Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
As configurações de configuração de política de auditoria avançada são encontradas em Configurações do Computador\Configurações do Windows\Configurações de Segurança\Configuração Avançada de Política de Auditoria\Políticas de Auditoria do Sistema na Política de Grupo. Essas configurações permitem que as organizações monitorem a conformidade com os principais requisitos de negócios e segurança, acompanhando atividades específicas, como:
Modificações feitas por administradores de grupo em configurações ou dados em servidores que contêm informações confidenciais (por exemplo, servidores financeiros).
Acesso a arquivos críticos por funcionários em grupos designados.
Aplicação da SACL (lista de controle de acesso do sistema) correta a todos os arquivos, pastas ou chaves do Registro em um computador ou compartilhamento de arquivos, fornecendo uma proteção verificável contra acesso não autorizado.
Você pode acessar essas configurações de política de auditoria por meio do snap-in da Política de Segurança Local (secpol.msc) no computador local ou usando a política de grupo.
Essas configurações avançadas de política de auditoria fornecem controle granular sobre quais atividades são monitoradas, permitindo que você se concentre em eventos mais relevantes para sua organização. Você pode excluir a auditoria de ações que não são importantes ou que geram volume de log desnecessário. Além disso, como essas políticas podem ser gerenciadas por meio de objetos de política de grupo de domínio, você pode modificar, testar e implantar facilmente configurações de auditoria em usuários e grupos específicos, conforme necessário.
As configurações avançadas da Política de Auditoria são as seguintes:
Logon da conta
Definir as configurações de política nessa categoria pode ajudá-lo a documentar tentativas de autenticar dados de conta em um controlador de domínio ou em um SAM (Gerenciador de Contas de Segurança) local. Ao contrário das configurações e eventos da política logon e logoff , que acompanham as tentativas de acessar um computador específico, as configurações e os eventos nesta categoria se concentram no banco de dados da conta usado. Essa categoria inclui as seguintes subcategorias:
Expandir política de validação de credencial de auditoria
A política de Validação de Credencial de Auditoria determina se o sistema operacional (SO) gera eventos de auditoria em credenciais enviadas para uma solicitação de logon de conta de usuário. Esses eventos ocorrem no computador que é autoritativo para as credenciais da seguinte maneira:
Para contas de domínio, o controlador de domínio é autoritativo.
Para contas locais, o computador local é autoritativo.
Como as contas de domínio são usadas com muito mais frequência do que as contas locais em ambientes empresariais, a maioria dos eventos de Logon de Conta em um ambiente de domínio ocorrem nos controladores de domínio que são autoritativos para as contas de domínio. No entanto, esses eventos podem ocorrer em qualquer computador e podem ocorrer em computadores separados dos eventos de Logon e Logoff.
ID do evento Mensagem de evento 4774 Uma conta foi mapeada para logon. 4775 Uma conta não pôde ser mapeada para logon. 4776 O controlador de domínio tentou validar as credenciais de uma conta. 4777 O controlador de domínio falhou ao validar as credenciais de uma conta. Volume de eventos: alto em controladores de domínio.
Padrão em edições cliente: sem auditoria.
Padrão em edições de servidor: Êxito.
Expandir a política de auditoria do Serviço de Autenticação Kerberos
A política Audit Kerberos Authentication Service controla se os eventos de auditoria são gerados quando um ticket de concessão de autenticação Kerberos (TGT) é solicitado. Com essa configuração habilitada, ela ajuda os administradores a monitorar a atividade de entrada kerberos e detectar possíveis problemas de segurança relacionados a solicitações de autenticação.
Se configurar esta definição de política, será gerado um evento de auditoria após um pedido TGT de autenticação Kerberos. Auditorias bem-sucedidas registram tentativas bem-sucedidas e auditorias de falha registram tentativas malsucedidas.
ID do evento Mensagem de evento 4768 Um TGT (tíquete de autenticação Kerberos) foi solicitado. 4771 Falha na pré-autenticação Kerberos. 4772 Falha na solicitação do tíquete de autenticação Kerberos. Volume de eventos: alto em servidores do Centro de Distribuição de Chaves Kerberos.
Padrão em edições cliente: sem auditoria.
Padrão em edições de servidor: Êxito.
Expandir a Política de Auditoria das Operações de Ticket de Serviço Kerberos
A política Audit Kerberos Service Ticket Operations controla se o sistema operacional registra eventos de auditoria de segurança quando os tíquetes de serviço Kerberos são solicitados ou renovados. Habilitar essa configuração ajuda os administradores a monitorar e acompanhar a atividade de autenticação Kerberos dentro do ambiente.
Os eventos são gerados sempre que o Kerberos é usado para autenticar um usuário que deseja acessar um recurso de rede protegido. Os eventos de auditoria das operações de tíquetes de serviço Kerberos podem ser usados para acompanhar a atividade do usuário.
ID do evento Mensagem de evento 4769 Um tíquete de serviço Kerberos foi solicitado. 4770 Um tíquete de serviço Kerberos foi renovado. Volume de eventos: alto em um controlador de domínio que está em um KDC (Centro de Distribuição de Chaves). Membros de domínio baixos .
Padrão: não configurado.
Expandir eventos de logon de outras contas de auditoria
A política Audit Other Account Logon Events audita eventos disparados por respostas a solicitações de credencial para logons de conta de usuário que não são validação de credencial padrão ou solicitações de tíquete Kerberos. Exemplos podem incluir:
Quando você inicia novas sessões ou ocorre desconexões em sessões da Área de Trabalho Remota.
Quando você bloqueia e desbloqueia uma estação de trabalho.
Quando você invoca ou descarta um protetor de tela.
Quando um ataque de repetição Kerberos é detectado, em que uma solicitação Kerberos contendo informações idênticas foi recebida duas vezes.
Note
Essa situação pode resultar de um problema de configuração de rede.
Quando você acessa uma rede sem fio ou uma rede com fio 802.1x concedida a uma conta de usuário ou computador
ID do evento Mensagem de evento 4649 Um ataque de repetição foi detectado. 4778 Uma sessão foi reconectada a uma Estação de Janela. 4779 Uma sessão foi desconectada de uma Estação de Janela. 4800 A estação de trabalho foi bloqueada. 4801 A estação de trabalho foi desbloqueada. 4802 A proteção de tela foi invocada. 4803 A proteção de tela foi ignorada. 5378 A delegação de credenciais solicitadas não foi permitida pela política. 5632 Foi feita uma solicitação para autenticar em uma rede sem fio. 5633 Foi feita uma solicitação para autenticar em uma rede com fio. - Padrão: sem auditoria.
Gerenciamento de Conta
As configurações de política de auditoria de segurança nessa categoria podem ser usadas para monitorar alterações em contas e grupos de usuários e computadores. Essa categoria inclui as seguintes subcategorias:
Expandir a política de Gerenciamento de Grupo de Aplicações de Auditoria
A política de Gerenciamento de Grupo de Aplicativos de Auditoria controla se o sistema operacional registra eventos de auditoria quando determinadas ações são executadas. Essas ações incluem criar, modificar ou excluir grupos de aplicativos e alterar sua associação. As tarefas de gerenciamento de grupo de aplicativos incluem:
Um grupo de aplicativos é criado, alterado ou excluído.
Um membro é adicionado ou removido de um grupo de aplicativos.
ID do evento Mensagem de evento 4783 Um grupo de aplicativos básico foi criado. 4784 Um grupo de aplicativos básico foi alterado. 4785 Um membro foi adicionado a um grupo de aplicativos básico. 4786 Um membro foi removido de um grupo de aplicativos básico. 4787 Um não membro foi adicionado a um grupo de aplicativos básico. 4788 Um não membro foi removido de um grupo de aplicativos básico. 4789 Um grupo de aplicativos básico foi excluído. 4790 Um grupo de consultas LDAP (Lightweight Directory Access Protocol) foi criado. - Volume de eventos: baixo.
- Padrão: sem auditoria.
Expandir a política de Gerenciamento de Conta de Computador de Auditoria
A política de Gerenciamento de Conta de Computador de Auditoria controla se o sistema operacional registra eventos de auditoria quando uma conta de computador é criada, modificada ou excluída no Active Directory. Quando você habilita essa política, ela ajuda os administradores a monitorar e controlar alterações em contas de computador em um domínio. Informações valiosas para auditoria de segurança, conformidade e solução de problemas de atividades de gerenciamento de conta são fornecidas monitorando esses eventos.
ID do evento Mensagem de evento 4741 Uma conta de computador foi criada. 4742 Uma conta de computador foi alterada. 4743 Um conta de computador foi excluída. Volume de eventos: baixo.
Padrão em edições cliente: sem auditoria.
Padrão em edições de servidor: Êxito.
Expandir a política de Gerenciamento do Grupo de Distribuição de Auditoria
A política Gerenciamento de Auditoria de Grupo de Distribuição determina se o sistema operacional gera eventos de auditoria para tarefas específicas de gerenciamento de grupo de distribuição. Essa subcategoria à qual essa política pertence é registrada somente em controladores de domínio. As tarefas de gerenciamento de grupo de distribuição que podem ser auditadas incluem:
Um grupo de distribuição é criado, alterado ou excluído.
Um membro é adicionado ou removido de um grupo de distribuição.
Note
Grupos de distribuição não podem ser usados para gerenciar permissões de controle de acesso.
ID do evento Mensagem de evento 4744 Um grupo local desabilitado para segurança foi criado. 4745 Um grupo local desabilitado para segurança foi alterado. 4746 Um membro foi adicionado a um grupo global desabilitado para segurança. 4747 Um membro foi removido de um grupo local desabilitado para segurança. 4748 Um grupo local desabilitado para segurança foi excluído. 4749 Um grupo global desabilitado para segurança foi criado. 4750 Um grupo global desabilitado para segurança foi alterado. 4751 Um membro foi adicionado a um grupo global desabilitado para segurança. 4752 Um membro foi removido de um grupo global desabilitado para segurança. 4753 Um grupo global desabilitado para segurança foi excluído. 4759 Um grupo universal desabilitado para segurança foi criado. 4760 Um grupo universal desabilitado para segurança foi alterado. 4761 Um membro foi adicionado a um grupo universal desabilitado para segurança. 4762 Um membro foi removido de um grupo universal desabilitado para segurança. Volume de eventos: baixo.
Padrão: sem auditoria.
Expandir a Política de Auditoria de Outros Eventos de Gerenciamento de Contas
A política auditar outros eventos de gerenciamento de conta determina se o sistema operacional gera eventos de auditoria de gerenciamento de conta de usuário. Os eventos podem ser gerados para auditoria de gerenciamento de conta de usuário quando:
O hash de senha de uma conta é acessado. Isso normalmente acontece quando a Ferramenta de Migração do Active Directory (ADMT) está movendo dados de senha.
A API (Interface de Programação de Aplicativo) de Verificação de Política de Senha é chamada. Chamadas para essa função podem fazer parte de um ataque de um aplicativo mal-intencionado que está testando se as configurações de política de complexidade de senha estão sendo aplicadas.
Note
Esses eventos são registrados quando a política de domínio é aplicada (na atualização ou reinicialização), não quando as configurações são modificadas por um administrador.
As alterações feitas na política de domínio estão em Configurações do Computador\Configurações do Windows\Configurações de Segurança\Políticas de Conta\Política de Senha ou Configuração do Computador\Configurações do Windows\Configurações de Segurança\Políticas de Conta\Política de Bloqueio de Conta.
ID do evento Mensagem de evento 4782 O hash de senha de uma conta foi acessado. 4793 A API de Verificação de Política de Senha foi chamada. Volume de eventos: baixo.
Padrão: sem auditoria.
Expandir a política de Gerenciamento de Grupos de Segurança de Auditoria
A política de Gerenciamento de Grupo de Segurança de Auditoria determina se o sistema operacional gera eventos de auditoria quando tarefas específicas de gerenciamento de grupo de segurança são executadas. As tarefas de gerenciamento de grupo de segurança incluem:
Um grupo de segurança é criado, alterado ou excluído.
Um membro é adicionado ou removido de um grupo de segurança.
O tipo de um grupo é alterado.
Grupos de segurança podem ser usados para permissões de controle de acesso e também como listas de distribuição.
ID do evento Mensagem de evento 4727 Um grupo global habilitado para segurança foi criado. 4728 Um membro foi adicionado a um grupo global habilitado para segurança. 4729 Um membro foi removido de um grupo global habilitado para segurança. 4730 Um grupo global habilitado para segurança foi excluído. 4731 Um grupo local habilitado para segurança foi criado. 4732 Um membro foi adicionado a um grupo global habilitado para segurança. 4733 Um membro foi removido de um grupo global habilitado para segurança. 4734 Um grupo local habilitado para segurança foi excluído. 4735 Um grupo local habilitado para segurança foi alterado. 4737 Um grupo global habilitado para segurança foi alterado. 4754 Um grupo universal habilitado para segurança foi criado. 4755 Um grupo universal habilitado para segurança foi alterado. 4756 Um membro foi adicionado a um grupo universal habilitado para segurança. 4757 Um membro foi removido de um grupo universal habilitado para segurança. 4758 Um grupo universal habilitado para segurança foi excluído. 4764 O tipo de um grupo foi alterado. Volume de eventos: baixo.
Padrão: Êxito.
Expandir o Gerenciamento de Conta de Usuário de Auditoria
O Gerenciamento de Conta de Usuário de Auditoria determina se o sistema operacional gera eventos de auditoria quando tarefas específicas de gerenciamento de conta de usuário são executadas. As tarefas auditadas para o gerenciamento de conta de usuário incluem:
Uma conta de usuário é criada, alterada, excluída, renomeada, desabilitada, habilitada, bloqueada ou desbloqueada.
Uma senha de conta de usuário é definida ou alterada.
Um histórico de SID (identificador de segurança) é adicionado a uma conta de usuário.
Uma senha do Modo de Restauração dos Serviços de Diretório está definida.
As permissões são alteradas em contas que são membros de grupos de administradores.
São criadas cópias de segurança ou restauradas das credenciais do Gestor de Credenciais.
Essa configuração de política é essencial para acompanhar eventos que envolvem o provisionamento e o gerenciamento de contas de usuário.
ID do evento Mensagem de evento 4720 Uma conta de usuário foi criada. 4722 Uma conta de usuário foi habilitada. 4723 Foi feita uma tentativa de alterar a senha de uma conta. 4724 Foi feita uma tentativa de redefinir a senha de uma conta. 4725 Uma conta de usuário foi desabilitada. 4726 Uma conta de usuário foi excluída. 4738 Uma conta de usuário foi alterada. 4740 Uma conta de usuário foi bloqueada. 4765 O histórico do SID foi adicionado a uma conta. 4766 Uma tentativa de adicionar o histórico de SID a uma conta falhou. 4767 Uma conta de usuário foi desbloqueada. 4780 A ACL foi definida em contas que são membros de grupos de administradores. 4781 O nome de uma conta foi alterado. 4794 Foi feita uma tentativa de definir o Modo de Restauração dos Serviços de Diretório. 5376 O backup das credenciais do Gerenciador de Credenciais foi feito. 5377 As credenciais do Gerenciador de Credenciais foram restauradas de um backup. Volume de eventos: baixo.
Padrão: Êxito.
Acompanhamento detalhado
Os eventos de auditoria e configurações de política de segurança de acompanhamento detalhado podem ser usados para monitorar as atividades de aplicativos individuais e usuários nesse computador e para entender como um computador está sendo usado. Essa categoria inclui as seguintes subcategorias:
Expandir a política de auditoria do DPAPI
A política de Auditoria de Atividade do DPAPI determina se o sistema operacional gera eventos de auditoria quando chamadas de criptografia ou descriptografia são feitas na interface de proteção de dados (DPAPI).
O DPAPI é usado para proteger informações secretas, como senhas armazenadas e informações de chave. Para saber mais, confira a Proteção de Dados do Windows.
ID do evento Mensagem de evento 4692 Tentativa de backup da chave mestre de proteção de dados. 4693 Tentativa de recuperação da chave mestre de proteção de dados. 4694 Ocorreu uma tentativa de proteção de dados protegidos auditáveis. 4695 Ocorreu uma tentativa de desfazer a proteção de dados protegidos auditáveis. - Volume de eventos: baixo.
Expandir a política de atividade PNP de auditoria
A política de Auditoria de Atividade PNP audita quando um dispositivo PnP (plug-and-play) externo é detectado.
ID do evento Mensagem de evento 6416 Um novo dispositivo está conectado ou um dispositivo existente é removido. - Volume de eventos: baixo.
Expandir a política de criação do processo de auditoria
A política de Criação do Processo de Auditoria determina se o sistema operacional gera eventos de auditoria quando um processo é criado ou iniciado.
Esses eventos de auditoria podem ajudá-lo a controlar a atividade do usuário e entender como um computador está sendo usado. As informações incluem o nome do programa ou do usuário que criou o processo.
ID do evento Mensagem de evento 4688 Um processo foi criado. 4696 Um token principal foi atribuído a um processo. - Volume de eventos: varia dependendo do uso do sistema.
Expandir a política de Encerramento do Processo de Auditoria
A política de Encerramento do Processo de Auditoria determina se o sistema operacional gera eventos de auditoria quando é feita uma tentativa de encerrar um processo.
ID do evento Mensagem de evento 4689 Um processo foi encerrado. - Volume de eventos: varia dependendo do uso do sistema.
Expandir a política de eventos de auditoria RPC
A política Audit RPC Events determina se o sistema operacional gera eventos de auditoria quando conexões RPC (chamada de procedimento remoto) de entrada são feitas.
O RPC é uma tecnologia para a criação de programas de cliente/servidor distribuídos. O RPC é uma técnica de comunicação entre processos que permite que o software cliente e servidor se comuniquem. Para saber mais, consulte RPC (chamada de procedimento remoto).
ID do evento Mensagem de evento 5712 Uma RPC foi tentada. Volume de eventos: alto em servidores RPC.
Padrão: sem auditoria.
Expandir a política de ajuste de direito do token de auditoria
A política de ajuste de direitos do token de auditoria audita os eventos gerados ao ajustar os privilégios de um token.
ID do evento Mensagem de evento 4703 Um direito do usuário foi ajustado. Volume de eventos: Alto.
Padrão: sem auditoria.
Acesso ao DS
As configurações de política de auditoria de segurança do DS Access fornecem uma trilha de auditoria detalhada das tentativas de acessar e modificar objetos no AD DS (Active Directory Domain Services). Esses eventos de auditoria são registrados somente em controladores de domínio. Essa categoria inclui as seguintes subcategorias:
Expandir a política de Auditoria Detalhada de Replicação do Serviço de Diretório
A política de Auditoria de Replicação Detalhada do Serviço de Diretório determina se o sistema operacional gera os eventos de auditoria que contêm as informações detalhadas sobre o acompanhamento de dados replicados entre os controladores de domínio. Essa subcategoria de auditoria pode ser útil para diagnosticar problemas de replicação.
ID do evento Mensagem de evento 4928 Foi estabelecido o contexto de nomenclatura da origem da réplica do Active Directory. 4929 Foi removido o contexto de nomenclatura da origem da réplica do Active Directory. 4930 Foi modificado o contexto de nomenclatura da origem da réplica do Active Directory. 4931 Foi modificado o contexto de nomenclatura do destino da réplica do Active Directory. 4934 Os atributos de um objeto do Active Directory foram replicados. 4935 Início da falha de replicação. 4936 Final da falha de replicação. 4937 Um objeto remanescente foi removido de uma réplica. Volume de eventos: Alto.
Padrão: sem auditoria.
Expandir a política de Acesso ao Serviço do Diretório de Auditoria
A política de Acesso ao Serviço do Diretório de Auditoria determina se o sistema operacional gera eventos de auditoria quando um objeto AD DS (Active Directory Domain Services) é acessado. Esses eventos são semelhantes aos eventos de Acesso ao Serviço de Diretório em versões anteriores do Windows Server OSs.
Note
Os eventos de auditoria são gerados somente em objetos com SACLs configurados e somente quando são acessados de uma maneira que corresponda às configurações do SACL.
ID do evento Mensagem de evento 4662 Uma operação foi executada em um objeto. Volume de eventos: alto em controladores de domínio. Nenhum em computadores cliente.
Padrão em edições cliente: sem auditoria.
Padrão em edições de servidor: Êxito.
Expandir a política de Alterações do Serviço de Diretório de Auditoria
A política Alterações de Serviço de Diretório de Auditoria determina se o sistema operacional gera eventos de auditoria quando são feitas alterações em objetos no AD DS. Essa política, quando apropriada, indica os valores antigos e novos das propriedades alteradas dos objetos que foram alterados. Os tipos de alterações relatadas são:
Create
Delete
Modify
Move
Undelete
Note
Os eventos de auditoria são gerados apenas para objetos com SACLs configurados e somente quando são acessados de uma maneira que corresponda às configurações do SACL. Alguns objetos e propriedades não fazem com que eventos de auditoria sejam gerados devido a configurações na classe de objeto no esquema.
Essa subcategoria registra apenas eventos em controladores de domínio. As alterações nos objetos do Active Directory são eventos importantes a serem acompanhados para entender o estado da política de rede.
ID do evento Mensagem de evento 5136 Um objeto de serviço de diretório foi alterado. 5137 Um objeto de serviço de diretório foi criado. 5138 Um objeto de serviço de diretório teve a exclusão cancelada. 5139 Um objeto de serviço de diretório foi movido. 5141 Um objeto de serviço de diretório foi excluído. Volume de eventos: somente controladores de domínio altos .
Padrão: sem auditoria.
Expandir a política de Replicação do Serviço de Diretório de Auditoria
A política de Replicação de Serviço do Diretório de Auditoria determina se o sistema operacional gera eventos de auditoria quando a replicação entre dois controladores de domínio começa e termina. Os eventos nesta subcategoria são registados apenas em controladores de domínio.
ID do evento Mensagem de evento 4932 Foi iniciada a sincronização de uma réplica de um contexto de nomenclatura do Active Directory. 4933 Foi encerrada a sincronização de uma réplica de um contexto de nomenclatura do Active Directory. Volume de eventos: médio em controladores de domínio. Nenhum em computadores cliente.
Padrão: sem auditoria.
Logon/Logoff
As configurações de política de segurança de logon/logoff e os eventos de auditoria permitem que você acompanhe as tentativas de fazer login em um computador, interativamente ou pela rede. Esses eventos são úteis para acompanhar a atividade do usuário e identificar possíveis ataques a recursos de rede. Essa categoria inclui as seguintes subcategorias:
Expandir a política de Bloqueio da Conta de Auditoria
A política de Bloqueio de Conta de Auditoria permite que você audite eventos de segurança gerados por uma tentativa com falha de entrar em uma conta bloqueada. Se você definir essa configuração de política, um evento de auditoria será gerado quando uma conta não puder entrar em um computador porque a conta está bloqueada. Auditorias bem-sucedidas registram tentativas bem-sucedidas e auditorias de falha registram tentativas malsucedidas.
Os eventos de bloqueio de conta são essenciais para entender a atividade do usuário e detectar possíveis ataques.
ID do evento Mensagem de evento 4625 Falha no logon em uma conta. Volume de eventos: baixo.
Configuração padrão: Êxito.
Expandir declarações de auditoria de usuário/dispositivo
A política Audit User/Device Claims permite que você audite informações de declarações de usuário e dispositivo no token de logon da conta. Os eventos nesta subcategoria são gerados no computador no qual é criada uma sessão de início de sessão. Para um logon interativo, o evento de auditoria de segurança é gerado no computador no qual o usuário fez logon. Você deve habilitar a subcategoria Audit Logon para obter eventos dessa subcategoria.
Para um início de sessão de rede, como aceder a uma pasta partilhada na rede, o evento de auditoria de segurança é gerado no computador que aloja o recurso.
ID do evento Mensagem de evento 4626 Informações de reivindicações de usuário/dispositivo. Volume de eventos: baixo em um computador cliente. Médio em um controlador de domínio ou em um servidor de rede
Padrão: sem auditoria.
Expandir política de Associação ao Grupo de Auditoria
A política Audit Group Membership permite auditar as informações de associação de grupo no token de logon do usuário. Os eventos nesta subcategoria são gerados no computador no qual é criada uma sessão de início de sessão. Você também deve habilitar a subcategoria Logon de Auditoria.
Para um logon interativo, o evento de auditoria de segurança é gerado no computador no qual o usuário fez logon. Para um início de sessão de rede, como aceder a uma pasta partilhada na rede, o evento de auditoria de segurança é gerado no computador que aloja o recurso.
ID do evento Mensagem de evento 4627 Informações de associação de grupo. Volume de eventos: baixo em um computador cliente. Médio em um controlador de domínio ou em um servidor de rede.
Padrão: sem auditoria.
A política de Auditoria de Modo Estendido do IPsec determina se o sistema operacional gera eventos de auditoria para os resultados do protocolo de Troca de Chaves da Internet (IKE) e do Protocolo de Internet Autenticado (AuthIP) durante as negociações de Modo Estendido.
O IKE é um padrão da Internet, definido no RFC 2409, que define um mecanismo para estabelecer associações de segurança IPsec. Uma associação de segurança é uma combinação de uma política mutuamente agradável e chaves que definem os serviços de segurança e os mecanismos que ajudam a proteger a comunicação entre os pares IPsec.
O AuthIP é uma versão aprimorada do IKE que oferece flexibilidade adicional, incluindo suporte para autenticação e autenticação baseadas no usuário com várias credenciais. Ele também fornece uma negociação de método de autenticação aprimorada e dá suporte à autenticação assimétrica. Assim como o IKE, a AuthIP dá suporte à negociação de modo principal e de modo rápido. A AuthIP também dá suporte ao Modo Estendido, uma parte da negociação de pares IPsec durante a qual uma segunda rodada de autenticação pode ser executada. O Modo Estendido, que é opcional, pode ser usado para várias autenticações. Por exemplo, com o modo estendido, você pode executar autenticações separadas baseadas em computador e baseadas no usuário.
ID do evento Mensagem de evento 4978 Durante a negociação no Modo Estendido, o IPsec recebeu um pacote de negociação inválido. Se esse problema persistir, poderá indicar um problema de rede ou uma tentativa de modificar ou reproduzir essa negociação. 4979 As associações de segurança do Modo Principal e do Modo Estendido do IPsec foram estabelecidas.
Este evento fornece dados de evento nas seguintes categorias: Ponto de Extremidade Local do Modo Principal, Ponto de Extremidade Remoto do Modo Principal, Informações Criptográficas do Modo Principal, Associação de Segurança do Modo Principal, Informações Adicionais do Modo Principal e Informações de Modo Estendido.4980 As associações de segurança do Modo Principal e do Modo Estendido do IPsec foram estabelecidas.
Esse evento fornece dados de auditoria nas seguintes categorias: Ponto de Extremidade Local do Modo Principal, Ponto de Extremidade Remoto do Modo Principal. Informações criptográficas do Modo Principal, Associação de Segurança do Modo Principal, Informações Adicionais do Modo Principal, Ponto de Extremidade Local do Modo Estendido, Ponto de Extremidade Remoto do Modo Estendido e Informações Adicionais do Modo Estendido.4981 As associações de segurança do Modo Principal e do Modo Estendido do IPsec foram estabelecidas.
Este evento fornece dados de auditoria de eventos nas seguintes categorias: Ponto de Extremidade Local, Certificado Local, Ponto de Extremidade Remoto, Certificado Remoto, Informações Criptográficas, Informações de Associação de Segurança, Informações Adicionais e Informações de Modo Estendido.4982 As associações de segurança do Modo Principal e do Modo Estendido do IPsec foram estabelecidas.
Esse evento fornece dados de auditoria de eventos nas seguintes categorias: Ponto de Extremidade Local, Certificado Local, Ponto de Extremidade Remoto, Certificado Remoto, Informações Criptográficas, Informações de Associação de Segurança, Informações Adicionais, Ponto de Extremidade Local de Modo Estendido, Ponto de Extremidade Remoto de Modo Estendido e Informações Adicionais do Modo Estendido.4983 Falha na negociação no Modo Estendido do IPsec. A associação de segurança correspondente do Modo Principal foi excluída.
Esse evento fornece dados de auditoria de eventos nas seguintes categorias: Ponto de Extremidade Local, Certificado Local, Ponto de Extremidade Remoto, Certificado Remoto e Informações de Falha.4984 Falha na negociação no Modo Estendido do IPsec. A associação de segurança correspondente do Modo Principal foi excluída.
Esse evento fornece dados de auditoria de eventos nas seguintes categorias: Ponto de Extremidade Local, Ponto de Extremidade Remoto, Informações Adicionais e Informações de Falha.Volume de eventos: Alto.
Padrão: sem auditoria.
Expandir a política do modo principal de Auditoria de IPsec
A política Auditar o Modo Principal do IPsec determina se o sistema operacional gera eventos de auditoria para os resultados do protocolo IKE e do AuthIP durante as negociações no Modo Rápido. Assim como o IKE, a AuthIP dá suporte à negociação do Modo Principal e do Modo Rápido.
A negociação do IKE do Modo Principal estabelece um canal seguro, conhecido como associação de segurança isAKMP (Associação de Segurança da Internet e Protocolo de Gerenciamento de Chaves), entre dois computadores. Para estabelecer o canal seguro, a negociação do Modo Principal determina um conjunto de pacotes de proteção criptográfica, troca o material de chave para estabelecer a chave secreta compartilhada e autentica as identidades do computador.
ID do evento Mensagem de evento 4646 ID de segurança: %1. 4650 Uma associação de segurança do Modo Principal do IPsec foi estabelecida. O Modo Estendido não foi habilitado. A autenticação de certificado não foi usada. 4651 Uma associação de segurança do Modo Principal do IPsec foi estabelecida. O Modo Estendido não foi habilitado. Um certificado foi usado para autenticação. 4652 Falha na negociação do Modo Principal do IPsec.
Esse evento de auditoria retorna dados de auditoria detalhados nas seguintes categorias: Ponto de Extremidade Local, Certificado Local, Ponto de Extremidade Remoto, Certificado Remoto, Informações Adicionais e Informações de Falha.4653 Falha na negociação do Modo Principal do IPsec.
Esse evento de auditoria retorna dados de auditoria detalhados nas seguintes categorias: Ponto de Extremidade Local, Ponto de Extremidade Remoto, Informações Adicionais e Informações de Falha.4655 Uma associação de segurança do Modo Principal do IPsec foi encerrada. 4976 Durante a negociação no Modo Principal, o IPsec recebeu um pacote de negociação inválido. Se esse problema persistir, poderá indicar um problema de rede ou uma tentativa de modificar ou reproduzir essa negociação. 5049 Uma Associação de Segurança IPsec foi excluída. 5453 Uma negociação IPsec com um computador remoto falhou porque o serviço IKEEXT (IKE and AuthIP IPsec Keying Modules) não foi iniciado. Volume de eventos: Alto.
Padrão: sem auditoria.
Expandir a política de Auditoria do Modo Rápido do IPsec
A política de Auditoria do Modo Rápido do IPsec determina se o sistema operacional gera eventos de auditoria para os resultados do protocolo IKE e do protocolo AuthIP durante as negociações do Modo Rápido. Assim como o IKE, a AuthIP dá suporte à negociação do Modo Principal e do Modo Rápido.
A negociação de IKE do Modo Rápido (também conhecida como Fase 2) estabelece um canal seguro entre dois computadores para proteger dados. O Modo Rápido cria associações de segurança IPsec, que são contratos entre computadores sobre como proteger o tráfego de rede. Essas associações são negociadas pelo serviço IPsec.
Durante o Modo Rápido, o material de chave é atualizado ou, se necessário, novas chaves são geradas. Um pacote de proteção que protege o tráfego IP especificado também está selecionado. Um pacote de proteção é um conjunto definido de configurações de integridade de dados ou criptografia de dados. O Modo Rápido não é considerado uma troca completa porque depende de uma troca do Modo Principal.
ID do evento Mensagem de evento 4977 Durante a negociação no Modo Rápido, o IPsec recebeu um pacote de negociação inválido. Se esse problema persistir, poderá indicar um problema de rede ou uma tentativa de modificar ou reproduzir essa negociação. 5451 Uma associação de segurança do Modo Rápido do IPsec foi estabelecida. 5452 Uma associação de segurança do Modo Rápido do IPsec foi encerrada. Volume de eventos: Alto.
Padrão: sem auditoria.
Expandir a política de encerramento de sessão de auditoria
A política de Logoff de Auditoria determina se o sistema operacional gera eventos de auditoria quando as sessões de logon são encerradas. Estes eventos ocorrem no computador ao qual foi acedido. Quando ocorre um logon interativo, esses eventos são gerados no computador no qual foi feito logon.
Note
Não existe evento de falha nesta subcategoria porque logoffs fracassados (como quando um sistema é desligado abruptamente) não geram um registro de auditoria.
Eventos de logon são essenciais para entender a atividade do usuário e detectar possíveis ataques. Eventos de logoff não são totalmente confiáveis. Por exemplo, o computador pode ser desativado sem um logoff e desligamento adequados; nesse caso, um evento de logoff não é gerado.
ID do evento Mensagem de evento 4634 Foi efetuado o logoff de uma conta. 4647 Logoff iniciado pelo usuário. Volume de eventos: baixo.
Padrão: Êxito.
Expandir a política de Logon de Auditoria
A política de Logon de Auditoria determina se o sistema operacional gera eventos de auditoria quando um usuário tenta entrar em um computador.
Esses eventos estão relacionados à criação de sessões de login e ocorrem no computador que foi acessado. Para um logon interativo, os eventos são gerados no computador no qual foi feito logon. Para um logon de rede, como acessar um compartilhamento, os eventos são gerados no computador que hospeda o recurso que foi acessado. Eventos de logon são essenciais para acompanhar a atividade do usuário e detectar possíveis ataques. Os seguintes eventos são registrados:
- Sucesso e falha de logon.
- Tentativas de logon usando credenciais explícitas. Esse evento é gerado quando um processo tenta entrar em uma conta especificando explicitamente as credenciais dessa conta. Isso geralmente ocorre em configurações de lote, como tarefas agendadas ou ao usar o
runascomando.
ID do evento Mensagem de evento 4624 O logon de uma conta foi efetuado com êxito. 4625 Falha no logon em uma conta. 4648 Ocorreu uma tentativa de logon usando credenciais explícitas. 4675 As SIDs foram filtradas. Volume de eventos: baixo em um computador cliente. Médio em um controlador de domínio ou servidor de rede.
Padrão: êxito para computadores cliente. Êxito e falha para servidores.
Expandir a política de auditoria do Servidor de Política de Rede
A política do Servidor de Política de Rede de Auditoria determina se o sistema operacional gera eventos de auditoria para a atividade RADIUS (IAS) e NAP (Proteção de Acesso à Rede) em solicitações de acesso do usuário. Essas solicitações são:
Grant
Deny
Discard
Quarantine
Lock
Unlock
Os eventos NAP podem ser usados para ajudar a entender a integridade geral da rede.
ID do evento Mensagem de evento 6272 O Servidor de Políticas de Rede negou acesso a um usuário. 6273 O servidor de políticas de rede negou acesso a um usuário. 6274 O Servidor de Política de Rede descartou a solicitação de um usuário. 6275 O Servidor de Políticas de Rede descartou a solicitação de contabilização de um usuário. 6276 O Servidor de Políticas de Rede colocou um usuário em quarentena. 6277 O Servidor de Política de Rede concedeu acesso a um usuário, mas o colocou em liberdade condicional porque o host não cumpriu a política de integridade definida. 6278 O Servidor de Políticas de Rede concedeu acesso completo a um usuário porque o host atendia à política de integridade definida. 6279 O Servidor de Políticas de Rede bloqueou a conta de usuário devido a repetidas tentativas de autenticação com falha. 6280 O Servidor de Políticas de Rede desbloqueou a conta de usuário. Volume de eventos: médio ou alto em servidores NPS e IAS. Moderar em outros servidores ou em computadores cliente.
Padrão: Êxito e falha.
Expandir a Política de Auditoria de Outros Eventos de Logon/Logoff
A política Auditar Outros Eventos de Logon/Logoff determina se o Windows gera eventos de auditoria para outros eventos de logon ou logoff. Esses outros eventos de logon ou logoff incluem:
Uma sessão de Área de Trabalho Remota se conecta ou desconecta.
Uma estação de trabalho está bloqueada ou desbloqueada.
Um protetor de tela é invocado ou ignorado.
Um ataque de repetição foi detectado. Esse evento indica que uma solicitação Kerberos foi recebida duas vezes com informações idênticas. Uma configuração incorreta de rede também pode causar isso.
Um usuário recebe acesso a uma rede sem fio. Pode ser uma conta de usuário ou uma conta de computador.
Um usuário recebe acesso a uma rede com fio 802.1x. Pode ser uma conta de usuário ou uma conta de computador.
ID do evento Mensagem de evento 4649 Um ataque de repetição foi detectado. 4778 Uma sessão foi reconectada a uma Estação de Janela. 4779 Uma sessão foi desconectada de uma Estação de Janela. 4800 A estação de trabalho foi bloqueada. 4801 A estação de trabalho foi desbloqueada. 4802 A proteção de tela foi invocada. 4803 A proteção de tela foi ignorada. 5378 A delegação de credenciais solicitadas não foi permitida pela política. 5632 Foi feita uma solicitação para autenticar em uma rede sem fio. 5633 Foi feita uma solicitação para autenticar em uma rede com fio. Volume de eventos: baixo.
Padrão: sem auditoria.
Expandir a política de Logon Especial de Auditoria
A política Logon Especial de Auditoria determina se o sistema operacional gera eventos de auditoria em circunstâncias especiais de entrada (ou logon). Essa configuração de política de segurança determina se o sistema operacional gera eventos de auditoria quando:
Um logon especial é usado. Um logon especial é um logon que tem privilégios equivalentes ao de administrador e pode ser usado para elevar um processo a um nível mais alto.
Um membro de um grupo especial faz logon. Grupos Especiais é um recurso do Windows que permite que o administrador descubra quando um membro de um determinado grupo está conectado. O administrador pode definir uma lista de SIDs (identificadores de segurança de grupo) no registro. Se qualquer um desses SIDs for adicionado a um token durante o logon e essa subcategoria de auditoria estiver habilitada, um evento de segurança será registrado.
Os usuários que contêm privilégios especiais podem potencialmente fazer alterações no sistema. Recomendamos que você acompanhe as atividades deles.
ID do evento Mensagem de evento 4964 Grupos especiais foram atribuídos a um novo logon. Volume de eventos: Baixo
Padrão: Êxito
Acesso a objetos
As configurações de política e os eventos de auditoria do Object Access permitem que você acompanhe as tentativas de acessar objetos ou tipos específicos de objetos em uma rede ou computador. Para auditar tentativas de acessar um arquivo, diretório, chave do Registro ou qualquer outro objeto, você deve habilitar a subcategoria de auditoria de Acesso ao Objeto apropriada para eventos de êxito e/ou falha. Por exemplo, a subcategoria sistema de arquivos precisa ser habilitada para auditar operações de arquivo e a subcategoria do Registro precisa ser habilitada para auditar os acessos ao Registro. Essa categoria inclui as seguintes subcategorias:
Expandir a política gerada pelo aplicativo de auditoria
A política Gerada pelo Aplicativo de Auditoria determina se o sistema operacional gera eventos de auditoria quando os aplicativos tentam usar as APIs (interfaces de programação de aplicativos) de Auditoria do Windows.
Os seguintes eventos podem gerar atividade de auditoria:
Criação, exclusão ou inicialização de um contexto de cliente de aplicativo
Operações de aplicativo
Os aplicativos projetados para usar as APIs de Auditoria do Windows podem utilizar essa subcategoria para registrar eventos de auditoria relacionados a essas APIs. O nível, o volume, a relevância e a importância desses eventos de auditoria dependem do aplicativo que os gera. O sistema operacional registra os eventos conforme eles são gerados pelo aplicativo.
ID do evento Mensagem de evento 4665 Ocorreu uma tentativa de criar um contexto de cliente de aplicativo. 4666 Um aplicativo tentou realizar uma operação. 4667 Um contexto de cliente do aplicativo foi excluído. 4668 Um aplicativo foi inicializado. - Volume de eventos: varia de acordo com o uso do aplicativo instalado da Auditoria do Windows
Expandir a política de Serviços de Certificação de Auditoria
A política Audit Certification Services determina se o sistema operacional gera eventos quando as operações do AD CS (Active Directory Certificate Services) são executadas. O monitoramento desses eventos operacionais é importante para garantir que os serviços de função do AD CS estejam funcionando corretamente. Exemplos de operações do AD CS incluem:
O AD CS inicia, desliga, faz backup ou é restaurado.
As tarefas relacionadas à CRL (lista de certificados revogados) são executadas.
Os certificados são solicitados, emitidos ou revogados.
As configurações do gerenciador de certificados do AD CS são alteradas.
A configuração e as propriedades da AC (autoridade de certificação) são alteradas.
Os modelos do AD CS são modificados.
Os certificados são importados.
Um certificado de CA é publicado nos Serviços de Domínio do Active Directory.
As permissões de segurança para funções de serviço do AD CS são modificadas.
As chaves são arquivadas, importadas ou recuperadas.
O Serviço de Resposta OCSP é iniciado ou interrompido.
ID do evento Mensagem de evento 4868 O gerenciador de certificados negou uma solicitação de certificado pendente. 4869 Serviços de Certificados receberam uma solicitação de certificado reenviada. 4870 Serviços de Certificados revogaram um certificado. 4871 Serviços de certificados receberam uma solicitação para publicar a CRL (lista de certificados revogados). 4872 Serviços de certificados publicaram a CRL (lista de certificados revogados). 4873 Uma extensão de solicitação de certificado foi alterada. 4874 Um ou mais atributos de solicitação de certificado mudou. 4875 Serviços de Certificados receberam uma solicitação para desligar. 4876 Backup de Serviços de Certificado iniciado. 4877 Backup de Serviços de Certificados concluído. 4878 Restauração de Serviços de Certificado iniciado. 4879 Restauração de Serviços de Certificados concluída. 4880 Serviços de Certificados iniciados. 4881 Serviços de Certificados interrompidos. 4882 As permissões de segurança para Serviços de Certificados mudaram. 4883 Serviços de Certificados recuperaram uma chave arquivada. 4884 Serviços de Certificados importaram um certificado para o banco de dados. 4885 O filtro de auditoria dos Serviços de Certificados mudou. 4886 Serviços de certificados receberam uma solicitação de certificado. 4887 Serviços de certificados aprovaram uma solicitação de certificado e emitiram um certificado. 4888 Os Serviços de Certificados negaram uma solicitação de certificado. 4889 Os Serviços de Certificados definiram o status de solicitação de certificado para pendente. 4890 As configurações do gerenciador de certificados para Serviços de Certificados mudaram. 4891 Uma entrada de configuração mudou nos Serviços de Certificados. 4892 Uma propriedade dos Serviços de Certificados mudou. 4893 Os Serviços de Certificados arquivaram uma chave. 4894 Os Serviços de Certificados importaram e arquivaram uma chave. 4895 Os Serviços de Certificados publicaram o certificado de Autoridade de Certificação para o Active Directory Domain Services. 4896 Uma ou mais linhas foram excluídas do banco de dados do certificado. 4897 Separação de funções ativada. 4898 Os Serviços de Certificados carregaram um modelo. - Volume de eventos: médio ou baixo em servidores que hospedam serviços do AD CS
Expandir a política de Auditoria Detalhada de Compartilhamento de Arquivos
A política Audit Detailed File Share permite que você audite as tentativas de acessar arquivos e pastas em uma pasta compartilhada. A configuração de Compartilhamento de Arquivos Detalhado registra um evento sempre que um arquivo ou pasta é acessado, enquanto a configuração de Compartilhamento de Arquivos registra apenas um evento para qualquer conexão estabelecida entre um computador cliente e um compartilhamento de arquivos. Os eventos de auditoria detalhados da Partilha de Ficheiros incluem informações detalhadas sobre as permissões ou outros critérios utilizados para conceder ou negar o acesso.
Note
As pastas compartilhadas não têm SACLs. Quando você habilita essa configuração de política, todo o acesso a arquivos e pastas compartilhados no sistema é auditado.
ID do evento Mensagem de evento 5145 Um objeto de compartilhamento de rede foi verificado para ver se o cliente pode receber acesso desejado. - Volume de eventos: alto em um servidor de arquivos ou controlador de domínio devido ao acesso à rede SYSVOL exigido pela Política de Grupo
Expandir a política de Compartilhamento de Arquivos de Auditoria
A política de Compartilhamento de Arquivos de Auditoria determina se o sistema operacional gera eventos de auditoria quando um compartilhamento de arquivos é acessado. Os eventos de auditoria não são gerados quando os compartilhamentos são criados, excluídos ou quando as permissões de compartilhamento são alteradas. Combinado com a auditoria do Sistema de Arquivos, a auditoria de Compartilhamento de Arquivos permite que você rastreie qual conteúdo foi acessado, a origem (endereço IP e porta) da solicitação e a conta de usuário que foi usada para o acesso.
Note
Não há SACLs para compartilhamentos; Portanto, depois que essa configuração estiver habilitada, o acesso a todos os compartilhamentos no sistema será auditado.
ID do evento Mensagem de evento 5140 Um objeto de compartilhamento de rede foi acessado.
Esse evento é registrado em computadores que executam o Windows Server 2008 R2, Windows Server 2008, Windows 7 ou Windows Vista.5142 Um objeto de compartilhamento de rede foi adicionado. 5143 Um objeto de compartilhamento de rede foi modificado. 5144 Um objeto de compartilhamento de rede foi excluído. 5168 Falha na verificação de SPN para SMB/SMB2. - Volume de eventos: alto em um servidor de arquivos ou controlador de domínio devido ao acesso à rede SYSVOL exigido pela Política de Grupo.
Expandir a política do Sistema de Arquivos de Auditoria
A política do Sistema de Arquivos de Auditoria determina se o sistema operacional gera eventos de auditoria quando os usuários tentam acessar objetos do sistema de arquivos. Os eventos de auditoria são gerados somente para objetos que configuraram SACLs e somente se o tipo de acesso solicitado (como Gravação, Leitura ou Modificação) e a conta que faz a solicitação corresponderem às configurações no SACL.
Se a auditoria de êxito estiver habilitada, uma entrada de auditoria será gerada sempre que qualquer conta acessar com êxito um objeto do sistema de arquivos que tenha um SACL correspondente. Se a auditoria de falha estiver habilitada, uma entrada de auditoria será gerada sempre que qualquer usuário tentar acessar sem êxito um objeto do sistema de arquivos que tenha um SACL correspondente. Esses eventos são essenciais para acompanhar a atividade de objetos de arquivo que são confidenciais ou valiosos e exigem monitoramento extra.
ID do evento Mensagem de evento 4664 Ocorreu a tentativa de criar um link físico. 4985 O estado de uma transação mudou. 5051 Um arquivo foi virtualizado. - Volume de eventos: varia dependendo de como as SACLs do sistema de arquivos são configuradas.
Expandir a política de conexão da plataforma de filtragem de auditoria
A política de Conexão da Plataforma de Filtragem de Auditoria determina se o sistema operacional gera eventos de auditoria quando as conexões são permitidas ou bloqueadas pela Plataforma de Filtragem do Windows. O WFP (Windows Filtering Platform) foi introduzido no Windows Server 2008 e no Windows Vista. Ele permite que ISVs (fornecedores de software independentes) filtrem e modifiquem pacotes TCP/IP, monitorem ou autorizem conexões, filtrem o tráfego protegido por IPsec (Internet Protocol Security) e filtrem RPCs. Essa política de segurança permite que você audite os seguintes tipos de ações:
O serviço Firewall do Windows impede que um aplicativo aceite conexões de entrada na rede.
A Plataforma de Filtragem do Windows permite ou bloqueia uma conexão.
A Plataforma de Filtragem do Windows permite ou bloqueia uma associação a uma porta local.
A Plataforma de Filtragem do Windows permite ou impede que um aplicativo ou serviço ouça conexões de entrada em uma porta.
ID do evento Mensagem de evento 5031 O Serviço do Firewall do Windows impediu um aplicativo de aceitar conexões recebidas na rede. 5140 Um objeto de compartilhamento de rede foi acessado.
Este evento é registrado apenas em computadores que executam as versões suportadas do sistema operacional Windows, conforme designado na lista Aplica-se à.5150 A Plataforma de Filtragem do Windows bloqueou um pacote. 5151 Um filtro mais restrito da Plataforma de Filtragem do Windows bloqueou um pacote. 5154 A Plataforma de Filtragem do Windows permitiu que um aplicativo ou serviço escutasse conexões de entrada em uma porta. 5155 A Plataforma de Filtragem do Windows impediu que um aplicativo ou serviço escutasse conexões de entrada em uma porta. 5156 A Plataforma de Filtragem do Windows permitiu uma conexão. 5157 A Plataforma de Filtragem do Windows bloqueou uma conexão. 5158 A Plataforma de Filtragem do Windows permitiu uma associação a uma porta local. 5159 A Plataforma de Filtragem do Windows bloqueou uma associação a uma porta local. - Volume de eventos: Alto.
Expandir a política de remoção de pacotes da plataforma de filtragem de auditoria
A política de Remoção de Pacotes da Plataforma de Filtragem de Auditoria determina se o sistema operacional gera eventos de auditoria quando os pacotes são descartados pela Plataforma de Filtragem do Windows. O WFP (Windows Filtering Platform) foi introduzido no Windows Server 2008 e no Windows Vista. O WFP permite que ISVs (fornecedores de software) independentes filtrem e modifiquem pacotes TCP/IP, monitorem ou autorizem conexões, filtrem o tráfego protegido por IPsec (Internet Protocol Security) e filtrem RPCs. Uma alta taxa de pacotes descartados pode indicar que houve tentativas de obter acesso não autorizado a computadores em sua rede.
ID do evento Mensagem de evento 5152 A Plataforma de Filtragem do Windows bloqueou um pacote. 5153 Um filtro mais restrito da Plataforma de Filtragem do Windows bloqueou um pacote. - Volume de eventos: Alto.
Expandir a política de manipulação do identificador de auditoria
A política Manipulação de Alças de Auditoria determina se o sistema operacional gera eventos de auditoria quando uma alça para um objeto é aberta ou fechada. Somente objetos com SACLs configurados geram esses eventos se a operação de manuseio tentada corresponder ao SACL.
Note
Eventos de Handle Manipulation são gerados somente para tipos de objeto em que a subcategoria correspondente de Acesso a Objeto do sistema de arquivos ou Registro está habilitada. Consulte as políticas do Sistema de Arquivos de Auditoria ou do Registro de Auditoria .
ID do evento Mensagem de evento 4656 O identificador de um objeto foi solicitado. 4658 O identificador de um objeto foi fechado. 4690 Ocorreu uma tentativa de duplicar o identificador de um objeto. - Volume de eventos: varia de acordo com a configuração dos SACLs.
Expandir a política de objeto do kernel de auditoria
A política Audit Kernel Object determina se o sistema operacional gera eventos de auditoria quando os usuários tentam acessar o kernel do sistema, que inclui mutexes e semáforos. Somente objetos kernel com um SACL correspondente geram eventos de auditoria de segurança. As auditorias geradas são úteis apenas para os desenvolvedores. Normalmente, os objetos kernel recebem SACLs somente se as opções de auditoria AuditBaseObjects ou AuditBaseDirectories estiverem habilitadas.
Note
A configuração de política Auditoria: Auditar o acesso dos objetos do sistema global controla o SACL padrão de objetos do kernel.
ID do evento Mensagem de evento 4659 O identificador de um objeto foi solicitado com a intenção de excluir. 4660 Um objeto foi excluído. 4661 O identificador de um objeto foi solicitado. 4663 Foi feita uma tentativa de acessar um objeto. - Volume de eventos: alta se o acesso de auditoria de objetos do sistema global estiver habilitado.
Expandir a política de auditoria de outros eventos de acesso a objetos
A política Audit Other Object Access Events determina se o sistema operacional gera eventos de auditoria para o gerenciamento de trabalhos do Agendador de Tarefas ou objetos COM+.
Para trabalhos de agendador, as seguintes ações são auditadas:
- Um trabalho é criado, excluído, habilitado, desabilitado ou atualizado.
Para objetos COM+, as seguintes ações são auditadas:
- Um objeto de catálogo é adicionado, excluído ou atualizado.
ID do evento Mensagem de evento 4671 Um aplicativo tentou acessar um ordinal bloqueado através do TBS. 4691 A acesso indireto a um objeto foi solicitado. 4698 Uma tarefa agendada foi criada. 4699 Uma tarefa agendada foi excluída. 4700 Uma tarefa agendada foi habilitada. 4701 Uma tarefa agendada foi desabilitada. 4702 Uma tarefa agendada foi atualizada. 5148 A Plataforma de Filtragem do Windows detectou um ataque do DoS e entrou em um modo defensivo; os pacotes associados a esse ataque serão descartados.
Esse evento é registrado somente em computadores que executam as versões com suporte do sistema operacional Windows.5149 O ataque do DoS diminuiu e o processamento normal está sendo retomado.
Esse evento é registrado somente em computadores que executam as versões com suporte do sistema operacional Windows.5888 Um objeto no Catálogo COM+ foi modificado. 5889 Um objeto foi excluído do Catálogo COM+. 5890 Um objeto foi adicionado ao Catálogo COM+. - Volume de eventos: baixo.
Expandir a política do Registro de Auditoria
A política do Registro de Auditoria determina se o sistema operacional gera eventos de auditoria quando os usuários tentam acessar objetos do Registro. Eventos de auditoria são gerados apenas para objetos que configuraram SACLs especificados e somente se o tipo de acesso solicitado (como Gravação, Leitura ou Modificação) e a conta que faz a solicitação corresponderem às configurações no SACL.
Se a auditoria de êxito estiver habilitada, uma entrada de auditoria será gerada sempre que qualquer conta acessar com êxito um objeto do Registro que tenha um SACL correspondente. Se a auditoria de falha estiver habilitada, uma entrada de auditoria será gerada sempre que qualquer usuário tentar acessar sem êxito um objeto do Registro que tenha um SACL correspondente.
ID do evento Mensagem de evento 4657 Um valor do registro foi modificado. 5039 Uma chave de registro foi virtualizada. - Volume de eventos: varia de acordo com a configuração dos SACLs do Registro.
Expandir a política de Auditoria de Armazenamento Removível
A política Auditoria de Armazenamento Removível determina se o sistema operacional gera eventos de auditoria quando usuários tentam acessar objetos do sistema de arquivos em dispositivos de armazenamento removível. Eventos de auditoria são gerados para todos os tipos de acesso a qualquer objeto no armazenamento removível.
Quando essa política é habilitada, um evento de auditoria é registrado sempre que uma conta acessa um objeto do sistema de arquivos em um dispositivo de armazenamento removível. As auditorias de êxito capturam tentativas de acesso bem-sucedidas, enquanto as auditorias de falha capturam tentativas malsucedidas. Se essa política não estiver configurada, nenhum evento de auditoria será gerado para acesso a objetos do sistema de arquivos em dispositivos de armazenamento removíveis.
ID do evento Mensagem de evento 4656 O identificador de um objeto foi solicitado. 4658 O identificador de um objeto foi fechado. 4663 Foi feita uma tentativa de acessar um objeto. Expandir a política do SAM de auditoria
O SAM de auditoria, que permite auditar eventos gerados por tentativas de acessar objetos SAM. O SAM é um banco de dados que está presente em computadores que executam OSs do Windows que armazena contas de usuário e descritores de segurança para usuários no computador local. Os objetos SAM incluem:
SAM_ALIAS: um grupo local
SAM_GROUP: um grupo que não é um grupo local
SAM_USER: uma conta de usuário
SAM_DOMAIN: um domínio
SAM_SERVER: uma conta de computador
Se você definir essa configuração de política, um evento de auditoria será gerado quando um objeto SAM for acessado. As auditorias de sucesso registram tentativas bem-sucedidas e as auditorias de falha registram tentativas malsucedidas. Somente o SACL para SAM_SERVER pode ser modificado.
As alterações nos objetos de usuário e de grupo são controladas pela categoria de auditoria de Gerenciamento de Contas. No entanto, contas de usuário com privilégios suficientes podem potencialmente alterar os arquivos nos quais as informações de conta e senha são armazenadas no sistema, ignorando quaisquer eventos de Gerenciamento de Conta.
ID do evento Mensagem de evento 4659 O identificador de um objeto foi solicitado com a intenção de excluir. 4660 Um objeto foi excluído. 4661 O identificador de um objeto foi solicitado. 4663 Foi feita uma tentativa de acessar um objeto. - Volume de eventos: alto em controladores de domínio.
Expandir a política de Preparo de Política de Acesso Central de Auditoria
A política de Estágio de Política de Acesso Central de Auditoria permite a auditoria de tentativas de acesso em que as permissões concedidas ou negadas por uma política de acesso central proposta diferem da política atual aplicada a um objeto. Quando essa política é configurada, um evento de auditoria é gerado sempre que um usuário acessa um objeto e as permissões concedidas pela política de acesso central atual diferem daquelas concedidas pela política proposta. Os eventos de auditoria são gerados da seguinte maneira:
Auditorias de êxito (quando habilitadas) tentativas de acesso de log em que a política atual concede acesso, mas a política proposta negaria.
Auditorias de falha (quando habilitadas) tentativas de acesso de log nestes cenários:
A política atual não concede acesso, mas a política proposta a concede.
Uma principal solicita seus direitos de acesso máximos, e os direitos concedidos pela política atual diferem dos direitos concedidos pela política proposta.
ID do evento Mensagem de evento 4818 A Política de Acesso Central proposta não concede as mesmas permissões de acesso que a Política de Acesso Central atual. Volume de eventos: potencialmente alto em um servidor de arquivos quando a política proposta difere significativamente da política de acesso central atual.
Padrão: sem auditoria.
Alteração de política
Os eventos de auditoria de alteração de política permitem que você acompanhe as alterações em políticas de segurança importantes em um sistema ou rede local. Como as políticas normalmente são estabelecidas pelos administradores para ajudar a proteger recursos de rede, monitorar alterações ou tentativas de alterar essas políticas pode ser um aspecto importante do gerenciamento de segurança para uma rede. Essa categoria inclui as seguintes subcategorias:
Expandir a política de alteração de política de auditoria
A política de Alteração de Política de Auditoria determina se o sistema operacional gera eventos de auditoria quando são feitas alterações na política de auditoria. As alterações na política de auditoria são eventos de segurança críticos. As alterações na política de auditoria auditadas incluem:
Alterando permissões e configurações de auditoria no objeto de política de auditoria (usando
auditpol /set /sd).Alterando a política de auditoria do sistema.
Registrar e cancelar o registro de fontes de eventos de segurança.
Alterando as configurações de auditoria por usuário.
Alterando o valor de CrashOnAuditFail.
Alterando qualquer item na lista de Grupos Especiais.
Alterando as configurações de auditoria em um objeto (por exemplo, modificando o SACL para um arquivo ou chave do Registro).
Note
A auditoria de alteração de SACL é executada quando um SACL para um objeto é alterado e a categoria Alteração de Política é configurada. A DACL (lista de controle de acesso discricionário) e a auditoria de mudança de proprietário são realizadas quando a auditoria de acesso a objeto é configurada, e o SACL do objeto é configurado para auditar a DACL ou a mudança de proprietário.
ID do evento Mensagem de evento 4715 A política de auditoria (SACL) em um objeto foi alterada. 4719 A política de auditoria do sistema foi alterada. 4817 As configurações de auditoria em um objeto foram alteradas.
Esse evento é registrado somente em computadores que executam as versões com suporte do sistema operacional Windows.4902 A tabela de política de auditoria por usuário foi criada. 4904 Foi feita uma tentativa de registrar uma fonte de evento de segurança. 4905 Foi feita uma tentativa de cancelar o registro de uma fonte de evento de segurança. 4906 O valor de CrashOnAuditFail foi alterado. 4907 As configurações de auditoria no objeto foram alteradas. 4908 Tabela de Logon de Grupos Especiais modificada. 4912 A Política de Auditoria por Usuário foi alterada. Volume de eventos: baixo.
Padrão: Êxito.
Expandir a política de alteração da política de autenticação de auditoria
A política de alteração de política de autenticação de auditoria determina se o sistema operacional gera eventos de auditoria quando são feitas alterações na política de autenticação. Essa configuração é útil para controlar alterações de confiança e privilégios nos níveis de domínio e floresta que são concedidos a contas de usuário ou grupos. As alterações feitas na política de autenticação incluem:
Criação, modificação e remoção de relações de confiança de floresta e domínio.
Alterações na política Kerberos em Configuração do Computador\Configurações do Windows\Configurações de Segurança\Políticas de Conta\Políticas de Kerberos.
Note
O evento de auditoria é registrado quando a política é aplicada, não quando as configurações são modificadas pelo administrador.
Quando qualquer um dos seguintes direitos de usuário é concedido a um usuário ou grupo:
Aceda a este computador a partir da rede.
Permitir logon localmente.
Permitir logon por meio da Área de Trabalho Remota.
Efetue login como uma tarefa em lote.
Logon como um serviço.
Colisão de namespace, como quando uma confiança adicional colide com um nome de namespace existente.
ID do evento Mensagem de evento 4713 A política do Kerberos foi alterada. 4716 Informações de domínio confiável foram modificadas. 4717 O acesso de segurança ao sistema foi concedido a uma conta. 4718 O acesso de segurança ao sistema foi removido de uma conta. 4739 A política de domínio foi alterada. 4864 Foi detectada uma colisão de namespace. 4865 Uma entrada de informações de floresta confiável foi adicionada. 4866 Uma entrada de informações de floresta confiável foi removida. 4867 Uma entrada de informações de floresta confiável foi modificada. Volume de eventos: baixo.
Padrão: Êxito.
Expandir a política de alteração da política de autorização de auditoria
A política de Alteração de Política de Autorização de Auditoria determina se o sistema operacional gera eventos de auditoria quando alterações específicas são feitas na política de autorização. As alterações de política de autorização que podem ser auditadas incluem:
Atribuir ou remover direitos de usuário (privilégios), como SeCreateTokenPrivilege, exceto pelos direitos de acesso do sistema que são auditados usando a subcategoria Audit Authentication Policy Change .
Alterando a política EFS (Sistema de Arquivos de Criptografia).
ID do evento Mensagem de evento 4704 Um direito de usuário foi atribuído. 4705 Um direito do usuário foi removido. 4706 Uma relação de confiança foi criada para um domínio. 4707 Uma relação de confiança com um domínio foi removida. 4714 A política de recuperação de dados criptografados foi alterada. Volume de eventos: baixo.
Padrão: sem auditoria.
Expandir a política de alteração de política da plataforma de filtragem de auditoria
A política de Alteração de Política da Plataforma de Filtragem de Auditoria determina se o sistema operacional gera eventos de auditoria para determinadas ações do IPsec e da Plataforma de Filtragem do Windows. A Plataforma de Filtragem do Windows (WFP) permite que isvs (fornecedores de software) independentes filtrem e modifiquem pacotes TCP/IP, monitorem ou autorizem conexões, filtrem o tráfego protegido por IPsec (segurança do Protocolo IPsec) e filtrem RPCs. Essa configuração de política de segurança determina se o sistema operacional gera eventos de auditoria para:
Status dos serviços IPsec.
Alterações nas configurações do IPsec.
Status e alterações dos provedores e do motor da Plataforma de Filtragem do Windows.
Atividades de serviço do Agente de Política IPsec.
ID do evento Mensagem de evento 4709 Os Serviços IPsec foram iniciados. 4710 Os Serviços IPsec foram desabilitados. 4711 Pode conter qualquer uma das seguintes mensagens:
- O Mecanismo PAStore aplicou a cópia armazenada no cache local da política IPsec de armazenamento do Active Directory no computador.
- O Mecanismo PAStore aplicou a política IPsec de armazenamento do Active Directory no computador.
- O Mecanismo PAStore aplicou a política IPsec de armazenamento do registro local no computador.
- O Mecanismo PAStore falhou ao aplicar a cópia armazenada no cache local da política IPsec de armazenamento do Active Directory no computador.
- O Mecanismo PAStore falhou ao aplicar a política IPsec de armazenamento do Active Directory no computador.
- O Mecanismo PAStore falhou ao aplicar a política IPsec de armazenamento do registro local no computador.
- O Mecanismo PAStore falhou ao aplicar algumas regras da política IPsec ativa no computador.
- O Mecanismo PAStore falhou ao carregar a política IPsec de armazenamento do diretório no computador.
- O Mecanismo PAStore carregou a política IPsec de armazenamento do diretório no computador.
- O Mecanismo PAStore falhou ao carregar a política IPsec de armazenamento local no computador.
- O Mecanismo PAStore carregou a política IPsec de armazenamento local no computador.
- O Mecanismo PAStore sondou alterações na política IPsec ativa e não detectou nenhuma alteração.
4712 Os Serviços IPsec encontraram uma falha potencialmente grave. 5040 Foi feita uma alteração nas configurações de IPsec. Um Conjunto de Autenticação foi adicionado. 5041 Foi feita uma alteração nas configurações de IPsec. Um Conjunto de Autenticação foi modificado. 5042 Foi feita uma alteração nas configurações de IPsec. Um Conjunto de Autenticação foi excluído. 5043 Foi feita uma alteração nas configurações de IPsec. Uma Regra de Segurança de Conexão foi adicionada. 5044 Foi feita uma alteração nas configurações de IPsec. Uma Regra de Segurança de Conexão foi modificada. 5045 Foi feita uma alteração nas configurações de IPsec. Uma Regra de Segurança de Conexão foi excluída. 5046 Foi feita uma alteração nas configurações de IPsec. Um Conjunto de Criptografia foi adicionado. 5047 Foi feita uma alteração nas configurações de IPsec. Um Conjunto de Criptografia foi modificado. 5048 Foi feita uma alteração nas configurações de IPsec. Um Conjunto de Criptografia foi excluído. 5440 O texto explicativo a seguir estava presente quando o Mecanismo de Filtragem Base da Plataforma de Filtragem do Windows era iniciado. 5441 O filtro a seguir estava presente quando o Mecanismo de Filtragem Base da Plataforma de Filtragem do Windows era iniciado. 5442 O provedor a seguir estava presente quando o Mecanismo de Filtragem Base da Plataforma de Filtragem do Windows era iniciado. 5443 O contexto do provedor a seguir estava presente quando o Mecanismo de Filtragem Base da Plataforma de Filtragem do Windows era iniciado. 5444 A seguinte subcamada estava presente quando o Mecanismo de Filtragem Base da Plataforma de Filtragem do Windows foi iniciado. 5446 Um texto explicativo da Plataforma de Filtragem do Windows foi alterado. 5448 Um provedor da Plataforma de Filtragem do Windows foi alterado. 5449 Um contexto de provedor da Plataforma de Filtragem do Windows foi alterado. 5450 Uma subcamada da Plataforma de Filtragem do Windows foi alterada. 5456 O Mecanismo PAStore aplicou a política IPsec de armazenamento do Active Directory no computador. 5457 O Mecanismo PAStore falhou ao aplicar a política IPsec de armazenamento do Active Directory no computador. 5458 O Mecanismo PAStore aplicou a cópia armazenada no cache local da política IPsec de armazenamento do Active Directory no computador. 5459 O Mecanismo PAStore falhou ao aplicar a cópia armazenada no cache local da política IPsec de armazenamento do Active Directory no computador. 5460 O Mecanismo PAStore aplicou a política IPsec de armazenamento do registro local no computador. 5461 O Mecanismo PAStore falhou ao aplicar a política IPsec de armazenamento do registro local no computador. 5462 O Mecanismo PAStore falhou ao aplicar algumas regras da política IPsec ativa no computador. Use o snap-in do Monitor de Segurança IP para diagnosticar o problema. 5463 O Mecanismo PAStore sondou alterações na política IPsec ativa e não detectou nenhuma alteração. 5464 O Mecanismo PAStore sondou alterações na política IPsec ativa, detectou alterações e as aplicou aos Serviços IPsec. 5465 O Mecanismo PAStore recebeu um controle para recarregamento forçado da política IPsec e processou o controle com êxito. 5466 O Mecanismo PAStore pesquisou alterações na política IPsec do Active Directory, determinou que o Active Directory não pode ser acessado e usará a cópia armazenada em cache da política IPsec do Active Directory. Alterações feitas na política IPsec do Active Directory desde a última pesquisa não puderam ser aplicadas. 5467 O Mecanismo PAStore sondou alterações na política IPsec do Active Directory, determinou que o Active Directory pode ser acessado e não encontrou nenhuma alteração na política. A cópia armazenada em cache da política IPsec do Active Directory não está mais sendo usada. 5468 O Mecanismo PAStore sondou alterações na política IPsec do Active Directory, determinou que o Active Directory pode ser acessado, encontrou alterações na política e aplicou essas alterações. A cópia armazenada em cache da política IPsec do Active Directory não está mais sendo usada. 5471 O Mecanismo PAStore carregou a política IPsec de armazenamento local no computador. 5472 O Mecanismo PAStore falhou ao carregar a política IPsec de armazenamento local no computador. 5473 O Mecanismo PAStore carregou a política IPsec de armazenamento do diretório no computador. 5474 O Mecanismo PAStore falhou ao carregar a política IPsec de armazenamento do diretório no computador. 5477 Falha do Mecanismo PAStore ao adicionar o filtro de modo rápido. Volume de eventos: baixo.
Padrão: sem auditoria.
Expandir auditoria de alteração de política do MPSSVC Rule-Level
A política Audit MPSSVC Rule-Level Policy Change determina se o sistema operacional gera eventos de auditoria quando são feitas alterações nas regras de política para o Serviço de Proteção da Microsoft (MPSSVC.exe).
O Serviço de Proteção da Microsoft, que é usado pelo Firewall do Windows, é parte integrante da proteção contra ameaças do computador contra ameaças associadas à Internet, como trojans e spyware. As atividades controladas incluem:
Políticas ativas quando o serviço firewall do Windows é iniciado.
Alterações às regras da Firewall do Windows.
Alterações na lista de exceções do Firewall do Windows.
Alterações às definições da Firewall do Windows.
Regras ignoradas ou não aplicadas pelo serviço Firewall do Windows.
Alterações às definições de Política de Grupo da Firewall do Windows.
As alterações nas regras de firewall são importantes para entender o estado de segurança do computador e como ele está protegido contra ataques de rede.
ID do evento Mensagem de evento 4944 A política a seguir estava ativa quando o Firewall do Windows iniciou. 4945 Uma regra foi listada quando o Firewall do Windows foi iniciado. 4946 Uma alteração foi feita na lista de exceções do Firewall do Windows. Uma regra foi adicionada. 4947 Uma alteração foi feita na lista de exceções do Firewall do Windows. Uma regra foi modificada. 4948 Uma alteração foi feita na lista de exceções do Firewall do Windows. Uma regra foi excluída. 4949 As configurações do Firewall do Windows foram restauradas para os valores padrão. 4950 Uma configuração do Firewall do Windows foi alterada. 4951 Uma regra foi ignorada porque seu número de versão principal não foi reconhecido pelo Firewall do Windows. 4952 Partes de uma regra foram ignoradas porque seu número de versão secundária não foi reconhecido pelo Firewall do Windows. As demais partes da regra serão executadas. 4953 Uma regra foi ignorada pelo Firewall do Windows porque não foi possível analisar a regra. 4954 As configurações de Política de Grupo do Firewall do Windows foram alteradas. Novas configurações foram aplicadas. 4956 O Firewall do Windows alterou o perfil ativo. 4957 O Firewall do Windows não aplicou a regra a seguir. 4958 O Firewall do Windows não aplicou a regra a seguir porque a regra se referia a itens não configurados neste computador. Volume de eventos: baixo.
Padrão: sem auditoria.
Expandir a política de Auditoria de Outros Eventos de Mudança de Política
A política Audit Other Policy Change Events determina se o sistema operacional gera eventos de auditoria para alterações de política de segurança que não são auditadas de outra forma na categoria Alteração de Política. Essas outras atividades na categoria Alteração de Política que podem ser auditadas incluem:
Alterações de configuração do TPM (Trusted Platform Module).
Testes automáticos criptográficos no modo kernel.
Operações do fornecedor de criptografia.
Operações ou modificações de contexto criptográfico.
ID do evento Mensagem de evento 4670 As permissões de um objeto foram alteradas. 4909 As configurações da política local do TBS foram alteradas. 4910 As configurações de política de grupo para o TBS foram alteradas. 5063 Foi tentada uma operação de provedor criptográfico. 5064 Foi tentada uma operação de contexto criptográfico. 5065 Foi tentada uma alteração de contexto criptográfico. 5066 Foi tentada uma operação de função criptográfica. 5067 Foi tentada uma alteração da função criptográfica. 5068 Foi tentada uma operação do provedor de função criptográfica. 5069 Foi tentada uma operação de propriedade de função criptográfica. 5070 Foi tentada uma alteração da propriedade de função criptográfica. 5447 Um filtro da Plataforma de Filtragem do Windows foi alterado. 6144 A política de segurança nos objetos de política de grupo foi aplicada com êxito. 6145 Um ou mais erros ocorreram durante o processamento da política de segurança nos objetos de política de grupo. Volume de eventos: baixo.
Padrão: sem auditoria.
Uso de privilégios
Permissões em uma rede são concedidas para usuários ou computadores para concluir tarefas definidas. As configurações de política de segurança e os eventos de auditoria do Privilege Use permitem que você acompanhe o uso de determinadas permissões em um ou mais sistemas. Essa categoria inclui as seguintes subcategorias:
Expandir a política de uso de privilégios não confidenciais de auditoria
A política Audit Non-Sensitive Privilege Use determina se o sistema operacional gera eventos de auditoria quando privilégios não confidenciais (direitos do usuário) são usados. Os seguintes privilégios não são sensíveis:
Adicionar estações de trabalho ao domínio
Ajustar cotas de memória para um processo
Permitir logon localmente
Permitir logon por meio dos Serviços de Terminal
Ignorar a verificação completa
Alterar a hora do sistema
Criar um arquivo de paginação
Criar objetos globais
Criar objetos compartilhados permanentemente
Criar vínculos simbólicos
Negar o acesso a este computador a partir da rede
Negar o logon como um trabalho em lotes
Negar o logon como um serviço
Negar o logon localmente
Negar logon por meio dos Serviços de Terminal
Forçar o desligamento a partir de um sistema remoto
Aumentar um conjunto de trabalho de processo
Aumentar prioridade de agendamento
Bloquear páginas na memória
Fazer logon como um trabalho em lotes
Fazer logon como um serviço
Modificar um rótulo de objeto
Executar tarefas de manutenção de volume
Traçar um perfil de um único processo
Traçar um perfil do desempenho do sistema
Remover o computador da estação de encaixe
Desligar o sistema
Sincronizar dados do serviço de diretório
Se configurar esta definição de política, é gerado um evento de auditoria quando é chamado um privilégio não confidencial. As auditorias de sucesso registram tentativas bem-sucedidas e as auditorias de falha registram tentativas malsucedidas.
ID do evento Mensagem de evento 4672 Privilégios especiais atribuídos a um novo logon. 4673 Um serviço com privilégios foi chamado. 4674 Uma operação foi tentada em um objeto com privilégios. - Volume de eventos: muito alto.
Expandir a política de Eventos de Uso de Outros Privilégios de Auditoria
A política Audit Other Privilege Use Events não é usada.
Expandir a política de uso de privilégios sensíveis de auditoria
A política Audit Sensitive Privilege Use determina se o sistema operacional gera eventos de auditoria quando privilégios confidenciais (direitos do usuário) são usados. As ações que podem ser auditadas incluem:
Um serviço privilegiado é chamado.
Um dos seguintes privilégios é denominado:
Atuar como parte do sistema operacional
Fazer backup de arquivos e pastas
Criar um objeto token
Programas de depuração
Permitir que contas de computador e usuário sejam confiáveis para delegação
Gerar auditorias de segurança
Representar um cliente após a autenticação
Carregar e descarregar drivers de dispositivo
Gerenciar a auditoria e o log de segurança
Modificar valores de ambiente de firmware
Substituir um token de nível de processo
Restaurar arquivos e diretórios
Apropriar-se de arquivos ou de outros objetos
Se configurar esta definição de política, é gerado um evento de auditoria quando são feitos pedidos de privilégios confidenciais. As auditorias de sucesso registram tentativas bem-sucedidas e as auditorias de falha registram tentativas malsucedidas.
ID do evento Mensagem de evento 4672 Privilégios especiais atribuídos a um novo logon. 4673 Um serviço com privilégios foi chamado. 4674 Uma operação foi tentada em um objeto com privilégios. - Volume de eventos: Alto.
System
As configurações de política de segurança do sistema e os eventos de auditoria permitem que você acompanhe as alterações no nível do sistema em um computador que não está incluído em outras categorias e que tenham possíveis implicações de segurança. Essa categoria inclui as seguintes subcategorias:
Expandir a política de auditoria do driver IPsec
A política Audit IPsec Driver determina se o sistema gera eventos de auditoria para as atividades do driver IPsec. O driver IPsec, usando a Lista de Filtros IP da política IPsec ativa, observa os pacotes IP de saída que devem ser protegidos e pacotes IP de entrada que devem ser verificados e descriptografados. Essa configuração de política de segurança relata as seguintes atividades do driver IPsec:
Inicialização e desligamento de serviços IPsec.
Os pacotes foram removidos devido a uma falha na verificação de integridade.
Os pacotes foram removidos devido a uma falha na verificação de repetição.
Os pacotes foram removidos devido ao texto não criptografado.
Pacotes recebidos com um SPI (Índice de Parâmetro de Segurança) incorreto. Isso pode indicar hardware com defeito ou problemas de interoperabilidade.
Falha ao processar filtros IPsec.
Uma alta taxa de quedas de pacotes pelo driver de filtro IPsec pode indicar tentativas de obter acesso à rede por sistemas não autorizados. A falha ao processar filtros IPsec representa um risco potencial de segurança porque alguns adaptadores de rede podem não obter a proteção fornecida pelo filtro IPsec.
ID do evento Mensagem de evento 4960 O IPsec descartou um pacote de entrada que falhou em uma verificação de integridade. Se esse problema persistir, poderá indicar um problema de rede ou que os pacotes estão sendo modificados em trânsito para este computador. Verifique se os pacotes enviados do computador remoto são iguais aos recebidos por este computador. Esse erro também pode indicar problemas de interoperabilidade com outras implementações IPsec. 4961 O IPsec descartou um pacote de entrada que falhou em uma verificação de reprodução. Se esse problema persistir, poderá indicar um ataque de reprodução contra este computador. 4962 O IPsec descartou um pacote de entrada que falhou em uma verificação de reprodução. O pacote de entrada tinha um número de sequência muito baixo para garantir que não fosse uma reprodução. 4963 O IPsec descartou um pacote de texto de limpeza de entrada que deveria ter sido protegido. Isso geralmente ocorre devido ao computador remoto alterar sua política IPsec sem informar o computador. Também pode ser uma tentativa de ataque de falsificação. 4965 O IPsec recebeu um pacote de um computador remoto com um SPI (Índice de Parâmetro de Segurança) incorreto. Geralmente é causado por hardware com defeito que está corrompendo pacotes. Se esses erros persistirem, verifique se os pacotes enviados do computador remoto são iguais aos recebidos por este computador. Também pode indicar problemas de interoperabilidade com outras implementações IPsec. Nesse caso, se a conectividade não for impedida, esses eventos poderão ser ignorados. 5478 Os Serviços IPsec foram iniciados com êxito. 5479 Os Serviços IPsec foram desligados com êxito. O desligamento dos Serviços IPsec pode colocar o computador em maior risco de ataque de rede ou expor o computador a possíveis riscos de segurança. 5480 Falha nos Serviços IPsec ao obter a lista completa de interfaces de rede no computador. Representa um risco potencial de segurança porque algumas das interfaces de rede podem não obter a proteção fornecida pelos filtros IPsec aplicados. Use o snap-in do Monitor de Segurança IP para diagnosticar o problema. 5483 Falha nos Serviços IPsec ao inicializar o servidor RPC. Os Serviços IPsec não puderam ser iniciados. 5484 Os Serviços IPsec sofreram uma falha crítica e foram desligados. O desligamento dos Serviços IPsec pode colocar o computador em maior risco de ataque de rede ou expor o computador a possíveis riscos de segurança. 5485 Falha nos Serviços IPsec ao processar alguns filtros IPsec em um evento plug-and-play para interfaces de rede. Representa um risco potencial de segurança porque algumas das interfaces de rede podem não obter a proteção fornecida pelos filtros IPsec aplicados. Use o snap-in do Monitor de Segurança IP para diagnosticar o problema. Volume de eventos: baixo.
Padrão: sem auditoria.
Expandir a política de auditoria de outros eventos do sistema
A política Auditar Outros Eventos do Sistema determina se o sistema operacional audita vários eventos do sistema. Os eventos do sistema nesta categoria incluem:
Inicialização e desligamento do serviço e driver do Firewall do Windows.
Processamento de política de segurança pelo serviço Firewall do Windows.
Operações de migração e ficheiro de chave criptografia.
Important
A falha ao iniciar o serviço firewall do Windows pode resultar em um computador que não está totalmente protegido contra ameaças de rede.
ID do evento Mensagem de evento 5024 O Serviço do Firewall do Windows foi iniciado com sucesso. 5025 O Serviço do Firewall do Windows foi interrompido. 5027 O Serviço de Firewall do Windows não pôde recuperar a política de segurança do armazenamento local. O serviço continuará executando a diretiva atual. 5028 O Serviço do Firewall do Windows não conseguiu analisar a nova política de segurança. O serviço continuará com a diretiva atualmente executada. 5029 O Serviço de Firewall do Windows não pôde inicializar o driver. O serviço continuará executando a diretiva atual. 5030 Não foi possível iniciar o Serviço do Firewall do Windows. 5032 O Firewall do Windows não pôde notificar o usuário de que impediu um aplicativo de aceitar conexões recebidas na rede. 5033 O Driver do Firewall do Windows foi iniciado com sucesso. 5034 O Driver do Firewall do Windows foi interrompido. 5035 Não foi possível iniciar o Driver do Firewall do Windows. 5037 O Driver do Firewall do Windows detectou um erro crítico de tempo de execução. Terminating. 5058 Operação de arquivo chave. 5059 Operação de migração de chave. 6400 BranchCache: recebeu uma resposta formatada incorretamente ao descobrir a disponibilidade do conteúdo.
Esse evento é registrado somente em computadores que executam versões com suporte do sistema operacional Windows.6401 BranchCache: dados inválidos recebidos de um par. Dados descartados. 1 6402 BranchCache: A mensagem para o cache hospedado que oferece dados está formatada incorretamente. 1 6403 BranchCache: o cache hospedado enviou uma resposta formatada incorretamente ao cliente. 1 6404 BranchCache: o cache hospedado não pôde ser autenticado usando o certificado SSL provisionado. 1 6405 BranchCache: %2 instâncias do ID de evento %1 ocorreram. 1 6406 %1 registrado no Firewall do Windows para controlar a filtragem para o seguinte: %2 1 6407 1% 1 6408 Falha no %1 do produto registrado e o Firewall do Windows agora está controlando a filtragem para %2 1 Note
1 Esse evento é registrado somente em computadores que executam versões com suporte do sistema operacional Windows.
Volume de eventos: baixo.
Padrão: Êxito e falha.
Expandir a política de Alteração de Estado de Segurança de Auditoria
A política de Alteração de Estado de Segurança de Auditoria determina se o Windows gera eventos de auditoria para alterações no estado de segurança de um sistema. As alterações no estado de segurança do sistema operacional incluem:
Inicialização e desligamento do sistema.
Alteração da hora do sistema.
Recuperação do sistema de CrashOnAuditFail. Esse evento é registrado após uma reinicialização do sistema após CrashOnAuditFail. Algumas atividades auditáveis podem não ser registradas quando um sistema é reinicializado devido a CrashOnAuditFail.
ID do evento Mensagem de evento 4608 O Windows está sendo inicializado. 4609 O Windows está sendo desligado. 4616 A hora do sistema foi alterada. 4621 O administrador recuperou o sistema de CrashOnAuditFail. Os usuários que não forem administradores agora terão permissão para fazer logon. Algumas atividades auditáveis podem não ter sido registradas. Volume de eventos: baixo.
Padrão: Êxito.
Expandir a política de extensão do sistema de segurança de auditoria
A política de Extensão do Sistema de Segurança de Auditoria determina se o sistema operacional gera eventos de auditoria relacionados às extensões do sistema de segurança. As alterações nas extensões do sistema de segurança no sistema operacional incluem as seguintes atividades:
Um código de extensão de segurança é carregado (como uma autenticação, uma notificação ou um pacote de segurança). Um código de extensão de segurança é registrado com a Autoridade de Segurança Local e será usado e confiável para autenticar tentativas de logon, enviar solicitações de logon e ser notificado sobre quaisquer alterações de conta ou senha. Exemplos desse código de extensão são provedores de suporte de segurança, como Kerberos e NTLM.
Um serviço é instalado. Um log de auditoria é gerado quando um serviço é registrado no Service Control Manager. O registo de auditoria contém informações sobre o nome do serviço, binário, tipo, tipo de início e conta de serviço.
Important
Tentativas de instalar ou carregar extensões ou serviços do sistema de segurança são eventos críticos do sistema que podem indicar uma violação de segurança.
ID do evento Mensagem de evento 4610 Um pacote de autenticação foi carregado pela autoridade de segurança local. 4611 Um processo de logon confiável foi registrado com a autoridade de segurança local. 4614 Um pacote de notificação foi carregado pelo Gerenciador de Contas de Segurança. 4622 Um pacote de segurança foi carregado pela autoridade de segurança local. 4697 Um serviço foi instalado no sistema. Volume de eventos: baixo. Os eventos de extensão do sistema de segurança são gerados com mais frequência num controlador de domínio do que em computadores cliente ou servidores membros.
Padrão: sem auditoria.
Expandir a política de integridade do sistema de auditoria
A política de Integridade do Sistema de Auditoria determina se o sistema operacional audita eventos que violam a integridade do subsistema de segurança. As atividades que violam a integridade do subsistema de segurança incluem:
Os eventos auditados são perdidos devido a uma falha do sistema de auditoria.
Um processo usa uma porta LPC (chamada de procedimento local) inválida na tentativa de representar um cliente, responder a um espaço de endereço do cliente, ler de um espaço de endereço do cliente ou gravar a partir de um espaço de endereço do cliente.
Uma violação de integridade RPC é detectada.
Uma violação de integridade de código com um valor de hash inválido de um arquivo executável é detectada.
Tarefas criptográficas são executadas.
Important
Violações da integridade do subsistema de segurança são críticas e podem indicar um possível ataque de segurança.
ID do evento Mensagem de evento 4612 Os recursos internos alocados para a fila de mensagens de auditoria se esgotaram, provocando a perda de algumas auditorias. 4615 Uso inválido da porta LPC. 4618 Ocorreu um padrão de evento de segurança monitorado. 4816 O RPC detectou uma violação de integridade ao descriptografar uma mensagem de entrada. 5038 A integridade do código determinou que o hash da imagem de um arquivo não é válido. O arquivo pode estar corrompido devido a uma modificação não autorizada ou o hash inválido pode indicar um possível erro de dispositivo de disco. 5056 Um autoteste criptográfico foi realizado. 5057 Falha em uma operação de criptografia primitiva. 5060 Falha na operação de verificação. 5061 Operação criptográfica. 5062 Foi realizado um autotendimento criptográfico no modo kernel. 6281 A Integridade do Código determinou que os hashes de página de um arquivo de imagem não são válidos. O arquivo pode estar assinado erroneamente devido à falta de verificações de página ou estar corrompido devido à modificação não autorizada. Os hashes inválidos podem indicar um possível erro de dispositivo de disco.
Esse evento é registrado somente em computadores que executam as versões com suporte do sistema operacional Windows.Volume de eventos: baixo.
Padrão: Êxito e falha.
Acesso a objetos globais
As configurações de política de Auditoria de Acesso ao Objeto Global permitem que os administradores definam SACLs de computador por tipo de objeto para o sistema de arquivos ou para o registro. O SACL especificado é aplicado automaticamente a cada objeto desse tipo.
Os auditores podem provar que todos os recursos do sistema são protegidos por uma política de auditoria exibindo o conteúdo das configurações de política de Auditoria de Acesso a Objetos Globais. Por exemplo, se os auditores virem uma configuração de política chamada "Controlar todas as alterações feitas pelos administradores do grupo", eles saberão que essa política está em vigor.
As SACLs de recursos também são úteis para situações de diagnóstico. Por exemplo, definir a política de Auditoria de Acesso a Objetos Globais para registrar todas as atividades de um usuário específico e habilitar a política para rastrear eventos "Acesso negado" para o sistema de arquivos ou registro pode ajudar os administradores a identificar rapidamente qual objeto em um sistema está negando o acesso de um usuário.
Se você selecionar a caixa de seleção Definir essa política na página de propriedades da política e, em seguida, selecionar Configurar, você poderá adicionar um usuário ou grupo ao SACL global. Isso permite que você defina SACLs de computador por tipo de objeto para o sistema de arquivos. O SACL especificado é aplicado automaticamente a cada tipo de objeto do sistema de arquivos.
Política Expandir Sistema de Arquivos (Auditoria global de acesso a objetos)
A política Sistema de Arquivos (Auditoria global de acesso a objetos) permite configurar um SACL global no sistema de arquivos para um computador inteiro.
Se um SACL de arquivo ou pasta e um SACL global estiverem configurados em um computador, o SACL efetivo será derivado pela combinação do SACL de arquivo ou pasta com o SACL global. Isso significa que um evento de auditoria será gerado se uma atividade corresponder ao arquivo ou à pasta SACL ou ao SACL global.
- Volume de eventos: varia no SACL efetivo e no nível da atividade do usuário.
Expandir Política de Registro (Auditoria Global de Acesso a Objetos)
A política do Registro (Auditoria global de acesso a objetos) permite configurar um SACL global no registro de um computador.
Se um SACL do Registro e um SACL global estiverem configurados em um computador, o SACL efetivo será derivado combinando o SACL do Registro e o SACL global. Isso significa que um evento de auditoria é gerado quando uma atividade corresponde ao SACL da chave do Registro ou ao SACL global.
- Volume de eventos: varia no SACL efetivo e no nível da atividade do usuário.