Recomendações de política de auditoria
Esta seção aborda as configurações de política de auditoria padrão do Windows, as configurações de política de auditoria recomendadas de linha de base e as recomendações mais agressivas da Microsoft para produtos de estação de trabalho e servidor.
As recomendações de linha de base do SCM apresentadas aqui, juntamente com as configurações que recomendamos para ajudar a detectar comprometimento, destinam-se apenas a ser uma guia de linha de base inicial para os administradores. Cada organização deve tomar suas próprias decisões sobre as ameaças que enfrentam, suas tolerâncias de risco aceitáveis e quais categorias de política de auditoria ou subcategorias elas devem habilitar. Para obter mais informações sobre ameaças, consulte a Guia de Ameaças e Contramedidas. Os administradores sem uma política de auditoria cuidadosa em vigor são incentivados a começar com as configurações recomendadas aqui e, em seguida, modificar e testar, antes de implementar em seu ambiente de produção.
As recomendações são para computadores de classe empresarial, que a Microsoft define como computadores que têm requisitos médios de segurança e exigem um alto nível de funcionalidade operacional. As entidades que precisam de requisitos de segurança mais altos devem considerar políticas de auditoria mais agressivas.
Observação
Os padrões do Microsoft Windows e as recomendações de linha de base foram obtidos da ferramenta de Gerenciador de Conformidade de Segurança da Microsoft.
As configurações de política de auditoria de linha de base a seguir são recomendadas para computadores de segurança normais que não são conhecidos por estarem sob ataque ativo e bem-sucedido de adversários determinados ou malware.
Políticas de Auditoria recomendadas pelo Sistema Operacional
Esta seção contém tabelas que listam as recomendações de configuração de auditoria que se aplicam aos seguintes sistemas operacionais:
- Windows Server 2022
- Windows Server 2019
- Windows Server 2016
- Windows Server 2012
- Windows Server 2012 R2
- Windows Server 2008
- Windows 10
- Windows 8.1
- Windows 7
Essas tabelas contêm a configuração padrão do Windows, as recomendações de linha de base e as recomendações mais vigorosas para esses sistemas operacionais.
Legenda das tabelas de política de auditoria
| Notation | Recomendação |
|---|---|
| Sim | Habilitar em cenários gerais |
| Não | Não habilitar em cenários gerais |
| Se | Habilitar se necessário para um cenário específico ou se uma função ou recurso para o qual a auditoria é desejada estiver instalada no computador |
| DC | Habilitar em controladores de domínio |
| [Em Branco] | Nenhuma recomendação |
Windows 10, Windows 8 e Recomendações de Configurações de Auditoria do Windows 7
Política de Auditoria
| Categoria ou subcategoria de política de auditoria | Padrão do Windows
|
Recomendação de linha de base
|
Recomendação mais vigorosa
|
|---|---|---|---|
| Logon da conta | |||
| Auditoria da validação de credenciais | No | No |
Yes | No |
Yes | Yes |
| Auditoria do Serviço de Autenticação do Kerberos | Yes | Yes |
||
| Auditoria das operações do tíquete de serviço Kerberos | Yes | Yes |
||
| Auditoria de outros eventos de logon de conta | Yes | Yes |
| Categoria ou subcategoria de política de auditoria | Padrão do Windows
|
Recomendação de linha de base
|
Recomendação mais vigorosa
|
|---|---|---|---|
| Gerenciamento de Contas | |||
| Auditoria do gerenciamento de grupo de aplicativos | |||
| Auditoria do Gerenciamento de Contas de Computadores | Yes | No |
Yes | Yes |
|
| Auditoria do gerenciamento do grupo de distribuição | |||
| Auditoria de outros eventos de gerenciamento de conta | Yes | No |
Yes | Yes |
|
| Auditoria de gerenciamento do grupo de distribuição | Yes | No |
Yes | Yes |
|
| Auditoria de gerenciamento de conta de usuário | Yes | No |
Yes | No |
Yes | Yes |
| Categoria ou subcategoria de política de auditoria | Padrão do Windows
|
Recomendação de linha de base
|
Recomendação mais vigorosa
|
|---|---|---|---|
| Acompanhamento detalhado | |||
| Auditoria da atividade DPAPI | Yes | Yes |
||
| Auditoria do processo de criação | Yes | No |
Yes | Yes |
|
| Auditoria do Término do Processo | |||
| Auditoria de eventos de RPC |
| Categoria ou subcategoria de política de auditoria | Padrão do Windows
|
Recomendação de linha de base
|
Recomendação mais vigorosa
|
|---|---|---|---|
| Acesso DS | |||
| Auditoria de replicação detalhada do serviço de diretório | |||
| Auditoria do Acesso ao Serviço de Diretório | |||
| Auditoria de Alterações no Serviço de Diretório | |||
| Auditoria de replicação do serviço de diretório |
| Categoria ou subcategoria de política de auditoria | Padrão do Windows
|
Recomendação de linha de base
|
Recomendação mais vigorosa
|
|---|---|---|---|
| Logon e Logoff | |||
| Auditoria de bloqueio de conta | Yes | No |
Yes | No |
|
| Auditoria de Reivindicações do Usuário/Dispositivo | |||
| Auditoria do modo IPsec estendido | |||
| Auditoria do modo IPsec principal | IF | IF |
||
| Auditoria do Modo Rápido do IPsec | |||
| Auditoria de logoff | Yes | No |
Yes | No |
Yes | No |
| Auditoria de logon 1 | Yes | Yes |
Yes | Yes |
Yes | Yes |
| Auditoria do Servidor de Políticas de Rede | Yes | Yes |
||
| Auditar outros eventos de Logon/Logoff | |||
| Auditoria de logon especial | Yes | No |
Yes | No |
Yes | Yes |
| Categoria ou subcategoria de política de auditoria | Padrão do Windows
|
Recomendação de linha de base
|
Recomendação mais vigorosa
|
|---|---|---|---|
| Acesso a objetos | |||
| Auditoria de aplicativo gerado | |||
| Auditoria dos Serviços de Certificação | |||
| Auditoria do Compartilhamento de Arquivos Detalhado | |||
| Auditoria do Compartilhamento de Arquivos | |||
| Auditoria do Sistema de Arquivos | |||
| Auditoria da Conexão da Plataforma de Filtragem | |||
| Auditoria da Queda do Pacote da Plataforma de Filtragem | |||
| Auditoria da Manipulação do Identificador | |||
| Auditoria do Objeto do Kernel | |||
| Auditoria de Outros Eventos de Acesso a Objetos | |||
| Auditoria do Registro | |||
| Auditoria do Armazenamento Removível | |||
| Auditoria do SAM | |||
| Auditoria do preparo da política de acesso central |
| Categoria ou subcategoria de política de auditoria | Padrão do Windows
|
Recomendação de linha de base
|
Recomendação mais vigorosa
|
|---|---|---|---|
| Alteração da Política | |||
| Auditoria da mudança na política de auditoria | Yes | No |
Yes | Yes |
Yes | Yes |
| Auditoria da Alteração da Política de Autenticação | Yes | No |
Yes | No |
Yes | Yes |
| Auditoria da Alteração da Política de Autorização | |||
| Auditoria do Alteração da Política da Plataforma de Filtragem | |||
| Auditoria da mudança na política de nível de regra MPSSVC | Yes |
||
| Auditoria de outros eventos de mudança de política |
| Categoria ou subcategoria de política de auditoria | Padrão do Windows
|
Recomendação de linha de base
|
Recomendação mais vigorosa
|
|---|---|---|---|
| Uso de Privilégios | |||
| Auditoria de Uso de Privilégio Não Importante | |||
| Auditoria de outros eventos de uso de privilégios | |||
| Auditoria do uso de privilégios confidenciais |
| Categoria ou subcategoria de política de auditoria | Padrão do Windows
|
Recomendação de linha de base
|
Recomendação mais vigorosa
|
|---|---|---|---|
| Sistema | |||
| Auditoria do driver IPsec | Yes | Yes |
Yes | Yes |
|
| Auditoria de Outros Eventos do Sistema | Yes | Yes |
||
| Auditoria da Alteração do Estado de Segurança | Yes | No |
Yes | Yes |
Yes | Yes |
| Auditoria da Extensão do Sistema de Segurança | Yes | Yes |
Yes | Yes |
|
| Auditoria da integridade do sistema | Yes | Yes |
Yes | Yes |
Yes | Yes |
| Categoria ou subcategoria de política de auditoria | Padrão do Windows
|
Recomendação de linha de base
|
Recomendação mais vigorosa
|
|---|---|---|---|
| Auditoria de Acesso a Objetos Globais | |||
| Auditoria do driver IPsec | |||
| Auditoria de Outros Eventos do Sistema | |||
| Auditoria da Alteração do Estado de Segurança | |||
| Auditoria da Extensão do Sistema de Segurança | |||
| Auditoria da integridade do sistema |
1 A partir do Windows 10 versão 1809, o logon de auditoria é habilitado por padrão para Êxito e Falha. Nas versões anteriores do Windows, somente o êxito é habilitado por padrão.
Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 R2 e Recomendações de configurações de auditoria do Windows Server 2008
| Categoria ou subcategoria de política de auditoria | Padrão do Windows
|
Recomendação de linha de base
|
Recomendação mais vigorosa
|
|---|---|---|---|
| Logon da conta | |||
| Auditoria da validação de credenciais | No | No |
Yes | Yes |
Yes | Yes |
| Auditoria do Serviço de Autenticação do Kerberos | Yes | Yes |
||
| Auditoria das operações do tíquete de serviço Kerberos | Yes | Yes |
||
| Auditoria de outros eventos de logon de conta | Yes | Yes |
| Categoria ou subcategoria de política de auditoria | Padrão do Windows
|
Recomendação de linha de base
|
Recomendação mais vigorosa
|
|---|---|---|---|
| Gerenciamento de Contas | |||
| Auditoria do gerenciamento de grupo de aplicativos | |||
| Auditoria do Gerenciamento de Contas de Computadores | Yes | DC |
Yes | Yes |
|
| Auditoria do gerenciamento do grupo de distribuição | |||
| Auditoria de outros eventos de gerenciamento de conta | Yes | Yes |
Yes | Yes |
|
| Auditoria de gerenciamento do grupo de distribuição | Yes | Yes |
Yes | Yes |
|
| Auditoria de gerenciamento de conta de usuário | Yes | No |
Yes | Yes |
Yes | Yes |
| Categoria ou subcategoria de política de auditoria | Padrão do Windows
|
Recomendação de linha de base
|
Recomendação mais vigorosa
|
|---|---|---|---|
| Acompanhamento detalhado | |||
| Auditoria da atividade DPAPI | Yes | Yes |
||
| Auditoria do processo de criação | Yes | No |
Yes | Yes |
|
| Auditoria do Término do Processo | |||
| Auditoria de eventos de RPC |
| Categoria ou subcategoria de política de auditoria | Padrão do Windows
|
Recomendação de linha de base
|
Recomendação mais vigorosa
|
|---|---|---|---|
| Acesso DS | |||
| Auditoria de replicação detalhada do serviço de diretório | |||
| Auditoria do Acesso ao Serviço de Diretório | DC | DC |
DC | DC |
|
| Auditoria de Alterações no Serviço de Diretório | DC | DC |
DC | DC |
|
| Auditoria de replicação do serviço de diretório |
| Categoria ou subcategoria de política de auditoria | Padrão do Windows
|
Recomendação de linha de base
|
Recomendação mais vigorosa
|
|---|---|---|---|
| Logon e Logoff | |||
| Auditoria de bloqueio de conta | Yes | No |
Yes | No |
|
| Auditoria de Reivindicações do Usuário/Dispositivo | |||
| Auditoria do modo IPsec estendido | |||
| Auditoria do modo IPsec principal | IF | IF |
||
| Auditoria do Modo Rápido do IPsec | |||
| Auditoria de Logoff | Yes | No |
Yes | No |
Yes | No |
| Auditoria de Logon | Yes | Yes |
Yes | Yes |
Yes | Yes |
| Auditoria do Servidor de Políticas de Rede | Yes | Yes |
||
| Auditar outros eventos de Logon/Logoff | Yes | Yes |
||
| Auditoria de logon especial | Yes | No |
Yes | No |
Yes | Yes |
| Categoria ou subcategoria de política de auditoria | Padrão do Windows
|
Recomendação de linha de base
|
Recomendação mais vigorosa
|
|---|---|---|---|
| Acesso a objetos | |||
| Auditoria de aplicativo gerado | |||
| Auditoria dos Serviços de Certificação | |||
| Auditoria do Compartilhamento de Arquivos Detalhado | |||
| Auditoria do Compartilhamento de Arquivos | |||
| Auditoria do Sistema de Arquivos | |||
| Auditoria da Conexão da Plataforma de Filtragem | |||
| Auditoria da Queda do Pacote da Plataforma de Filtragem | |||
| Auditoria da Manipulação do Identificador | |||
| Auditoria do Objeto do Kernel | |||
| Auditoria de Outros Eventos de Acesso a Objetos | |||
| Auditoria do Registro | |||
| Auditoria do Armazenamento Removível | |||
| Auditoria do SAM | |||
| Auditoria do preparo da política de acesso central |
| Categoria ou subcategoria de política de auditoria | Padrão do Windows
|
Recomendação de linha de base
|
Recomendação mais vigorosa
|
|---|---|---|---|
| Alteração da Política | |||
| Auditoria da mudança na política de auditoria | Yes | No |
Yes | Yes |
Yes | Yes |
| Auditoria da Alteração da Política de Autenticação | Yes | No |
Yes | No |
Yes | Yes |
| Auditoria da Alteração da Política de Autorização | |||
| Auditoria do Alteração da Política da Plataforma de Filtragem | |||
| Auditoria da mudança na política de nível de regra MPSSVC | Yes |
||
| Auditoria de outros eventos de mudança de política |
| Categoria ou subcategoria de política de auditoria | Padrão do Windows
|
Recomendação de linha de base
|
Recomendação mais vigorosa
|
|---|---|---|---|
| Uso de Privilégios | |||
| Auditoria de Uso de Privilégio Não Importante | |||
| Auditoria de outros eventos de uso de privilégios | |||
| Auditoria do uso de privilégios confidenciais |
| Categoria ou subcategoria de política de auditoria | Padrão do Windows
|
Recomendação de linha de base
|
Recomendação mais vigorosa
|
|---|---|---|---|
| Sistema | |||
| Auditoria do driver IPsec | Yes | Yes |
Yes | Yes |
|
| Auditoria de Outros Eventos do Sistema | Yes | Yes |
||
| Auditoria da Alteração do Estado de Segurança | Yes | No |
Yes | Yes |
Yes | Yes |
| Auditoria da Extensão do Sistema de Segurança | Yes | Yes |
Yes | Yes |
|
| Auditoria da integridade do sistema | Yes | Yes |
Yes | Yes |
Yes | Yes |
| Categoria ou subcategoria de política de auditoria | Padrão do Windows
|
Recomendação de linha de base
|
Recomendação mais vigorosa
|
|---|---|---|---|
| Auditoria de Acesso a Objetos Globais | |||
| Auditoria do driver IPsec | |||
| Auditoria de Outros Eventos do Sistema | |||
| Auditoria da Alteração do Estado de Segurança | |||
| Auditoria da Extensão do Sistema de Segurança | |||
| Auditoria da integridade do sistema |
Definir política de auditoria em estações de trabalho e servidores
Todos os planos de gerenciamento de log de eventos devem monitorar as estações de trabalho e os servidores. Um erro comum é monitorar apenas servidores ou controladores de domínio. Como invasões de contas mal-intencionadas ocorrem inicialmente em estações de trabalho, não monitorar estações de trabalho é ignorar a melhor e mais antiga fonte de informações.
Os administradores devem examinar e testar cuidadosamente qualquer política de auditoria antes da implementação em seu ambiente de produção.
Eventos a Monitorar
Uma ID de evento perfeita para gerar um alerta de segurança deve conter os seguintes atributos:
Alta probabilidade de que essa ocorrência indique a atividade não autorizada
Número baixo de falsos positivos
A ocorrência deve resultar em uma resposta de investigação/forense
Dois tipos de eventos devem ser monitorados e alertados:
Aqueles eventos em que até mesmo uma única ocorrência indica atividade não autorizada
Um acúmulo de eventos acima de uma linha de base esperada e aceita
Um exemplo do primeiro evento é:
Se os DAs (Administradores de Domínio) forem proibidos de fazer logon em computadores que não são controladores de domínio, uma única ocorrência de um membro do DA fazendo logon em uma estação de trabalho do usuário final deverá gerar um alerta e ser investigada. Esse tipo de alerta é fácil de gerar usando o evento Audit Special Logon 4964. Grupos especiais foram atribuídos a um novo logon. Outros exemplos de alertas de instância única incluem:
Se o Servidor A nunca deve se conectar ao Servidor B, alertar quando eles se conectarem entre si.
Alertar se uma conta de usuário final normal for adicionada inesperadamente a um grupo de segurança confidencial.
Se os funcionários no local de fábrica A nunca trabalharem à noite, alertar quando um usuário fizer logon à meia-noite.
Alertar se um serviço não autorizado estiver instalado em um controlador de domínio.
Investigar se um usuário final regular tentar fazer logon diretamente em um SQL Server para o qual ele não tem nenhum motivo claro para fazer isso.
Caso não tenha membros em seu grupo do DA e alguém se adicionar lá, verificá-lo imediatamente.
Um exemplo do segundo evento é:
Um número anormal de logons com falha pode indicar um ataque de adivinhação de senha. Para que uma empresa forneça um alerta para um número extraordinariamente alto de logons com falha, primeiro eles devem entender os níveis normais de logons com falha em seu ambiente antes de um evento de segurança mal-intencionado.
Para obter uma lista abrangente de eventos que é necessário incluir ao monitorar sinais de comprometimento, consulte Apêndice L: eventos a serem monitorados.
Atributos e objetos do Active Directory a serem monitorados
Veja a seguir as contas, grupos e atributos que é necessário monitorar para ajudá-lo a detectar tentativas de comprometer a instalação do Active Directory Domain Services.
Sistemas para desabilitar ou remover software antivírus e antimalware (reinicie automaticamente a proteção quando ela estiver desabilitada manualmente)
Contas de administrador para alterações não autorizadas
Atividades executadas usando contas privilegiadas (remova automaticamente a conta quando atividades suspeitas forem concluídas ou o tempo alocado tiver expirado)
Contas VIP e privilegiadas no AD DS. Monitore as alterações, principalmente alterações em atributos na guia Conta (por exemplo, cn, nome, sAMAccountName, userPrincipalName ou userAccountControl). Além de monitorar as contas, restrinja quem pode modificar as contas para o menor número possível de usuários administrativos.
Consulte o Apêndice L: eventos a serem monitorados para obter uma lista de eventos recomendados a serem monitorados, suas classificações de criticalidade e um resumo da mensagem de evento.
Agrupar servidores pela classificação de suas cargas de trabalho, o que permite identificar rapidamente os servidores que devem ser os mais monitorados e configurados de forma mais rigorosa
Alterações nas propriedades e associação dos seguintes grupos do AD DS: EA (Administradores corporativos), DA (Administradores de Domínio), BA (Administradores) e SA (Administradores de Esquema)
Contas privilegiadas desabilitadas (como contas de Administrador internas no Active Directory e em sistemas membros) para habilitar as contas
Contas de gerenciamento para registrar todas as gravações na conta
Assistente de Configuração de Segurança integrado para definir as configurações de serviço, registro, auditoria e firewall a fim de reduzir a superfície de ataque do servidor. Use este assistente caso implemente jump servers como parte de sua estratégia de host administrativo.
Informações adicionais para monitoramento do Active Directory Domain Services
Examine os links a seguir para obter informações adicionais sobre como monitorar o AD DS:
A Auditoria de acesso a objetos globais é mágica – fornece informações sobre como configurar e usar a Configuração Avançada de Política de Auditoria que foi adicionada ao Windows 7 e ao Windows Server 2008 R2.
Introdução às alterações de auditoria no Windows 2008 – apresenta as alterações de auditoria feitas no Windows 2008.
Truques legais de auditoria no Windows Vista e 2008 – explica novos recursos interessantes de auditoria no Windows Vista e no Windows Server 2008 que podem ser usados para solucionar problemas ou visualizar o que está acontecendo em seu ambiente.
Guia completo para auditoria no Windows Server 2008 e no Windows Vista – contém uma compilação de recursos de auditoria e informações contidas no Windows Server 2008 e no Windows Vista.
Guia passo a passo de auditoria do AD DS – descreve o novo recurso de auditoria do AD DS (Active Directory Domain Services) no Windows Server 2008. Ele também fornece procedimentos para implementar esse novo recurso.
Lista geral de pontos críticos de recomendação de ID de evento de segurança
Todas as recomendações de ID de evento são acompanhadas por uma classificação de criticalidade da seguinte maneira:
Alta: as IDs de evento com uma classificação de alta criticalidade devem ser sempre e imediatamente alertadas e investigadas.
Média: uma ID de evento com uma classificação de criticalidade média pode indicar atividade mal-intencionada, mas deve ser acompanhada por alguma outra anormalidade, por exemplo, um número incomum de ocorrências em um determinado período de tempo, ocorrências inesperadas ou em um computador que normalmente não seria esperado para registrar o evento. Um evento de criticalidade média também pode ser coletado como uma métrica e comparado ao longo do tempo.
Baixo: a ID de evento com eventos de baixa criticalidade não deve chamar a atenção ou causar alertas, a menos que esteja correlacionada com eventos de criticalidade média ou alta.
Essas recomendações destinam-se a fornecer um guia de linha de base para o administrador. Todas as recomendações devem ser examinadas minuciosamente antes da implementação em um ambiente de produção.
Consulte o Apêndice L: eventos a serem monitorados para obter uma lista dos eventos recomendados a serem monitorados, suas classificações de criticalidade e um resumo da mensagem de evento.