Compartilhar via

Auditoria

  • Artigo

A Plataforma de Filtragem do Windows (WFP) fornece auditoria de eventos relacionados ao firewall e ao IPsec. Esses eventos são armazenados no log de segurança do sistema.

Os eventos auditados são os seguintes.

Categoria de auditoria Subcategoria de auditoria Eventos auditados
Alteração de política
{6997984D-797A-11D9-BED3-50505450303030}
 Filtrando a alteração da política da plataforma
{0CCE9233-69AE-11D9-BED3-50505450303030}
 Observação: Os números representam as IDs de Evento, conforme exibido pelo Visualizador de Eventos (eventvwr.exe).
Adição e remoção de objeto WFP:
- 5440 Texto explicativo persistente adicionado
- 5441 Tempo de inicialização ou filtro persistente adicionado
– 5442 Provedor persistente adicionado
– 5443 Contexto de provedor persistente adicionado
- 5444 Subcaminho persistente adicionado
- 5446 Texto explicativo em tempo de execução adicionado ou removido
- Filtro de tempo de execução 5447 adicionado ou removido
- 5448 Provedor em tempo de execução adicionado ou removido
- 5449 Contexto do provedor em tempo de execução adicionado ou removido
- 5450 Subcaminho de tempo de execução adicionado ou removido
Acesso a objetos
{6997984A-797A-11D9-BED3-50505450303030}
 Filtrando a queda de pacotes da plataforma
{0CCE9225-69AE-11D9-BED3-50505450303030}
 Pacotes descartados pelo WFP:
  • 5152 Pacote descartado
  • 5153 Pacote vetado
Acesso a objetos
 Filtrando conexão de plataforma
{0CCE9226-69AE-11D9-BED3-50505450303030}
 Conexões permitidas e bloqueadas:
- 5154 Escuta permitida
- 5155 Escuta bloqueada
- 5156 Conexão permitida
- 5157 Conexão bloqueada
- 5158 Associação permitida
- 5159 Associação bloqueada
Observação: as conexões permitidas nem sempre auditam a ID do filtro associado. A FilterID para TCP será 0, a menos que um subconjunto dessas condições de filtragem seja usado: UserID, AppID, Protocol, Remote Port.
Acesso a objetos
 Outros eventos de acesso a objetos
{0CCE9227-69AE-11D9-BED3-50505450303030}
 Observação: Essa subcategoria permite muitas auditorias. As auditorias específicas do WFP estão listadas abaixo.
Status de prevenção de negação de serviço:
– 5148 O modo de prevenção do DoS do WFP iniciado
- 5149 Modo de prevenção do WFP DoS interrompido
Logon/Logoff
{69979849-797A-11D9-BED3-50505450303030}
 Modo Principal IPsec
{0CCE9218-69AE-11D9-BED3-50505450303030}
 Negociação do Modo Principal IKE e AuthIP:
  • 4650, 4651 Associação de segurança estabelecida
  • 4652, 4653 Negociação falhou
  • 4655 Associação de segurança terminou
Logon/Logoff
 Modo Rápido IPsec
{0CCE9219-69AE-11D9-BED3-50505450303030}
 Negociação do Modo Rápido IKE e AuthIP:
  • Associação de segurança 5451 estabelecida
  • 5452 Associação de segurança encerrada
  • Falha na negociação 4654
Logon/Logoff
Modo Estendido IPsec
{0CCE921A-69AE-11D9-BED3-50505450303030}
 Negociação do Modo Estendido AuthIP:
  • Pacote de negociação inválido 4978
  • 4979, 4980, 4981, 4982 Associação de segurança estabelecida
  • 4983, 4984 A negociação falhou
Sistema
{69979848-797A-11D9-BED3-50505450303030}
 IPsec Driver
{0CCE9213-69AE-11D9-BED3-50505450303030}
 Pacotes descartados pelo driver IPsec:
  • 4963 Pacote de texto claro de entrada descartado

Por padrão, a auditoria do WFP está desabilitada.

A auditoria pode ser habilitada por categoria por meio do snap-in MMC do Editor de Objetos de Política de Grupo, do snap-in MMC da Política de Segurança Local ou do comando auditpol.exe.

Por exemplo, para habilitar a auditoria de eventos de Alteração de Política, você pode:

  • Usar o Editor de Objetos de Política de Grupo

    1. Execute gpedit.msc .
    2. Expanda a Política de Computador Local.
    3. Expanda a configuração do computador.
    4. Expanda as configurações do Windows.
    5. Expanda as configurações de segurança.
    6. Expanda políticas locais.
    7. Clique em Política de Auditoria.
    8. Clique duas vezes na alteração da política de auditoria para iniciar a caixa de diálogo Propriedades.
    9. Marque as caixas de seleção Sucesso e Falha.

  • Usar a Política de Segurança Local

    1. Execute secpol.msc .
    2. Expanda políticas locais.
    3. Clique em Política de Auditoria.
    4. Clique duas vezes na alteração da política de auditoria para iniciar a caixa de diálogo Propriedades.
    5. Marque as caixas de seleção Sucesso e Falha.

  • Usar o comando auditpol.exe

    • auditpol /set /category:"Policy Change" /success:enable /failure:enable

A auditoria pode ser habilitada por subcategoria somente por meio do comando auditpol.exe.

Os nomes de categoria e subcategoria de auditoria são localizados. Para evitar a localização de scripts de auditoria, os GUIDs correspondentes podem ser usados no lugar dos nomes.

Por exemplo, para habilitar a auditoria de eventos de alteração de política de plataforma de filtragem, você pode usar um dos seguintes comandos:

  • auditpol /set /subcategory:"Filtering Platform Policy Change" /success:enable /failure:enable
  • auditpol /set /subcategory:"{0CCE9233-69AE-11D9-BED3-505054503030}" /success:enable /failure:enable

auditpol

do Log de Eventos

de Política de Grupo