria específica do objeto, incluindo os usuários
que terão as ações registradas e os tipos de eventos que serão gravados nos registros. O
mesmo procedimento realizado configurações da diretiva de acesso a objetos,
diferenciando apenas por se tratar de aplicação nos objetos do Active Directory.
Existe somente um evento de acesso a serviços de diretório, o qual está
apresentado na Tabela 2.
Tabela 2: Códigos dos eventos de acesso a diretório. (EVENTOS, 2005)
Eventos de acesso Descrição
a serviços de
diretório
566
Ocorreu uma operação de objeto genérica.
2.7.3. Auditoria de alteração de diretiva
A política de auditoria de segurança é implementada com base em diretivas e uma
alteração indevida das diretivas aplicadas poderá prejudicar toda a política. Portanto, esta
diretiva faz o registro dos eventos provenientes das alterações nas diretivas de atribuição
de direitos dos usuários, diretiva de auditoria e de confiança. É bastante útil para fins de
detecção de quem fez as alterações principalmente em casos de incidentes. Por padrão essa
26
diretiva é configurada para registrar os casos de êxito nos controladores de domínio e
como “sem auditoria” nos servidores participantes. (EVENTOS, 2005).
A tabela 3 apresenta todos os eventos geradores dos logs de auditoria de alteração
de diretiva com os respectivos códigos identificáveis na estrutura dos logs gerados.
Tabela 3: Códigos dos eventos de alteração de diretiva. (EVENTOS, 2005)
Eventos de
Descrição
alteração de
diretivas
608
Um direito de usuário foi atribuído.
Observação:
O logo de eventos registra essa ação juntamente com o SID
(identificador de segurança) da conta e não com o nome da
conta do usuário. (SEGURANÇA, 2005).
609
Um direito de usuário foi removido.
610
Foi criada uma relação de confiança com outro domínio.
Observação:
Os eventos 610 a 612 são registrados no controlador de
domínio. Esse evento indica a necessidade de uma investigação
imediata. O campo “nome do usuário” deve ser verificado para
descobrir quem executou a operação de confiança.
(SEGURANÇA, 2005).
611
A relação de confiança com outro domínio foi removida.
612
Uma diretiva de auditoria foi alterada.
Observação:
Apesar desse evento a princípio não indicar uma ameaça, deve
ser monitorado nos computadores de alto valor e em DCs, uma
vez que um invasor poderá alterar uma diretiva de auditoria
como parte de um ataque. (SEGURANÇA, 2005).
613
Agente de diretiva da segurança do protocolo Internet (IPSec)
iniciado.
Observação:
Os eventos 613 a 615 devem ser investigados para detecção de
ocorrências fora das inicializações do sistema.
614
Um agente de diretiva IPSec foi desativado.
615
Um agente de diretiva IPSec foi alterado.
616
Um agente de diretiva IPSec encontrou uma falha
possivelmente grave.
617
Uma diretiva Kerberos foi alterada.
618
Diretiva de recuperação de dados criptografados alterada.
620
A relação de confiança com outro domínio foi modificada.
621
Foi concedido a uma conta acesso ao sistema.
Observação:
“Deve ser verificado os campos “nome do usuário” e a “conta
modificada”, especialmente se a permissão de acesso for
interativa”. (SEGURANÇA, 2005).
27
Eventos de
alteração de
diretivas
622
623
625
768
769
770
771
805
Descrição
Foi removido o acesso ao sistema de a uma conta.
Observação:
Esse evento indica que um invasor removeu a prova do evento
621. (SEGURANÇA, 2005).
A diretiva de auditoria por usuário foi definida para um usuário.
A diretiva de auditoria por usuário foi atualizada.
Foi detectado um conflito entre um elemento de espaço para
nome de uma floresta e um elemento de espaço para nome de
outra floresta.
Observação
Quando um elemento de espaço para nome de uma floresta
sobrepõe um elemento de espaço para nome de outra floresta,
isso pode levar à ambigüidade ao resolver se um nome pertence
a um dos elementos de espaço para nome. Essa sobreposição
também é conhecida como conflito. Nem todos os parâmetros
são válidos para cada tipo de entrada. Por exemplo, campos
como nome DNS, nome NetBIOS e SID não são válidos para
uma entrada do tipo 'TopLevelName'.
Foram adicionadas informações sobre a floresta confiável.
Observação
Essa mensagem de evento é gerada quando informações de
confiança da floresta são atualizadas e uma ou mais entradas
são adicionadas. É gerada uma mensagem de evento a cada
entrada adicionada, excluída ou modificada. Se várias entradas
foram adicionadas, excluídas ou modificadas em uma única
atualização das informações de confiança da floresta, todas as
mensagens de evento geradas terão um único identificador
exclusivo chamado de ID da operação. Ele permite que você
determine se várias mensagens de evento geradas são resultado
de uma única operação. Nem todos os parâmetros são válidos
para cada tipo de entrada. Por exemplo, parâmetros como nome
DNS, nome NetBIOS e SID não são válidos para uma entrada
do tipo TopLevelName.
Foram excluídas informações sobre a floresta confiável.
Observação
Consulte a observação do evento 769
Foram modificadas informações sobre a floresta confiável.
Observação
Consulte a observação do evento 769.
O serviço de log de eventos leu a configuração do log de
segurança de uma sessão.
2.7.4. Auditoria de controle de processo
28
Essa diretiva está relacionada aos eventos de aplicativos, ou seja, quando estes
executam uma ação, como ativação de programas, finalização de processo, acesso indireto
a objetos e duplicação de identificador. O que poderá ter bastante utilidade para a equipe
de desenvolvedores, contudo, como este tipo de auditoria poderá provocar muitos registros
tanto nos casos de êxito como de falha, o tamanho do log poderá aumentar de forma
bastante rápida, o que leva este tipo de auditoria precisar de critérios bem definidos e curto
prazo de aplicação.
A tabela 4 apresenta os eventos geradores dos logs de auditoria de controle de
processo com os respectivos códigos identificáveis na estrutura dos logs gerados.
Tabela 4: Códigos dos eventos de diretiva de controle de processo. (EVENTOS, 2005)
Eventos de
Descrição
auditoria de
controle de
processo
592
Um novo processo foi criado.
Observação:
Interessante observar se o processo diz respeito a um programa
autorizado. (SEGURANÇA, 2005)
593
Processo terminado.
594
Um manipulador de um objeto foi duplicado.
595
Foi obtido acesso indireto a um objeto.
596
Foi feito backup de uma chave mestre de proteção dos dados.
Observação
A chave mestre é usada pelas rotinas CryptProtectData e
CryptUnprotectData e pelo sistema de arquivos com
criptografia (EFS). É feito backup da chave mestre sempre que
uma nova chave é criada. (A configuração padrão é 90 dias.)
Geralmente, é feito backup da chave em um controlador de
domínio.
597
Uma chave mestre de proteção dos dados foi recuperada a
partir de um servidor de recuperação.
598
Os dados passíveis de auditoria estavam protegidos.
599
Os dados passíveis de auditoria estavam desprotegidos.
600
Foi atribuído um token primário a um processo.
Observação:
“Esse evento ocorre quando um serviço usa uma conta
nomeada para logon em um computador que executa o
Windows XP. Esse evento deve ser correlacionado com os
eventos 672, 673, 528 e 592.” (SEGURANÇA, 2005).
601
Um usuário tentou instalar um serviço.
Observação:
Como a instalação de serviço não é algo corriqueiro esse evento
deve ser investigado quanto às ações de sucesso e de falha.
29
Eventos de
auditoria de
controle de
processo
602
Descrição
(SEGURANÇA, 2005).
Um trabalho do agendador foi criado.
Observação:
Caso tenha agendas de tarefas conhecidas é prudente
correlacionar com esse evento, principalmente quanto aos
campos “nome de destino” para checar a respectiva autorização
para executar processo e a “hora da tarefa”. (SEGURANÇA,
2005).
2.7.5. Auditoria de eventos de Logon
A ativação desta diretiva determina se deve ser feita auditoria em cada instância de
logon ou logoff de um usuário em um computador, registrando em arquivo de logs de
segurança o sucesso ou a falha de cada ação, conforme a configuração pré-estabelecida.
Esse registro é feito onde acontece o logon, o que pode ser em uma estação de trabalho ou
no próprio servidor. Se a diretiva de logon de conta estiver também ativa acontecerão dois
registros em caso de logon de usuário pertencente ao domínio:
Um registro de logon onde de fato acontece a ação;
Outro registro de logon de conta no controlador de domínio que fez a autenticação.
A tabela 5 apresenta os eventos geradores dos logs de auditoria da diretiva de
logon com os respectivos códigos identificáveis na estrutura dos logs gerados.
Tabela 5: Códigos dos eventos de diretiva de logon. (EVENTOS, 2005)
Eventos de
Descrição
auditoria da
diretiva de logon
528
Um usuário fez logon com sucesso em um computador.
Observação:
Como são vários os tipos de logon, deve ser observado se o
evento 528 foi registrado para uma conta de serviço ou para o
sistema local com o tipo de logon =2, caso positivo pode ser
que um invasor obteve a senha de serviço e fez logon no
console. Se o tipo de logon for igual a 10 indica que foi usado o
serviço de terminal para efetuar logon. Esses casos merecem
uma atenção maior durante as investigações. (SEGURANÇA,
2005).
529
Falha de logon. Foi feita uma tentativa de logon com nome de
usuário desconhecido ou senha inválida.
30
Eventos de
auditoria da
diretiva de logon
530
531
532
533
534
535
536
537
538
539
540
Descrição
Observação:
É interessante verificar as tentativas de logon em que o “nome
da conta de destino” for igual à conta de administrador. Como
também se o “nome do domínio” é desconhecido ou o nome da
“conta raiz” é igual à raiz. (SEGURANÇA, 2005).
Falha de logon. Foi feita uma tentativa de logon por uma conta
de usuário que tentou fazer logon fora do horário permitido.
Falha de logon. Foi feita uma tentativa de logon usando-se uma
conta desabilitada.
Observação:
Esse evento pode indicar tentativa de acesso por antigos
usuários internos. É interessante investigar o “nome da conta
destino” e o “nome da estação de trabalho”. (SEGURANÇA,
2005).
Falha de logon. Foi feita uma tentativa de logon usando-se uma
conta expirada.
Observação:
Conta com data de expiração normalmente é de usuário
temporário. O que indica um evento chave para investigação.
Os campos “nome da conta destino” e o “nome da estação de
trabalho” devem ser verificados. (SEGURANÇA, 2005).
Falha de logon. Foi feita uma tentativa de logon por um usuário
que não tem permissão para fazer logon nesse computador.
Falha de logon. O usuário tentou fazer logon com um tipo que
não é permitido.
Observação:
Esse evento indica tentativa de logon interativo sem sucesso
por haver impedimento imposto pela diretiva de grupo. Os
campos “nome da conta destino”, “nome da estação de
trabalho” e o “tipo de logon” devem ser verificados para
mapear a origem e o responsável pela tentativa de logon.
(SEGURANÇA, 2005).
Falha de logon. A senha da conta especificada expirou.
Falha de logon. O serviço Net Logon não está ativo.
Falha de logon. A tentativa de logon falhou por outros motivos.
Observação
Em alguns casos, o motivo da falha do logon pode ser
desconhecido.
O processo de logoff de um usuário foi concluído.
Falha de logon. A conta foi bloqueada no momento em que foi
feita a tentativa de logon.
Observação:
É interessante correlacionar esse evento com o de 529 para
detecção de um padrão de bloqueios constantes.
(SEGURANÇA, 2005).
Um usuário fez logon com sucesso na rede.
31
Eventos de
auditoria da
diretiva de logon
541
542
543
544
545
546
547
548
549
550
551
552
682
683
Descrição
Foi concluída a autenticação do Internet Key Exchange (IKE)
de modo principal entre o computador local e a identidade dos
computadores listados (estabelecendo uma associação de
segurança), ou o modo rápido estabeleceu um canal de dados.
Um canal de dados foi finalizado.
O modo principal foi finalizado.
Observação
Isso pode ocorrer porque o limite de tempo da associação de
segurança expirou (o padrão é 8 horas), devido a alterações nas
diretivas ou ao desligamento do computador.
Falha da autenticação do modo principal porque o computador
não forneceu um certificado válido ou a assinatura não foi
validada.
Falha na autenticação do modo principal devido a uma falha do
Kerberos ou porque a senha era inválida.
Falha ao estabelecer a associação de segurança IKE porque o
computador enviou uma proposta inválida. Foi recebido um
pacote contendo dados inválidos.
Ocorreu uma falha durante um handshake do IKE.
Observação:
Handshake: Protocolo de autenticação
IKE: Internet Key Exchange. Faz gerenciamento automático de
chaves.
Falha de logon. A identificação de segurança (SID) de um
domínio confiável não corresponde à SID do domínio da conta
do cliente.
Falha de logon. Todas as SIDs correspondentes a espaços para
nome não-confiáveis foram filtrados durante a autenticação
entre florestas.
Mensagem de notificação que pode indicar um possível ataque
de negação de serviço.
Um usuário iniciou um processo de logoff.
Um usuário fez logon com sucesso a um computador que usa
credenciais explícitas enquanto já havia feito logon como um
usuário diferente.
Um usuário reconectou-se com uma sessão do Terminal Server
desconectada.
Um usuário desconectou uma sessão do Terminal Server sem
fazer logoff.
Observação
Esse evento é gerado quando um usuário é conectado a uma
sessão do Terminal Server pela rede. Ele aparece no Terminal
Server.
32
Quando é registrado um evento de logon de código 528 (Um usuário fez logon com
sucesso em um computador) o que identifica a origem do acesso é o tipo de logon que
também é listado no log de eventos. Na tabela 6 estão descritos os tipos de logon que pode
ocorrer em no evento de logon 528.
Tabela 6: Códigos dos tipos de eventos logon. (TECNET, 2005).
Tipo de
Nome do logon
Descrição
logon
2
Interactive
Um usuário fez logon nesse computador.
3
Network
Um usuário ou computador fez logon nesse
computador a partir da rede.
4
Batch
O tipo de logon Batch é usado por servidores
batch quando pode haver processos sendo
executados em nome de um usuário sem a sua
intervenção direta.
5
Service
Um serviço foi iniciado pelo Gerenciador de
Controle de Serviços.
7
Unlock
Essa estação de trabalho foi desbloqueada.
8
NetworkCleartext Um usuário fez logon nesse computador a partir
da rede. A senha do usuário foi transmitida ao
pacote de autenticação em sua forma sem hash.
Todos os pacotes de autenticação internos
aplicam hash em credenciais antes de enviá-las
pela rede. As credenciais não precisam atravessar
a rede em texto simples (também conhecido como
texto não criptografado).
9
NewCredentials
Um chamador clonou seu token atual e
especificou novas credenciais para conexões de
saída. A nova sessão de logon possui a mesma
identidade local, mas usa credenciais diferentes
para outras conexões de rede.
10
RemoteInteractive Um usuário fez logon nesse computador
remotamente usando serviços de terminal ou área
de trabalho remota.
11
CachedInteractive Um usuário fez logon nesse computador com
credenciais de rede que estavam armazenadas
localmente no computador. O controlador do
domínio não foi contatado para verificar as
credenciais.
2.7.6. Auditoria de eventos de Sistema
Eventos são registrados quando ocorre desligamento ou reinicialização do
computador, ou algum evento que afeta a segurança ou o log de segurança. Por exemplo, a
limpeza dos logs de segurança, cuja ação é registrada no primeiro evento após a limpeza.
33
Por padrão esta diretiva é ativada somente nos controladores de domínio para os casos de
sucesso.
A tabela 7 apresenta os eventos geradores dos logs de auditoria de eventos de
sistema com os respectivos códigos identificáveis na estrutura dos logs gerados.
Tabela 7: Códigos dos eventos de diretiva de sistema. (EVENTOS, 2005)
Eventos de
Descrição
diretiva de
sistema
512
O Windows está sendo iniciado.
513
O Windows está sendo desligado.
514
Um pacote de autenticação foi carregado pela autoridade de
segurança local.
515
Um processo de logon confiável foi registrado pela autoridade
de segurança local.
516
Os recursos internos alocados para o enfileiramento das
mensagens de eventos de segurança esgotaram, levando à perda
de algumas dessas mensagens.
517
O log de auditoria foi limpo.
518
Um pacote de notificação foi carregado pelo Gerenciador de
contas de segurança.
519
Um processo está usando uma porta de chamada de
procedimento local (LPC) inválida para tentar se passar por um
cliente e responder, ler ou gravar no espaço de endereço do
cliente.
520
A hora do sistema foi alterada.
Observação
Essa auditoria normalmente aparece duas vezes.
A ação de alterar a hora do sistema pode enganar a perícia ou
fornecer falsidade ao invasor. O nome do processo é
%windir%\system32\svchost.exe. os campos “nome do usuário
do cliente” e o “domínio do cliente” devem ser verificados para
ver se pertence aos usuários autorizados. (SEGURANÇA,
2005).
2.7.7. Auditoria de Gerenciamento de conta
A diretiva de auditoria sobre os eventos de gerenciamento de conta de um
computador ocorre quando há criação, alteração, renomeação ou exclusão de uma conta de
usuário e ainda nas definições e alteração de senhas. Por padrão esta diretiva é ativada
somente nos controladores de domínio para os casos de sucesso.
34
A tabela 8 apresenta os eventos geradores dos logs de auditoria de gerenciamento
de conta com os respectivos códigos identificáveis na estrutura dos logs gerados.
Tabela 8: Códigos dos eventos de auditoria de gerenciamento de conta. (EVENTOS,
2005).
Eventos de
Descrição
diretiva de
gerenciamento de
conta
Uma conta de usuário foi criada.
Observação:
624
O campo Usuário primário deve ser verificado para detectar se
a conta foi criada por uma pessoa ou processo autorizado.
(SEGURANÇA, 2005).
Uma senha de usuário foi alterada.
Observação:
Neste evento a alteração da senha deve ser precedida do
fornecimento da senha original. Para determinar quem foi o
627
responsável pela alteração os campos “Nome da conta
primária” e o “nome da conta de destino” devem ser
comparados. Caso não sejam iguais houve uma tentativa de
alteração de senha. (SEGURANÇA, 2005)
Uma senha de usuário foi definida.
Observação nossa:
628
Redefinição de senha é diferente de alteração de senha. A
redefinição é realizada através de interface administrativa como
usuário e computadores do active directory.
Uma conta de usuário foi excluída.
Observação:
630
O campo Usuário primário deve ser verificado para detectar se
a conta foi excluída por uma pessoa autorizada.
(SEGURANÇA, 2005).
Um grupo global foi criado.
Observação:
631
O nome do grupo pode ser localizado no campo: Nome da
conta de destino. O mesmo vale para os itens 632 a 634.
632
Um membro foi adicionado a um grupo global.
633
Um membro foi removido de um grupo global.
634
Um grupo global foi excluído.
Um novo grupo local foi criado.
Observação:
Os eventos 635 a 638 devem ser examinados com relação aos
635
grupos administradores, operadores de servidor e operadores de
cópia. O nome do grupo pode ser localizado no campo “Nome
da conta destino”. (SEGURANÇA, 2005).
636
Um membro foi adicionado a um grupo local.
637
Um membro foi removido de um grupo local.
35
Eventos de
diretiva de
gerenciamento de
conta
638
639
641
642
643
644
645
646
647
648
649
650
651
652
653
654
655
Descrição
Um grupo local foi excluído.
Uma conta do grupo local foi alterada.
Observação:
As alterações registradas pelos eventos 639, 641 e 668 devem
ser examinadas observando os grupos com privilégios mais
altos. No nome do grupo se encontra no “nome da conta de
destino”. (SEGURANÇA, 2005).
Uma conta do grupo global foi alterada.
Uma conta de usuário foi alterada.
Observação:
“Esse evento registra as alterações feitas em propriedades
relacionadas com segurança de contas de usuário não
abrangidas pelos eventos 627-630”. (SEGURANÇA, 2005).
Uma diretiva do domínio foi modificada.
Observação:
Esse evento pode indicar uma tentativa de modificação da
diretiva de senha ou outras configurações de diretiva de
segurança do domínio. (SEGURANÇA, 2005).
Uma conta de usuário autobloqueou-se.
Observação:
Esse evento acontece porque o número de tentativas
seqüenciais de logon mal sucedidas é maior que o limite de
bloqueio da conta. É interessante correlacionar esse evento com
os de número 529, 675, 676 e 681.(SEGURANÇA, 2005).
Uma conta de computador foi criada.
Uma conta de computador foi alterada.
Uma conta de computador foi excluída.
Um grupo de segurança local com segurança desativada foi
criado.
Observação
SECURITY_DISABLED no nome formal significa que esse
grupo não pode ser usado para conceder permissões em
verificações de acesso.
Um grupo de segurança local com segurança desativada foi
alterado.
Um membro foi adicionado a um grupo de segurança local com
segurança desativada.
Um membro foi removido de um grupo de segurança local com
segurança desativada.
Um grupo local com segurança desativada foi excluído.
Um grupo global com segurança desativada foi criado.
Um grupo global com segurança desativada foi alterado.
Um membro foi adicionado a um grupo global com segurança
desativada.
36
Eventos de
diretiva de
gerenciamento de
conta
656
657
658
659
660
661
662
663
664
665
666
667
668
684
685
Descrição
Um membro foi removido de um grupo global com segurança
desativada.
Um grupo global com segurança desativada foi excluído.
Um grupo universal com segurança habilitada foi criado.
Um grupo universal com segurança ativada foi alterado.
Observação:
Os eventos 659 a 662 devem ser examinados em relação aos
grupos de privilégios mais altos para garantir que as alterações
não ocorreram foram das definições das diretivas. O nome do
grupo pode ser encontrado no campo “nome da conta de
destino”. (SEGURANÇA, 2005).
Um membro foi adicionado a um grupo universal com
segurança ativada.
Um membro foi removido de um grupo universal com
segurança ativada.
Um grupo universal com segurança ativada foi excluído.
Um grupo universal com segurança desativada foi criado.
Um grupo universal com segurança desativada foi alterado.
Um membro foi adicionado a um grupo universal com
segurança desativada.
Um membro foi removido de um grupo universal com
segurança desativada.
Um grupo universal com segurança desativada foi excluído.
Um tipo de grupo foi alterado.
Defina o descritor de segurança dos membros de grupos
administrativos.
Observação
Em um controlador de domínio, a cada 60 minutos, um
segmento de segundo plano pesquisa a todos os membros de
grupos administrativos (como administradores de domínio,
corporativos e de esquema) e aplica a eles um descritor de
segurança fixo. Esse evento é registrado.
O nome de uma conta foi alterado.
Observação:
O campo “nome da conta primária”, deve ser verificado se a
conta foi alterada por uma pessoa autorizada.(SEGURANÇA,
2005).
2.7.8. Auditoria de uso de privilégios
37
Essa diretiva de auditoria controla através de registros em logs de segurança cada
instância do uso de um direito do usuário, por exemplo, apropriação de arquivos ou pastas,
alteração de hora do sistema etc. Recomenda-se ter bastante cautela na ativação desta
diretiva em razão do quantitativo de registros que são gerados em logs, o que poderá
prejudicar o desempenho do computador.
A tabela 9 apresenta os eventos geradores dos logs de auditoria de uso de privilégio
com os respectivos códigos identificáveis na estrutura dos logs gerados.
Tabela 9: Códigos dos eventos de auditoria de uso de privilégios. (EVENTOS, 2005)
Eventos de
Descrição
auditoria de uso
de privilégio
Os privilégios especificados foram adicionados ao token de
acesso de um usuário.
Observação:
Esse evento é gerado quando o usuário faz logon.
576
Através desse evento pode ser verificado se a conta obteve
equivalência de administrador no tempo de logon, por isso,
deve ser sempre correlacionado como o evento 528 ou o 540.
(SEGURANÇA, 2005).
Um usuário tentou executar uma operação de serviço
577
privilegiado do sistema.
Foram usados privilégios em um manipulador já aberto de um
578
objeto protegido.
2.7.9. Auditoria de eventos de logon de conta
Estando esta diretiva ativada os eventos de logon/logoff no domínio são registrados
nos logs de segurança. Os eventos de logon de conta são gerados onde a conta existe,
enquanto que os eventos de logon são registrados onde ocorre a tentativa de logon.
Quando o logon acontece no computador é registrado o evento LogonDeConta e
quando o logon é autenticado no domínio, o controlador de domínio que faz a autenticação
registra o evento Logon de conta. Note que estando as duas diretivas ativas em um
processo de logon de um usuário do domínio em uma estação de trabalho serão feitos
ambos os registros.
A tabela 10 apresenta os eventos geradores dos logs de auditoria de logon de conta
com os respectivos códigos identificáveis na estrutura dos logs gerados.
Tabela 10: Códigos dos eventos de auditoria de logon de conta. (EVENTOS, 2005)
38
Eventos de
Descrição
auditoria logon de
conta
Uma permissão de serviço de autenticação (AS) foi emitida e
672
validada com sucesso.
Foi concedida uma permissão ao serviço de concessão de
673
permissão (TGS).
674
Um objeto de segurança renovou uma permissão AS ou TGS.
Falha de pré-autenticação. Esse evento é gerado em um centro
675
de distribuição de chaves (KDC) quando um usuário digita uma
senha incorreta.
Falha na solicitação da permissão de autenticação. Esse evento
676
não é gerado no Windows XP nem na família Windows
Server 2003.
Não foi concedida uma permissão TGS. Esse evento não é
677
gerado no Windows XP nem na família Windows Server 2003.
678
A conta foi mapeada com sucesso como uma conta do domínio.
Falha de logon. Foi feita uma tentativa de logon na conta do
681
domínio. Esse evento não é gerado no Windows XP nem na
família Windows Server 2003.
Um usuário reconectou-se a uma sessão do Terminal Server
682
desconectada.
Um usuário desconectou uma sessão do Terminal Server sem
683
fazer logoff.
39
3. PREPARAÇÃO DO AMBIENTE
3.1. Cenário
O Ambiente computacional utilizado para Configuração do Servidor de Domínio
(Active Directory), Servidor DNS (Domain Name Server), configuração e aplicação das
diretivas de auditoria de segurança e realização dos testes foi o seguinte:
3.1.1. Computadores
a) 01 (um) microcomputador Pentium IV com 512MB de RAM e 80 GB de HD, marca
IBM, como Servidor.
b) 01 (um) microcomputador Pentium IV com 512MB de RAM e 80 GB de HD, marca
IBM, como Estação de trabalho.
3.1.2. Sistemas
a) Sistema Operacional Windows Server 2003, para o servidor. Versão avaliação por 180
dias, sem restrições de configurações.
b) Sistema Operacional Windows XP, para estação de trabalho.
c) GPMC – Group Policy Management Console (Sistema de gerenciamento de diretivas
de grupo).
3.1.3. Configuração
Foi criado um novo domínio em uma nova floresta em razão da estrutura de
laboratório para os testes deste trabalho está conectada na rede local do TRE-TO, onde
40
existe a sua própria estrutura de controlador de domínio na rede Windows, evitando,
assim, problemas de interferência entre os domínios de produção e de testes.
Após a Instalação do Windows Server 2003 foi realizada a atualização do mesmo
com o Service Pack 1 e outros Patchs através das opções apontadas pelo Windows
Update.
O
Service
Pack
1
foi
baixado
do
site:
http://www.microsoft.com/downloads/Search.aspx?displaylang=en.
3.2. Configuração do Controlador de Domínio e Servidor DNS.
Depois de instalado o Sistema Operacional para funcionar como Servidor é
necessária definição do papel que esse Servidor irá exercer dentre as opções abaixo,
podendo desempenhar mais de uma função:
Controlador de Domínio (Active Directory);
Servidor DNS (Domain Name Server);
Servidor de Arquivos;
Servidor de Impressão;
Servidor de Aplicativos;
Servidor de Email;
Servidor de Acesso Remoto/VPN;
Servidor DHCP; e
Servidor Wins.
Para o Servidor ter a função de um Controlador de Domínio autônomo tem como
pré-requisito exercer também a atividade de Servidor de DNS. A seguir serão
demonstrados os passos necessários para configuração da Estrutura do Active Directory e
do Servidor de DNS.
a) Para o Servidor exercer quaisquer das funções, acima apresentadas, torna-se
necessária instalação e configuração dos serviços intrínsecos às respectivas funções, o
que pode ser feito através da Ferramenta Administrativa “Gerenciar o Servidor“ do
próprio Sistema Windows Server 2003.
b) A figura 6 mostra a interface dessa ferramenta:
41
Figura 6: Ferramenta Gerenciar o Servidor.
c) Ao escolher a opção de “Adicionar ou remover uma função” a ferramenta exibirá lista
de funções disponíveis com o Status se está configurado ou não, deve-se então
selecionar a função a ser configurada conforme a tela da figura 7.
Figura 7: Funções disponíveis para o servidor
d) Uma vez escolhida a opção de Controlador de Domínio a ser configurada, deve-se
clicar em Avançar para que seja iniciado o Assistente de Configuração.
e) Como se trata de uma ambiente de testes recomenda-se selecionar a opção “Domínio
em uma nova floresta” conforme mostra a figura 8, para evitar influência na estrutura
de Domínios existentes em produção na organização.
42
Figura 8: Criar um novo domínio em nova floresta.
f) A figura 9 mostra o espaço para que seja configurado o novo Domínio, o que deverá
ser diferente dos domínios já em produção.
Figura 9: Estabelecendo nome para o novo domínio.
g) Após definir o domínio e clicar em Avançar será solicitado que seja informado
também o nome NETBIOS, o qual tem função de facilitar a identificação desse novo
domínio pelos usuários com versões anteriores do Windows. Para evitar confusões
entre os nomes dos domínios sugere-se adotar o mesmo nome, por exemplo:
ESTAGIO.
h) Na seqüência será solicitada a Pasta para hospedagem do Banco de Dados e Logs do
Active Directory, recomenda-se adotar o padrão sugerido pelo Assistente.
i)
Os dados públicos ficam na pasta SYSVOL. A localização desta pasta por padrão fica
no diretório “C:\WINDOWS\SYSVOL”, conforme mostra a figura 10.
43
Figura 10: Definição do Local para pasta SYSVOL
j)
O serviço de DNS é pré-requisito para uma estrutura de Active Directory. A figura 10
mostra a detecção uma falha em razão do Servidor DNS não ter sido ativo ainda.
k) Para configurar o Servidor de DNS proceda conforme figura 11.
Figura 11: Diagnóstico de registro de DNS
l)
No passo da figura 12 deverá ser definido o nível de permissões a ser atribuído para
fins de acesso ao novo Domínio. No cenário em questão foram definidas permissões
somente para ambiente windows 2000 e 2003.
44
Figura 12: Permissões para objetos de usuários e de grupo.
m) Uma vez definidos todos os parâmetros para configuração do Active Directory o
próprio Assistente executará a configuração, como mostra a figura 13.
Figura 13: Assistente de configuração do Active Directory.
n) Neste processo de configuração será solicitado o CD do Windows Server 2003.
o) Após a conclusão a máquina deverá ser reinicializada para entrar em modo de
operação já como Controlador de Domínio e Servidor de DNS.
p) A figura 14 será exibida ao efetuar “Login” após a reinicialização do computador.
45
Figura 14: Mensagem de Função configurada no servidor.
q) Estando pronta a estrutura do Active Directory, pode-se iniciar o cadastro dos usuários
e inclusão dos computadores para o novo Domínio, bem como configurações
necessárias para facilitar a administração do domínio através das políticas de
Auditorias e Segurança.
3.3. Configurações do endereço do DNS nos equipamentos
Uma vez existente o serviço de DNS no controlador de domínio, para configurar o
endereço IP do servidor de DNS nos equipamentos da rede, deve ser realizado os seguintes
passos.
a) Em IniciarPainel de ControleConexões de redeConexão local.
b) Clicar no botão “Propriedades”.
c) Na tela da figura 15, será necessária a seleção do Protocolo TCPIP.
d) Em seguida deverá ser clicado o botão Propriedades.
46
Figura 15: Propriedades da conexão local
e) Nas propriedades do Protocolo TCP/IP deve ser configurado o endereço do servidor de
DNS, como exemplificado na Figura 16.
Figura 16: Propriedades do Protocolo TCP/IP no Servidor.
47
Observação: Como essa configuração foi feita no próprio Servidor Windows Server 2003
que está exercendo a função tanto de Controlador de domínio como de Servidor de DNS,
os endereços de IP da interface de rede local é exatamente igual ao endereço IP do
Servidor de DNS. Logo, nas estações de trabalho autenticadas nesse domínio terá como
endereço do servidor de DNS este mesmo endereço IP, como mostra a figura 17.
Figura 17: Propriedades de Protocolo TCPIP da Estação
3.4. Instalação da ferramenta de Gerenciamento de Políticas de Grupo
Para instalação da ferramenta GMPC será necessário os passos seguintes:
a) Deve ser feito o download do arquivo de instalação disponível no site da própria
Microsoft, no endereço:
http://www.microsoft.com/downloads/details.aspx?FamilyID=0a6d4c24-8cbd-4b359272-dd3cbfc81887&DisplayLang=en.
b) A instalação da ferramenta Microsoft .NET FrameWork, disponível no site:
http://msdn2.microsoft.com/en-us/netframework/aa569263.aspx deve ser realizada
antes da instalação da ferramenta GPMC.
c) Deve-se executar o arquivo de instalação do GPMC, “Gpmc.msi”, baixado no passo
“a”.
48
d) Na tela da figura 18, deve ser clicado no botão “Next” para iniciar a instalação.
Figura 18: Setup Wizard da instalação do GPMC
e) Na tela “License Agreement”, figura 19, será necessário aceitar o contrato de licença
selecionando a opção “I Agree“.
Figura 19: Licence Agreement para instalação do GPMC
f) Para continuar a instalação deve-se clicar no botão “Next” e aguardar o progresso da
instalação.
49
g) Após o processo de instalação deve-se clicar no botão “Finish” na tela de conclusão da
instalação, figura 20. Concluído esses passos a ferramenta GMPC estará pronta para
uso.
Figura 20: Término da instalação do GPMC
3.5. Operacionalização da ferramenta GPMC no Windows Server 2003
3.5.1. Execução da ferramenta GMPC.
a) A execução da ferramenta GPMC deverá ser feita clicando em “IniciarFerramentas
AdministrativasGroup Policy Management”, conforme figura 21.
50
Figura 21: Execução da ferramenta GMPC
b) A figura 22 mostra a interface da ferramenta GPMC.
Figura 22: Interface principal da ferramenta GPMC
3.5.2. Criação de uma nova Diretiva de grupo
a) Para inserir uma nova diretiva, fazer ou gerenciar backups das diretivas já existentes
deverá expandir o domínio, neste caso Estagio.tre-to.gov.br, e clicar com o botão
direito do mouse na opção “Group Policy Objects“, conforme figura 23.
51
Figura 23: Group Policy Objects
b) Para criar uma nova diretiva de grupo deve-se clicar no botão direito do mouse na
opção “Group Policy Objects“ escolhendo em seguida a opção “New”, conforme
figura 23.
c) Deverá ser informado o nome da nova diretiva e clicar no botão OK.
Observação: Para nomear as diretivas é recomendado dar nomes condizentes com a
aplicação da mesma, para fins de facilitar o gerenciamento.
d) No exemplo da figura 24 está sendo criado a Diretiva de Auditoria.
Figura 24: Criação da Diretiva de Auditoria.
3.5.3. Realização de backup das diretivas de grupo
52
a) Para realizar backups das Diretivas criadas deve-se clicar no botão direito do mouse
na opção “Group Policy Objects“ escolhendo em seguida a opção “Backup All”,
conforme figura 23.
b) Na tela da figura 25 deverá ser informado o local destino do Backup, a descrição e em
seguida deve-se clicar no botão “Backup” para iniciar a cópia de segurança das
Diretivas existentes.
c) Para restaurar as diretivas deverá ser escolhida a opção “Manage Backups” obtida ao
clicar com o botão direito do mouse em “Group Policy Objects,“ conforme figura 23.
Figura 25: Realização de backup de Diretivas
3.5.4. Editor de Diretivas de grupo
a) Para executar o editor de diretivas deve-se clicar no botão direito do mouse sobre a
diretiva a ser configurada, escolhendo a opção “Edit”, conforme figura 26.
53
Figura 26: Edição de Diretivas
b) A figura 27 mostra a interface do editor de diretivas.
Figura 27: Editor de diretiva de grupo
3.6. Configuração da diretiva de Auditoria de grupo
54
a) Para configurar a diretiva de auditoria tem que editá-la conforme demonstrado na
figura 26.
Observação: Por padrão as configurações diretivas de auditoria estão limitadas ao perfil
do administrador do domínio.
3.6.1. Ativação das diretivas de grupo
a) No console do Editor de diretivas, figura 26, na opção “Configuração do computador
Configurações do Windows Configurações de segurança Diretivas Locais Diretiva de Auditoria“, estão os tipos de eventos passíveis de submissão à auditoria,
cuja configuração, por padrão, está como “não definida”, conforme figura 28.
Auditoria de:
Acesso a objetos;
Acesso ao serviço de diretório
Alteração de diretiva
Controle de processo
Eventos de logon
Eventos de sistema
Gerenciamento de conta
Uso de privilégios
Eventos de logon de conta
55
Figura 28: Eventos da diretiva de auditoria
b) Para editar e configurar cada diretiva de auditoria constante do painel de detalhes da
figura 28 deve-se dar um duplo clique na diretiva de auditoria a ser auditada, ou
selecioná-la e com o botão direito do mouse acessar as propriedades da mesma,
obtendo a tela da figura 29.
Figura 29: Propriedades de auditoria de acesso a objetos
c) Na tela da figura 29 deve-se selecionar a opção “Definir as configurações dessas
diretivas” e em seguida marcar as opções para definir se vai ser registrado logs das
ações de êxito e/ou de falha, conforme demonstrado na figura 30.
56
Figura 30: Definição da configuração de diretiva
d) A figura 31 apresenta o painel do editor de diretiva de grupo com o Status de
configuração modificado para a diretiva de auditoria de acesso a objetos.
Figura 31: Demonstração do Status de auditoria definida.
Este passo, 3.6.1, deverá ser repetido para cada Auditoria a ser definida a
configuração.
57
Observação: Os procedimentos de configuração de Diretiva de Auditoria acima são
aplicáveis em ambiente de domínio utilizando a ferramenta de Gerenciamento de diretivas
de grupo.
3.6.2. Ativação das diretivas de auditoria no Computador Local
Para ativar a auditoria em um computador local, seja estação ou o próprio
controlador de domínio, devem-se executar os passos abaixo:
a) No controlador de domínio deve-se acessar o menu “Iniciar Ferramentas
administrativas Diretiva de segurança de domínio”.
b) No controlador de domínio: Na árvore de console deve-se expandir “Configurações de
segurança Diretivas Locais” e em seguida selecionar Diretiva de Auditoria.
c) Na estação de trabalho deve-se acessar o Painel de Controle Ferramentas
administrativas Diretiva de segurança local.
d) Na estação de trabalho: Na árvore de console deve-se expandir Diretivas locais e
selecionar Diretiva de Auditoria.
e) No painel de detalhes os passos 3.6.1(b e c) deverão ser repetidos para definir a
configuração de cada diretiva de auditoria, as quais terão abrangência apenas a nível
local.
3.7. Configuração da política de armazenamento dos Logs de segurança.
Para uma melhor organização das diretivas aplicadas, será criada uma diretiva de
grupo com o nome de: “diretiva dos logs de segurança”, conforme os passos seguintes:
a) Para criar esta diretiva devem ser executados os passos das figuras 21 a 24, utilizados
para criar a diretiva de auditoria.
b) A edição para configuração da “diretiva dos logs de segurança” deverá ser feita
conforme figura 26, utilizada para a diretiva de auditoria, obtendo a tela do editor de
diretivas mostrada na figura 27. No editor de diretivas deverão ser realizados os
passos seguintes:
c) Deve-se expandir “Configuração do computador Configurações do Windows Configurações de segurança” e em seguida selecionar “Log de eventos”, conforme
figura 32.
58
Figura 32: Configuração dos Logs de Eventos
d) Deverão ser configuradas as opções “Método de retenção do log de segurança” e
“Tamanho máximo do log de segurança” dando um duplo clique em cada uma dessas
opções.
e) Para o método de retenção existem as seguintes opções:
Substituir eventos quando necessário
Nesta opção os eventos novos substituem os mais antigos quando o espaço
reservado para os logs estiver cheio. Recomenda-se configurar esta opção.
Substituir eventos periodicamente
Optando por esta opção tem que definir a quantidade de dias para substituição dos
logs na opção “Reter log de segurança”.
Não substituir log
Optando por esta opção, os logs deverão ser limpos manualmente.
f) Para o tamanho do espaço máximo para os logs de segurança:
g) Deverá ser configurado conforme a quantidade de diretivas ativadas. Para os testes
que serão realizados deve ser definido o tamanho de 50.000 Kbytes.
A configuração final sugerida ficará conforme figura 33.
59
Figura 33: Configuração da diretiva dos logs de segurança
h) Concluída as definições para o armazenamento de logs deve ser fechado o editor de
diretiva de grupo.
i)
O vínculo desta diretiva na UO “Estágio_Testes” deverá ser criado conforme foi feito
com a diretiva de auditoria nas figuras 35 e 36.
Uma vez criada, configurada e vinculada a “diretiva dos logs de segurança”,
poderá iniciar a aplicação das diretivas de auditoria.
3.8. Aplicação das diretivas de Auditoria
Conforme foi apresentado no item 3.5, a ferramenta de gerenciamento GPMC
possui um repositório para centralizar todas as diretivas criadas na estrutura do Active
directory com nome de “Group Policy Objects”. A partir da existência das diretivas nesse
repositório a aplicação das mesmas poderá acontecer nas mais diversas instâncias da
estrutura de diretórios.
No caso em questão as diretivas de auditoria foram aplicadas no seguinte cenário:
Foi criada no controlador de domínio Estagio.tre-to.gov.br uma Unidade
Organizacional (UO) com o nome de “Estágio_testes”. Dentro desta UO foi feita a
segmentação da estrutura do Tribunal Regional Eleitoral conforme organograma
funcional, ou seja, foram criadas outras UOs, como:
60
Presidência;
Corregedoria;
Diretoria – Diretoria Geral;
Controle Interno;
SJI - Secretaria Judiciária;
SGP – Secretaria de Gestão de Pessoas
STI – Secretaria da Tecnologia da Informação
SADOR – Secretaria de Administração e orçamento.
Ainda dentro de cada UO desta foram criadas mais duas UOs contemplando os
computadores e os usuários destas UOs, conforme figura 34.
A aplicação da diretiva de auditoria deverá ter abrangência em toda a estrutura
organizacional, logo, a sua aplicação deverá ser feita na UO Estagio_testes. Assim, por
herança estará sendo aplicada em todas as UOs filhas, abrangendo inclusive as UOs de
computadores e de Usuários.
Figura 34: Cenário: Unidades Organizacionais
3.8.1. Passos para aplicação da diretiva de auditoria
Nesta seção será demonstrado como fazer aplicação das diretivas de auditoria
dentro da estrutura do Active directory. Deve-se, portanto, seguir os passos abaixo para
efetivar as aplicações.
61
a) Conforme o cenário, para aplicar a diretiva de auditoria na UO “Estagio_Teste”
deverá executar a ferramenta GPMC e expandir a “Floresta domain Estagio.treto.gov.br Estagio_Testes”.
b) Com o botão direito do mouse sobre a UO Estagio_testes, deve-se escolher a opção
“Link an existing GPO”, conforme figura 35. Esta ação irá abrir a tela com as
Diretivas que estão disponíveis para aplicação.
Observação: A diretiva já tinha sido criada e estava na central de GPOs, porém sem
nenhuma aplicação ainda.
Figura 35: Aplicação de Diretiva de Auditoria
c) Na tela da figura 36 deve-se escolher a “Diretiva de Auditoria” e clicar no botão OK.
62
Figura 36: Seleção de GPO para aplicação.
d) Após a aplicação da diretiva a mesma será mostrada dentro da UO Estagio_testes para
facilitar o gerenciamento da aplicação desta diretiva, conforme mostra a figura 37.
3.8.2. Herança e conflito na aplicação da diretiva de auditoria
Conforme documentado no item 2.5, Auditoria em Redes Windows, e demonstrado
na figura 5 existem precedências nas aplicações das diretivas partindo os locais mais
distantes da origem das contas dos objetos para os mais próximos. Como essa precedência
acontece por herança, nesta seção será demonstrado, nos passos seguintes, como bloquear
herança e como resolver conflitos nas aplicações das diretivas.
a) A opção “enforced”, conforme figura 37, deverá ser selecionada para forçar a
aplicação da diretiva em casos conflitantes, mencionados no item 2.5.
63
Figura 37: Forçando aplicação de diretiva
b) Para bloquear a herança em um objeto do Active Directory a opção “block
Inheritance” deverá ser selecionada, conforme figura 38.
Figura 38: Bloqueio de herança em objeto do Active Directory.
3.8.3. Modificação de configuração de diretiva de grupo
Nesta seção será demonstrado, nos passos seguintes, como realizar alterações nas
configurações das diretivas.
64
a) Para modificar as configurações da diretiva de auditoria será preciso editá-la,
utilizando a opção Edit acima da opção “enforced” demonstrada na figura 25.
b) Uma vez “Editada”, no painel de Editor de Diretiva de grupo deve-se expandir
“Configuração do computador Configurações do Windows Configurações de
segurança Diretivas Locais” e selecionar “Diretiva de Auditoria”, conforme
demonstrado na figura 31.
3.8.4. Atualização das Diretivas
Após cada edição para alteração da diretiva é aconselhável fazer uma atualização
das aplicações das diretivas através do comando gpupdate /force.
a) No menu iniciar opção executar, deve-se digitar o comando cmd para abrir o prompt
de comando para fins de execução da atualização das diretivas.
b) Para atualizar as aplicações das diretivas deve-se executar o comando “gpupdate
/force” conforme figura 39.
Figura 39: Atualização das diretivas
3.8.5. Aplicação da diretiva de acesso a objetos.
Conforme demonstrado na figura 31, a diretiva de acesso a objetos foi definida
para registrar eventos de êxito e de falha. Então, será demonstrado o resultado prático
dessa aplicação de auditoria.
65
A diretiva de acesso a objetos exige duas etapas de configuração: A primeira etapa
foi configurada seguindo o passo 3.6.1, conforme figura 31. A segunda etapa deverá ser
configurada no objeto do sistema de arquivos a ser auditado, como arquivo, pastas,
registros etc. Para fazer a segunda etapa de configuração devem ser realizados os passos
seguintes:
a) Deve ser definido o objeto que será auditado. Este objeto (arquivo, pasta, impressora,
registro etc.) poderá estar em qualquer estação de trabalho pertencente ao domínio ou
no próprio servidor.
b) Em seguida devem-se acessar as propriedades do objeto com o botão direito do
mouse.
c) A “aba segurança” deve ser selecionada e em seguida clicar no botão “Avançado”.
d) Na tela de configurações avançadas para o objeto deverá ser selecionada a “aba
Auditoria”.
e) Na tela da “aba auditoria” deve-se clicar no botão “Adicionar” para que sejam
inseridos os usuários ou grupo de usuários, obtendo a figura 40, cujas ações sobre o
objeto a ser auditado serão registradas nos logs de segurança.
Figura 40: Seleção de usuários e/ou grupos
f) Para adicionar usuários deve-se clicar no botão “Avançado” da figura 36 e em seguida
no botão “Localizar agora”.
g) Os usuários ou grupo de usuários desejado devem ser selecionados, conforme
exemplificado na figura 41.
.
66
Figura 41: Filtro de usuários ou grupo de usuários
h) Ao selecionar o/os usuário(s), deve-se clicar no botão OK para retornar à figura 40.
i)
Ao Clicar no botão Ok na tela da figura 40, será aberta a tela da figura 42 para
definição dos eventos de auditoria sobre o objeto.
Figura 42: Seleção de eventos de acesso ao objeto
67
j)
Na tela mostrada na figura 42 deve-se clicar no botão OK após a definição dos eventos
de acesso a objetos que serão auditados nas ações dos usuários selecionados.
k) A configuração realizada será mostrada na tela da figura 43.
l)
Para finalizar a configuração deve-se clicar no botão Ok.
Figura 43: Configuração de auditoria realizada.
3.8.6. Aplicação da diretiva de acesso ao serviço de diretório.
Para tornar esta diretiva ativa para geração dos logs relativos aos respectivos
eventos será necessária a configuração em duas etapas. A configuração da primeira etapa
poderá ser feita seguindo os mesmos passos realizados para ativar a diretiva de acesso a
objetos, item 3.6.1, cujo resultado foi apresentado na figura 31, com exceção da aplicação
ter que ser a nível de domínio, podendo editar a própria diretiva default do domínio
“Default Domain Policy”. Enquanto que a segunda etapa será a configuração das opções
de auditoria dos objetos do active directory a serem auditados. Para tanto devem ser
seguidos os passos abaixo:
68
a) Deve ser definido o objeto do active directory que será auditado. Este objeto (usuário,
grupo de usuários, computadores etc.) pertencerá ao controlador de domínio e não a
qualquer computador da rede.
b) Como se trata dos objetos do Active Director será necessário executar a ferramenta
“Usuários e Computadores do Active Directoy” Em “Iniciar Ferramentas
Administrativas Usuários e Computadores do Active Directoy”.
c) Neste teste será configurado o objeto Unidade Organizacional “Estagio_Testes”.
d) Deve-se clicar com o botão direito do mouse sobre na UO “Estagio_Testes” e escolher
a opção “Propriedades”, conforme mostra a figura 44.
Figura 44: Como acessar as propriedades de um objeto
e) Ao escolher propriedades na figura 44 abrirá a tela da figura 45, na qual deverá
selecionar a “aba segurança” e em seguida deve-se clicar no botão “Avançado”.
69
Figura 45: Propriedades do objeto UO Estagio_Testes
f) Na tela de configurações avançadas para o objeto “Estagio_Testes” deverá ser
selecionada a “aba Auditoria”, conforme figura 46.
Figura 46: Configurações Avançadas para o objeto Estagio_Testes
70
g) Ainda da tela da figura 46 deve-se clicar no botão “Adicionar” para que sejam
inseridos os usuários ou grupo de usuários, obtendo a figura 47, cujas ações sobre o
objeto a ser auditado serão registradas nos logs de segurança.
Figura 47: Seleção de usuários e/ou grupos
h) Para adicionar usuários deve-se clicar no botão “Avançado” da figura 47 e em seguida
no botão “Localizar agora”.
i)
Os usuários ou grupo de usuários desejado devem ser selecionados, conforme
exemplificado na figura 48.
Figura 48: Filtro de usuários ou grupo de usuários
71
j)
Ao selecionar o/os usuário(s), deve-se clicar no botão OK para retornar à figura 47.
k) Ao Clicar no botão Ok na tela da figura 47, será aberta a tela da figura 49 para
definição dos eventos de auditoria sobre o objeto.
Figura 49: Seleção de eventos de serviço de diretório
l)
Na tela mostrada na figura 49 para o teste em epígrafe foram definidos os eventos de
“Criar/Excluir account objetos” e Criar/Excluir usuário objetos”.
m) Após seleção dos eventos deve-se clicar no botão OK.
n) A configuração realizada será mostrada na tela da figura 50.
o) Para finalizar a configuração deve-se clicar no botão Ok.
p) Para os eventos de criação e exclusão de objetos foram definidos somente auditoria
nas ações de êxito, considerando ter maior importância para análise.
72
Figura 50: Configuração de auditoria realizada para Estagio_Testes.
3.8.7. Aplicação de Auditoria de alteração de diretiva
Para tornar esta diretiva ativa para geração dos logs relativos aos respectivos
eventos de alteração de diretiva deverão ser seguidos os passos do item 3.6.1, cujo
resultado está mostrado na figura 51. Diferentemente das aplicações anteriores, a
configuração desta diretiva se resume em ativá-la para gerar os logs nos casos de ações de
êxito e de falha.
Figura 51: Ativação da auditoria de alteração de diretiva.
73
a) É aconselhável sempre que houver alteração, inclusão ou exclusão de diretiva fazer
atualização das aplicações seguindo os passos do item 3.8.4.
b) Normalmente o log de alteração de diretiva é registrado quando acontece atualização
na aplicação das diretivas.
3.8.8. Aplicação de Auditoria de controle de processo
Para tornar esta diretiva ativa para geração dos logs relativos aos respectivos
eventos de controle de processo deverão ser seguidos os passos do item 3.6.1, cujo
resultado está mostrado na figura 52. Diferentemente das aplicações anteriores a
configuração desta diretiva se resume em ativá-la para gerar os logs nos casos de ações de
êxito e de falha.
Figura 52: Ativação da diretiva de auditoria de controle de processo.
3.8.9. Aplicação de Auditoria de auditoria de eventos de logon
Para tornar esta diretiva ativa para geração dos logs relativos aos respectivos
eventos de logon deverão ser seguidos os passos do item 3.6.1, cujo resultado está
74
mostrado na figura 53. Diferentemente das aplicações anteriores, a configuração desta
diretiva se resume em ativá-la para gerar os logs nos casos de sucesso e de falha de logon.
Figura 53: Ativação da diretiva de auditoria de eventos de logon
3.8.10. Aplicação de diretiva de auditoria de eventos de Sistema
Para tornar esta diretiva ativa para geração dos logs relativos aos respectivos
eventos de Sistema deverão ser seguidos os passos do item 3.6.1, cujo resultado está
mostrado na figura 54. Diferentemente das aplicações anteriores, a configuração desta
diretiva se resume em ativá-la para gerar os logs nos casos de sucesso e de falha dos
eventos de sistema.
75
Figura 54: Ativação da diretiva de auditoria de ventos de sistema.
3.8.11. Aplicação de diretiva de auditoria de gerenciamento de contas
Para tornar esta diretiva ativa para geração dos logs relativos aos respectivos
eventos de gerenciamento de conta deverão ser seguidos os passos do item 3.6.1, cujo
resultado está mostrado na figura 55. Diferentemente das aplicações anteriores, a
configuração desta diretiva se resume em ativá-la para gerar os logs nos casos de sucesso e
de falha no processo de gerenciamento de conta.
76
Figura 55: Ativação da diretiva de auditoria de gerenciamento de conta.
3.8.12. Aplicação de diretiva de auditoria uso de privilégios
Para tornar esta diretiva ativa para geração dos logs relativos aos respectivos
eventos de uso de privilégios deverão ser seguidos os passos do item 3.6.1, cujo resultado
está mostrado na figura 56. Diferentemente das aplicações anteriores, a configuração desta
diretiva se resume em ativá-la para gerar os logs nos casos de sucesso e de falha no
processo de uso de privilégios.
Figura 56: Ativação da diretiva de auditoria de uso de privilégios.
77
3.8.13. Aplicação de diretiva de auditoria de eventos de logon de conta
Para tornar esta diretiva ativa para geração dos logs relativos aos respectivos
eventos de logon de conta deverão ser seguidos os passos do item 3.6.1, cujo resultado
está mostrado na figura 57. Diferentemente das aplicações anteriores, a configuração desta
diretiva se resume em ativá-la para gerar os logs nos casos de sucesso e de falha nos
eventos de logon de conta. Este evento é gerado durante o processo de autenticação no
controlador de domínio.
Figura 57: Ativação da diretiva de auditoria de eventos de logon de conta.
78
4. RESULTADOS E DISCUSSÕES
Esta seção apresenta as formas de visualização dos logs de auditoria de segurança,
bem como os testes de aplicação das diretivas de auditoria e respectivos resultados através
da geração dos logs durante a aplicação de cada diretiva.
O acompanhamento dos logs de segurança deverá ser feito através do visualizador
de Logs diretamente na estação de trabalho como também a partir do controlador de
domínio.
4.1. Visualização dos Logs de segurança
A visualização dos logs de segurança registrados nas estações de trabalho pode ser
feita de forma remota e localmente. De forma remota quando a visualização é realizada,
por exemplo, a partir do controlador de domínio, enquanto que para visualizar localmente
o acesso deve ser feito diretamente em cada estação de trabalho. Os logs do controlador de
domínio também são visualizados de forma local.
4.1.1.
Visualização dos Logs a partir do controlador de domínio
O gerenciamento dos registros dos logs de auditoria das estações de trabalho
precisa ser de forma centralizada, considerando que se torna impraticável acessar
localmente cada estação para fazer acompanhamento dos eventos registrados, além de ser
extremamente trabalhoso prejudicaria o trabalho dos usuários. No entanto, a partir do
próprio servidor de domínio é possível acessar os registros de cada estação através do
manipular de objetos MMC. O diagrama da figura 58 demonstra como se dará esse acesso.
79
SERVIDOR DC:
Estagio1.
Domínio:
estagio.tre-to.gov.br
VirtualXP
Acessa a ferramenta
gerenciamento do
computador das
estações, através do
MMC..
Estação2
Estação3
Estação5
Estação4
Figura 58: Diagrama da arquitetura da rede para visualização de logs
Nesta seção serão mostrados os passos para visualizar os logs de segurança das
estações de trabalho de forma remota e centralizada a partir do controlador de domínio. Os
passos que deverão ser realizados são os seguintes:
a) “Em Iniciar executar” deve-se digitar mmc e clicar no botão OK.
b) Na tela Console do mmc, no menu “Arquivo” deve-se escolher a opção
“adicionar/remover snap-in” e clicar no botão “Adicionar” em seguida.
c) Na tela “Adicionar snap-in autônomo” deve ser escolhido o snap-in “Gerenciamento
do computador”, e seguida clicar no botão “Adicionar”, conforme figura 59.
Figura 59: Adicionar snap-in
d) Na tela “Gerenciamento do computador”, deve-se escolher a opção “outro
computador” e clicar no botão “Procurar”.
80
e) Na tela “Selecionar computador” deve-se clicar no botão “Avançado” em seguida no
botão “Localizar agora”.
f) Deve-se selecionar o computador a ser visualizado os logs de segurança, neste cenário
será o computador “VirtualXP”, conforme figura 60.
Figura 60: Seleção do computador para visualizar logs
g) Deve-se clicar no botão “OK” duas vezes na tela “Selecionar Computador”.
h) Após deve-se clicar no botão “Concluir”, na tela “Gerenciamento do Computador”.
i)
Na tela “Adicionar Snap-in Autônomo” deve-se clicar no botão “Fechar”.
j)
Na tela “Adicionar/Remover Snap-in” deve-se clicar no botão “OK”.
k) Na tela do “Console” deverá expandir “Gerenciamento do computador Ferramenta
do Sistema Visualizar eventos” e selecionar Segurança.
l)
Os Logs gerados estarão expostos no painel da tela “Console”, conforme figura 61.
81
Figura 61: Log gerado pela aplicação de auditoria em acesso a objetos
4.1.2.
Visualizar Logs de segurança na própria estação de trabalho.
Nesta seção serão mostrados os passos para visualizar os logs de segurança das
estações de trabalho de forma local, ou seja, fazendo logon diretamente na estaca ode
trabalho. Os passos que deverão realizados são os seguintes:
a) Em “Iniciar Painel de Controle Ferramenta Administrativa”, deve ser executado
o item “Gerenciamento do Computador”.
b) Na tela “Gerenciamento do Computador” deve-se expandir “Ferramenta do sistema Visualizar Log”, em seguida deverá ser selecionada a opção “Segurança”.
c) Os logs apresentados no painel da tela “Gerenciamento do Computador”, são
exatamente os mesmos visualizados a partir do Controlador de Domínio, figura 61.
4.1.3.
Visualizar Logs de segurança do controlador de domínio.
Para visualizar os logs gerados no controlador de domínio devem ser seguidos os
passos abaixo:
a) Em “Iniciar Ferramentas Administrativas Visualizar eventos”, em seguida
deverá ser selecionada o item segurança.
Observação: A aplicação da diretiva de auditoria de acesso ao serviço de diretório gera
logs no controlador de domínio.
82
4.2. Teste de aplicação das diretivas
4.2.1.
Teste de aplicação da diretiva de acesso a objetos.
O funcionamento da aplicação da diretiva de acesso a objetos tem como prérequisito as configurações das duas etapas, as quais foram descritas nos itens 3.6.1 e 3.8.5
respectivamente. Para realização dos testes devem ser realizados os seguintes passos:
Cenário: As configurações de auditoria foram realizadas na pasta C:\Confidencial
da estação de trabalho “VirtualXP”. Portanto, no conteúdo desta pasta qualquer ação de
exclusão de subpastas e/ou arquivos será registrada nos logs de segurança.
a) Para testar à diretiva deve-se “excluir” um arquivo da pasta e anotar o nome do
arquivo. Neste cenário deverá excluído o arquivo “DNS.doc”
b) Na tela mostrada na figura 61 ao dar um duplo clique no evento 560, por exemplo,
serão mostradas as propriedades do evento de exclusão do arquivo DNS.doc, figura
62.
A
B
C
D
Figura 62: Propriedades do evento 560
c) Na figura 62 os campos da propriedade do evento 560 (Foi concedido acesso a um
objeto já existente) de maior importância para a auditoria são: a categoria do evento
em A, o código do evento em B, o nome do arquivo que foi excluído em C e o nome
do usuário agente da ação de exclusão em D.
83
d) A figura 63 mostra os campos da propriedade do evento 560 não contemplados na
figura 62. Deve ser observado o tipo de acesso realizado no arquivo. Conforme
demonstrado em E o tipo de acesso foi de DELETE.
E
Figura 63: Propriedades do evento 560 – continuação
4.2.2.
Teste de aplicação da diretiva de acesso a serviço de diretório.
O funcionamento da aplicação da diretiva de acesso a serviço de diretório tem
como pré-requisito as configurações das duas etapas, as quais devem ser executadas
conforme descritos nos itens 3.6.1 e 3.8.6 respectivamente. Para realização dos testes
devem ser realizados os seguintes passos:
Cenário: As configurações de auditoria foram realizadas no objeto Unidade
Organizacional “Estagio_Testes. Portanto, os eventos configurados na segunda etapa da
configuração, os quais foram “criar/excluir account objetos” e “criar/excluir usuário
objetos” serão registrados em logs de segurança.
a) Para testar a diretiva deve-se “criar” um usuário “ulbra” na UO usuários da unidade
“STI”, a qual é filha da UO “Estagio_Testes”.
b) Em “Iniciar Ferramentas Administrativas Usuários e computadores do Active
Directory”, deve-se expandir “Estagio.tre-to.gov.br Estagio_Testes STI”. Em
84
seguida deverá clicar com o botão direito do mouse sobre a UO “Usuários” e escolher
a opção “Novo Usuário”, conforme figura 64.
Figura 64: Inserção de novo Usuário.
c) Após escolher a opção de “Novo Usuário” na tela da figura 64, deverão ser
informados os dados do novo usuário conforme consta na figura 65.
Figura 65: Dados do novo usuário.
85
d) Após os dados de o novo usuário ser preenchido deve-se clicar no botão “Avançar”.
e) Na tela da figura 66 deverá ser informada a senha do novo usuário e selecionada a
opção: se o usuário deverá alterar no próximo logon, usuário não pode alterar a senha,
a senha nunca expira e conta desativada. Por padrão sempre é selecionada a opção
para o usuário alterar a senha no próximo logon, porém, neste teste foi selecionada a
opção “senha nunca expira”.
Figura 66: definição de senha do novo usuário.
f) A senha deverá ser definida de acordo com as regras pré-definidas para as senhas dos
usuários.
g) Após a definição da senha deverá ser clicado no botão “Avançar” e em seguida no
botão “Concluir” na tela “Novo Objeto – Usuário”.
h) Após a criação do novo usuário devem-se visualizar os logs de segurança, os quais
deverão contemplar o registro da criação do novo objeto.
i)
Os logs poderão ser visualizados seguindo os passos do item 4.1.3 – Visualizar logs
gerados no Controlador de Domínio. A tela da figura 67 mostra os logs gerados no
registro dos eventos de acesso ao serviço de diretório.
86
Figura 67: Registro logs dos eventos de acesso ao serviço de diretório
j)
Ao acessar as propriedades do evento 566 serão mostrados os campos que comprovam
a inclusão do novo usuário “ulbra”, inclusive com o nome do usuário que comandou a
ação de criação do usuário, conforme figuras 68 e 69.
k) As informações adicionais, figura 69, apresentam os dados do novo usuário e a sua
localização dentro da estrutura do active directory.
A
B
E
C
D
F
Figura 68: Propriedade do log de acesso ao serviço de diretório, código 566.
87
e) Na figura 68 os campos da propriedade do evento 566 (Ocorreu uma operação de
objeto genérica) de maior importância para a auditoria são: a categoria do evento em
A, o código do evento em B, o tipo do objeto em C, o nome do objeto em D o qual
mostra em qual instância da estrutura do active directory o evento ocorreu, o nome do
usuário que comandou a ação em E como também o tipo de acesso demonstrado em F,
o qual comprova ser de criação de usuário. A comprovação do nome do objeto que foi
criado está sendo mostrada nas informações adicionais em G da figura 69.
G
Figura 69: Informações adicionais do log de acesso ao serviço de diretório, código 566
4.2.3.
Teste de aplicação de auditoria de alteração de diretiva.
O funcionamento da auditoria de alteração de diretiva tem como pré-requisito a
ativação da diretiva conforme descrito no item 3.8.7. Para realização dos testes devem ser
realizados os seguintes passos:
88
Cenário: A diretiva de auditoria está com link ativo no domínio “Estagio.treto.gov.br”, logo, com aplicação em todo o domínio. Para o teste em questão será feita
alteração nesta diretiva.
a) Em “Iniciar Ferramentas Administrativas Group Policy Management” deve-se
expandir “Estagio.tre-to.gov.br”. Em seguida deve-se clicar com o botão direito do
mouse sobre a diretiva de auditoria e escolher a opção “Edit”.
b) No editor de objeto de diretiva de grupo deve ser expandido “Configurações do
computador Configurações do windows Configurações de segurança diretivas locais” e em seguida deve-se selecionar o item diretiva de auditoria.
c) Do lado direito do editor deve ser feita alguma alteração nas diretivas de auditoria.
Para o teste em evidência foram realizadas as alterações constantes da figura 70.
Figura 70: Alteração nas aplicações das diretivas de auditoria
d) Após a conclusão da alteração da diretiva de auditoria e fechado o editor de objeto,
deve-se fazer atualização da aplicação das diretivas conforme passo 3.8.4.
e) A figura 71 mostra o registro dos logs gerados quando da alteração da diretiva de
auditoria. Dentre os eventos gerados iremos analisar o de código 612 (Alteração de
diretiva de auditoria).
89
Figura 71: Registro de logs de alteração de diretiva.
f) Ao dar um duplo clique no evento 612, serão mostradas as propriedades do evento de
alteração de diretiva, conforme telas da figura 72.
A
B
C
D
E
Figura 72: Propriedades do log de alteração de diretiva.
90
f) Na figura 72 os campos da propriedade do evento 612 de maior importância para a
auditoria são: a categoria do evento em A, o código do evento em B, o nome do
computador origem da alteração em C. O espelho da aplicação das diretivas após as
alterações da figura 72 em D. O responsável pela alteração é mostrado em E.
Convém salientar nesta análise que a situação da nova aplicação das diretivas,
apresentada em D, pode variar em razão dos valores padrões para o Controlador de
domínio, quando na configuração da diretiva estiver com o status de “não definida”. Isto
implica afirmar que mesmo a diretiva estando não configurada, poderá apresentar valores
positivos para os eventos de êxito ou de falha.
4.2.4.
Teste de aplicação da diretiva de auditoria de controle de processo.
O funcionamento da auditoria de controle de processo tem como pré-requisito a
ativação da diretiva conforme descrito no item 3.8.8. Para realização dos testes devem ser
realizados os seguintes passos:
Cenário: Para teste da diretiva de auditoria de controle de processo, após a
ativação da diretiva foi executado o sistema “Bloco de Notas”.
a) A figura 73 mostra o registro dos logs gerados após a execução do sistema “Bloco de
Notas”, o qual foi executado logo após a ativação da diretiva. Análise deve ser feita
com base no evento de código 592 (Um novo processo foi criado).
Figura 73: Registro de logs de controle de processo.
b) Ao dar um duplo clique no evento 592, serão mostradas as propriedades do evento de
controle de processo de categoria “Monitoração detalhada”, conforme tela da figura
74.
91
A
B
C
D
E
Figura 74: Propriedades do Log de controle de processo
c) Na figura 74 os campos da propriedade do evento 592 (Um novo processo foi criado)
de maior importância para a auditoria são: a categoria do evento em A, o código do
evento em B, o identificador do novo processo em C, o executável gerador do novo
processo em D e o usuário responsável pela execução do novo processo em E.
4.2.5.
Teste de aplicação da diretiva de auditoria de eventos de logon.
O funcionamento da auditoria de eventos de logon tem como pré-requisito a
ativação da diretiva conforme descrito no item 3.8.9. Para realização dos testes devem ser
realizados os seguintes passos:
Cenário: Para teste da diretiva de auditoria de eventos de logon será efetuado
logon na estação de trabalho VirtualXP com o usuário “ulbra”. Como esse usuário não tem
permissão para visualizar eventos, a visualização será feita a partir do Controlador de
domínio seguindo os passos do item 4.1.1..
a) A figura 75 mostra o registro dos logs gerados durante o processo de logon do usuário
“ulbra” na estação “VirtualXP”. Análise deve ser feita com base no evento de código
528 (Um usuário fez logon com sucesso em um computador).
92
Figura 75: Registro de logs gerados durante o evento de logon.
b) Ao dar um duplo clique no evento 528 serão mostradas as propriedades do evento de
logon no computador VirtualXP, conforme tela da figura 76.
A
B
C
D
E
Figura 76: Propriedades do log de evento de logon
c) Na figura 76 os campos da propriedade do evento 528 de maior importância para a
auditoria são: a categoria do evento em A, o código do evento em B, o tipo do evento
93
em C, o nome do usuário que efetuou logon em D e a estação de trabalho acessada
pelo usuário em E.
4.2.6.
Teste de aplicação da diretiva de auditoria de eventos de Sistema.
Concluída as configurações de ativação de auditoria de alteração de diretivas, item
3.8.10, deve ser realizado os seguintes testes:
Cenário: Para teste da diretiva de auditoria de eventos de sistema será efetuada a
limpeza dos logs de segurança do Controlador de Domínio Estagio1. Quando ocorre a
logon a limpeza dos logs de segurança o primeiro log registrado após a limpeza contém o
evento da própria exclusão dos logs.
a) A figura 77 mostra o registro dos logs antes da limpeza.
b) Para limpar os logs deve-se clicar com o botão direito do mouse sobre o item
“segurança” da tela da figura 77 e em seguida deverá ser selecionada a opção “Limpar
todos os eventos”. Não será necessário salvar os logs de segurança.
c) A figura 78 mostra o registro dos logs após a limpeza, o que deverá conter apenas um
log.
d) Análise deve ser feita com base no evento de código 517 (O log de auditoria foi
limpo).
Figura 77: Logs de segurança antes da limpeza
94
Figura 78: Logs de segurança após a limpeza dos eventos
e) Ao dar um duplo clique no evento 517 serão mostradas as propriedades do evento de
Sistema, o qual registrou a limpeza dos logs de auditoria.
f) A tela da figura 79 traz as propriedades do log do evento de sistema de código 517.
B
A
C
D
Figura 79: Propriedades do evento de sistema de código 517.
g) Na figura 79 os campos da propriedade do evento 517 de maior importância para a
auditoria são: a categoria do evento em A, o código do evento em B, a descrição do
evento em C e o usuário que efetuou a limpeza dos logs de segurança em D.
4.2.7.
Teste de aplicação de auditoria de Gerenciamento de Conta.
95
O funcionamento da auditoria de eventos de gerenciamento de conta tem como
pré-requisito a ativação da diretiva conforme descrito no item 3.8.11. Para realização dos
testes devem ser realizados os seguintes passos:
Cenário: Para teste da diretiva de auditoria de eventos de gerenciamento de conta
será efetuada a redefinição de senha do usuário “ulbra”.
a) Para redefinir a senha deve-se abrir a ferramenta “usuários e computadores do Active
Directory” em “Iniciar Ferramentas Administrativas Usuários e computadores do
Active Directory”.
b) Deve-se clicar com o botão direito do mouse sobre o usuário que terá a senha
redefinida e escolher a opção “redefinir senha”, cuja ação abrirá a tela da figura 80.
Figura 80: Redefinição de senha de usuário
c) Deve-se cadastrar uma nova senha para o usuário “ulbra” atendendo as regras prédefinidas para segurança de senhas.
d) Após a redefinição de senha para o usuário “ulbra” devem-se visualizar os eventos do
controlador de domínio, entre os quais está o evento 628 (Uma senha de usuário foi
definida) conforme figura 81.
96
Figura 81: Logs do evento de gerenciamento de conta
e) Ao dar um duplo clique no evento 628 serão mostradas as propriedades do evento de
gerenciamento de conta, o qual registrou a redefinição de senha do usuário ulbra,
conforme figura 82.
A
B
C
D
Figura 82: Propriedades do log de gerenciamento de conta
f) Na figura 82 os campos da propriedade do evento 628 de maior importância para a
auditoria são: a categoria do evento em A, o código do evento em B, o nome da conta
de destino que a teve a senha redefinida em C e o usuário responsável para redefinição
em D.
97
4.2.8.
Teste de aplicação de auditoria de uso de privilégios.
O funcionamento da auditoria de eventos de uso de privilégios tem como prérequisito a ativação da diretiva conforme descrito no item 3.8.12. Para realização dos
testes devem ser realizados os seguintes passos:
Cenário: Para teste da diretiva de auditoria de eventos de uso de privilégios será
alterada a data do sistema da estação de trabalho VirtualXP, através do prompt de
comando.
a) Para alterar a data do sistema através do prompt de comando deve-se acessar o prompt
através do menu “Iniciar Executar”. Deve-se ser inserido o comando “cmd” e clicar
no botão OK.
b) No prompt de comando deve-se executar o comando “date” e alterar a data do sistema,
conforme figura 83.
Figura 83: Alteração da data do sistema
Figura 84: Logs do evento de uso de privilégios
c) Ao dar um duplo clique no evento 577 (Um usuário tentou executar uma operação de
serviço privilegiado do sistema.) serão mostradas as propriedades do evento de uso de
98
privilégios, o qual registrou o evento da alteração da data do sistema da estação
VirtualXP, conforme figura 85.
A
B
C
D
E
Figura 85: Propriedades do log de uso de privilégios
d) Na figura 85 os campos da propriedade do evento 577 de maior importância para a
auditoria são: a categoria do evento em A, o código do evento em B, o nome do
computador onde ocorreu o evento em C, o nome do usuário que executou o evento
em D e o tipo de privilégio concedido em E. Note que a alteração de sistema é uma
operação de privilégio do sistema, por isso que o evento registrado foi o 577.
4.2.9.
Teste de aplicação de auditoria de eventos de logon de conta.
O funcionamento da auditoria de eventos de logon de conta tem como pré-requisito
a ativação da diretiva conforme descrito no item 3.8.13. Para realização dos testes devem
ser realizados os seguintes passos:
Cenário: Para teste da diretiva de auditoria de eventos de logon de conta o usuário
ulbra fará logon na estação VirtualXP. O log do evento de logon de conta será gerado no
Controlador de domínio Estagio1 que fará autenticação do usuário ulbra.
a) Após a processo de logon do usuário “ulbra” na estação de trabalho VirtualXP deve-se
visualizar os eventos no controlador de domínio, onde deverá constar o evento de
código 672 que será analisado, conforme figura 86.
99
Figura 86: Logs dos eventos de logon de conta.
b) Ao dar um duplo clique no evento 672 serão mostradas as propriedades do evento de
logon de conta, o qual registrou a autenticação do usuário “ulbra” no controlador de
domínio, conforme figura 87.
A
B
C
D
F
E
Figura 87: Propriedades do log do evento de logon de conta.
c) Na figura 87 os campos da propriedade do evento 672 de maior importância para a
auditoria são: a categoria do evento em A, o código do evento em B, o nome do
computador que fez a autenticação em C, o nome do usuário que teve a conta
autenticada em D e o endereço IP da estação de onde procedeu a requisição de
autenticação em E.
d) Neste processo de logon de conta caso tivesse ativa a diretiva de evento de logon
também teria gerado os eventos de logon na estação VirtualXP, conforme mostrado no
teste realizado com a diretiva de auditoria de evento de logon.
100
5. CONCLUSÕES
Durante a realização deste trabalho os conceitos sobre segurança e auditoria de
rede, active directory, DNS, domínio, floresta, árvore de domínios, unidades
organizacionais, diretivas de auditoria de segurança foram sendo moldados e melhores
enraizados através dos estudos sobre as tecnologias e ferramentas envolvidas. O
gerenciamento da rede através do Active Directory traz diversas facilidades para as
atividades que tomam a maior parte do tempo do pessoal de suporte de uma rede. A
aplicação de diretivas aperfeiçoa o processo de configuração e evitam que configurações
sejam feitas máquina a máquina, usuário a usuário.
O conhecimento sobre a estrutura do serviço de diretório e sobre os diversos
recursos disponíveis através desta estrutura é indispensável para uma boa gerência de rede.
A segurança da rede, apesar de um tema bastante complexo, torna-se mais eficiente com a
implementação de diretivas de auditoria de segurança. Ficou notório que aplicar política
de segurança sem auditoria dificulta alcançar os objetivos esperados.
Após a aplicação das diretivas de auditoria de segurança ficaram bastante nítidas as
vantagens de monitoração da rede, da possibilidade de mapeamento do comportamento
dos usuários, prover capacidade de detecção de intrusos e uso não autorizado de recursos
da rede. Atualmente já estão sendo aplicadas diretivas de auditoria em algumas máquinas
do TRE-TO, a pedido dos usuários que queriam ter um mapeamento de uso de seus
equipamentos.
Contudo, apesar das vantagens frisadas foi visualizada na prática a quantidade de
logs que são registrados com a ativação de várias diretivas. O que torna-se impraticável o
acompanhamento dos registros para obtenção de informações úteis para o gerenciamento
da rede. Surge então a necessidade de utilização de ferramentas que tenham filtros
eficientes na busca de informações específicas dentro do arquivo de logs, onde são
101
gravados os eventos. Neste contexto, fica a sugestão de trabalho futuro para
implementação de uma ferramenta para gerência de logs de auditoria de segurança. Essa
ferramenta deverá fazer filtros e coletas dos registros de logs das estações de trabalho da
rede de forma automática e armazená-los em banco de dados. Fazendo uso dessa base de
dados poderão ser feitas diversas consultas de acordo com a necessidade da auditoria.
102
6. REFERÊNCIAS BIBLIOGRÁFICAS
(WINS2003, 2003)
Microsoft Corporation. Gerenciando um Ambiente Windows
Server 2003. Material didático do aluno. Lançado em 09/2003.
(AUDITORIA, 2004)
______. Diretiva de Auditoria. Atualizado em 17/05/2004.
Disponível em
https://www.microsoft.com/brasil/security/guidance/topics/ameac
a/secmod50.mspx#EVE. Acesso em 13/11/2006.
(SEGURANÇA, 2005) ______. Guia de Planejamento de Monitoramento de Segurança e
Detecção de Ataques. Atualizado em 23/05/2005. Disponível em
http://www.microsoft.com/brasil/security/guidance/attackdetectio
n/smpgch04.mspx. Acesso em 10/12/2006.
(TECNET, 2005)
______. Segurança. Descrição das Configurações de Segurança.
Atualizado em 21/01/2005. Disponível em
http://www.microsoft.com/technet/prodtechnol/windowsserver200
3/pt-br/library/ServerHelp/e104c96f-e243-41c5-aaead046555a079d.mspx?mfr=true. Acesso em 10/12/2006.
(DOMÍNIOS, 2004)
_______. Configurando a infra-estrutura de domínio em um
ambiente Windows Server 2003. Atualizado em 06/04/2004.
Disponível em
http://www.microsoft.com/brasil/security/guidance/prodtech/win2
003/secmod118.mspx Acesso em 29/10/2006.
(DIRECTORY, 2005)
_______. Active Directory. Atualizado em 21/01/2005.
Disponível em
https://www.microsoft.com/technet/prodtechnol/windowsserver20
03/pt-br/library/ServerHelp/a9d684f0-90b1-4c67-8dca7ebf803a003d.mspx?mfr=true. Acesso em 19/11/2006.
(DNS, 2005)
_______. DNS. Como funciona a consulta de DNS. Atualizado
em 21/01/2005. Disponível em
http://www.microsoft.com/technet/prodtechnol/windowsserver200
103
3/pt-pt/library/ServerHelp/0bcd97e6-b75d-48ce-83cabf470573ebdc.mspx?mfr=true. Acesso em 20/11/2006.
(EVENTOS, 2005)
______. Descrições de Configurações de Segurança. Diretiva de
Auditoria. Atualizado em 21/01/2005. Disponível em
https://www.microsoft.com/technet/prodtechnol/windowsserver20
03/pt-br/library/ServerHelp/6847e72b-9c47-42ab-b3e3691addac9f33.mspx?mfr=true. Acesso em 23/11/2006.
(VIDAL, 2006)
Vidal, Josué. Introdução à Auditoria. Disponível em
http://www.microsoft.com/brasil/technet/Colunas/JosueVidal/Aud
itoria.mspx. Acesso em 20/11/2006.
(BATTISTI, 2006)
Battisti, Júlio Cesar Fabris. Tutorial de Active Directory. 2006.
Disponível em http://www.juliobattisti.com.br/artigos/default.asp.
Acesso em 19/11/2006.
(BRISA, 1993)
BRISA. Sociedade Brasileira Para Interconexão de Sistemas
Aberto. Gerenciamento de Redes. São Paulo: Makron Books,
1993. 364p.
(WADLOW, 2000)
Wadlow, Thomas A. Segurança de Redes: Projeto e
Gerenciamento de Redes Seguras. Rio de Janeiro: Campus, 2000.
268p.
(NORTHCUTT, 2002) NorthCutt, Stephen; Zeltser, Lenny; Winters, Scott; Frederick,
Karen Kent; Ritchey, Ronald W. Desvendando Segurança em
Redes. Rio de Janeiro: Campus, 2002.650p.