Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
As definições de Configuração de Política de Auditoria Avançada encontram-se em Configuração do Computador\Definições do Windows\Definições de Segurança\Configuração Avançada da Política de Auditoria\Políticas de Auditoria do Sistema na Política de Grupo. Essas configurações permitem que as organizações monitorem a conformidade com os principais requisitos de negócios e segurança, rastreando atividades específicas, como:
Modificações feitas por administradores de grupo em configurações ou dados em servidores que contêm informações confidenciais (por exemplo, servidores financeiros).
Acesso a arquivos críticos por funcionários dentro de grupos designados.
Aplicação da lista de controle de acesso do sistema (SACL) correta a todos os arquivos, pastas ou chaves do Registro em um computador ou compartilhamento de arquivos, fornecendo uma proteção verificável contra acesso não autorizado.
Pode aceder a estas definições de política de auditoria através do snap-in Política de Segurança Local (secpol.msc) no computador local ou utilizando a Política de Grupo.
Essas configurações avançadas de política de auditoria fornecem controle granular sobre quais atividades são monitoradas, permitindo que você se concentre nos eventos mais relevantes para sua organização. Você pode excluir a auditoria para ações que não são importantes ou que geram volume de log desnecessário. Além disso, como essas políticas podem ser gerenciadas por meio de Objetos de Diretiva de Grupo de domínio, você pode modificar, testar e implantar facilmente configurações de auditoria para usuários e grupos específicos, conforme necessário.
As configurações avançadas da Política de Auditoria são as seguintes:
Logon de conta
A definição de definições de política nesta categoria pode ajudá-lo a documentar tentativas de autenticação de dados de conta num controlador de domínio ou num Gestor de Contas de Segurança (SAM) local. Ao contrário das configurações e eventos de diretiva de Logon e Logoff , que rastreiam tentativas de acessar um computador específico, as configurações e eventos nesta categoria se concentram no banco de dados de conta usado. Esta categoria inclui as seguintes subcategorias:
Expandir política de Validação de Credenciais de Auditoria
A política de Validação de Credenciais de Auditoria determina se o SO (SO) gera eventos de auditoria nas credenciais enviadas para uma solicitação de logon de conta de usuário. Esses eventos ocorrem no computador que é responsável pelas credenciais da seguinte maneira:
Para contas de domínio, o controlador de domínio é autoritativo.
Para contas locais, o computador local é autoritativo.
Como as contas de domínio são usadas com muito mais frequência do que as contas locais em ambientes corporativos, a maioria dos eventos de Logon de Conta em um ambiente de domínio ocorre nos controladores de domínio que são autorizados para as contas de domínio. No entanto, esses eventos podem ocorrer em qualquer computador e podem ocorrer juntamente com ou em computadores diferentes dos eventos de início de sessão e encerramento de sessão.
ID do Evento Mensagem do evento 4774 Uma conta foi mapeada para logon. 4775 Não foi possível mapear uma conta para logon. 4776 O controlador de domínio tentou validar as credenciais de uma conta. 4777 O controlador de domínio falhou ao validar as credenciais de uma conta. Volume de eventos: alto em controladores de domínio.
Padrão nas edições do cliente: Sem auditoria.
Padrão nas edições do servidor: sucesso.
Expandir a política de auditoria do serviço de autenticação Kerberos
A política de Auditoria do Serviço de Autenticação Kerberos controla se os eventos de auditoria são gerados quando um tíquete de concessão de autenticação Kerberos (TGT) é requerido. Com essa configuração habilitada, ela ajuda os administradores a monitorar a atividade de entrada do Kerberos e detetar possíveis problemas de segurança relacionados a solicitações de autenticação.
Se você definir essa configuração de política, um evento de auditoria será gerado após uma solicitação TGT de autenticação Kerberos. As auditorias bem-sucedidas registram tentativas bem-sucedidas e as auditorias de falha registram tentativas malsucedidas.
ID do Evento Mensagem do evento 4768 Foi solicitado um tíquete de autenticação Kerberos (TGT). 4771 Falha na pré-autenticação Kerberos. 4772 Falhou uma solicitação de tíquete de autenticação Kerberos. Volume de eventos: alto nos servidores do Centro de Distribuição de Chaves Kerberos.
Padrão nas edições do cliente: Sem auditoria.
Padrão nas edições do servidor: sucesso.
Expandir a política de auditoria de operações de tíquete de serviço Kerberos
A política Operações de Bilhetes de Serviço Kerberos de Auditoria controla se o sistema operativo regista eventos de auditoria de segurança quando são solicitados ou renovados bilhetes de serviço Kerberos. Habilitar essa configuração ajuda os administradores a monitorar e rastrear a atividade de autenticação Kerberos no ambiente.
Os eventos são gerados sempre que o Kerberos é usado para autenticar um usuário que deseja acessar um recurso de rede protegido. Os eventos de auditoria de operação de bilhete de serviço Kerberos podem ser usados para rastrear a atividade do usuário.
ID do Evento Mensagem do evento 4769 Foi solicitado um tíquete de serviço Kerberos. 4770 Um tíquete de serviço Kerberos foi renovado. Volume de eventos: alto em um controlador de domínio que está em um Centro de Distribuição de Chaves (KDC). Baixo número de membros do domínio.
Padrão: Não configurado.
Expanda Auditar outros eventos de logon de conta
A política Auditar Eventos de Logon de Outra Conta audita eventos acionados por respostas a pedidos de credenciais para logons de contas de utilizador que não são validação padrão de credenciais ou pedidos de bilhetes Kerberos. Os exemplos podem incluir:
Quando você inicia uma nova sessão de Ambiente de Trabalho Remoto e ocorrem desconexões de sessão.
Quando bloqueia e desbloqueia uma estação de trabalho.
Quando você invoca ou descarta uma proteção de tela.
Quando é detetado um ataque de repetição Kerberos, em que uma solicitação Kerberos com informações idênticas é recebida duas vezes.
Note
Essa situação pode resultar de um problema de configuração de rede.
Quando acede a uma rede sem fios ou a uma rede com fios 802.1x concedida a uma conta de utilizador ou computador
ID do Evento Mensagem do evento 4649 Um ataque de repetição foi detetado. 4778 Uma sessão foi reconectada a uma Estação de Janelas. 4779 Uma sessão foi desconectada de uma estação do Windows. 4800 A estação de trabalho estava bloqueada. 4801 A estação de trabalho foi desbloqueada. 4802 A proteção de tela foi invocada. 4803 O protetor de ecrã foi desativado. 5378 A delegação de credenciais solicitada não era permitida pela política. 5632 Foi feita uma solicitação para autenticar em uma rede sem fio. 5633 Foi feito um pedido de autenticação numa rede com fios. - Padrão: Sem auditoria.
Gestão de Contas
As configurações de diretiva de auditoria de segurança nesta categoria podem ser usadas para monitorar alterações em contas e grupos de usuários e computadores. Esta categoria inclui as seguintes subcategorias:
Expandir a política de Gerenciamento do Grupo de Aplicação de Auditoria
A política de Gerenciamento de Grupo de Aplicativos de Auditoria controla se o sistema operacional registra eventos de auditoria quando determinadas ações são executadas. Essas ações incluem criar, modificar ou excluir grupos de aplicativos e alterar sua associação. As tarefas de gerenciamento de grupos de aplicativos incluem:
Um grupo de aplicativos é criado, alterado ou excluído.
Um membro é adicionado ou removido de um grupo de aplicativos.
ID do Evento Mensagem do evento 4783 Um grupo de aplicativos básico foi criado. 4784 Um grupo de aplicativos básico foi alterado. 4785 Um membro foi adicionado a um grupo de aplicativos básico. 4786 Um membro foi removido de um grupo de aplicativos básico. 4787 Um não-membro foi adicionado a um grupo de aplicativos básico. 4788 Um não-membro foi removido de um grupo de aplicativos básico. 4789 Um grupo de aplicativos básico foi excluído. 4790 Foi criado um grupo de consultas LDAP (Lightweight Directory Access Protocol). - Volume de eventos: Baixo.
- Padrão: Sem auditoria.
Expandir a política de Gestão de Contas de Computador de Auditoria
A política Gerenciamento de Conta de Computador de Auditoria controla se o sistema operacional registra eventos de auditoria quando uma conta de computador é criada, modificada ou excluída no Ative Directory. Quando você habilita essa política, ela ajuda os administradores a monitorar e controlar alterações em contas de computador dentro de um domínio. Informações valiosas para auditoria de segurança, conformidade e solução de problemas de atividades de gerenciamento de contas são fornecidas pelo monitoramento desses eventos.
ID do Evento Mensagem do evento 4741 Foi criada uma conta de computador. 4742 Uma conta de computador foi alterada. 4743 Uma conta de computador foi excluída. Volume de eventos: Baixo.
Padrão nas edições do cliente: Sem auditoria.
Padrão nas edições do servidor: sucesso.
Expandir a política de Auditoria para Gestão de Grupos de Distribuição
A política Gerenciamento de Auditoria de Grupo de Distribuição determina se o SO gera eventos de auditoria para tarefas específicas de gestão de grupos de distribuição. Esta subcategoria à qual esta política pertence é registada apenas em controladores de domínio. As tarefas para o gerenciamento de grupos de distribuição que podem ser auditadas incluem:
Um grupo de distribuição é criado, alterado ou excluído.
Um membro é adicionado ou removido de um grupo de distribuição.
Note
Os grupos de distribuição não podem ser usados para gerenciar permissões de controle de acesso.
ID do Evento Mensagem do evento 4744 Foi criado um grupo local com segurança desativada. 4745 Um grupo local com segurança desativada foi alterado. 4746 Um membro foi adicionado a um grupo local com segurança desativada. 4747 Um membro foi removido de um grupo local com funcionalidades de segurança desativadas. 4748 Um grupo local com segurança desativada foi excluído. 4749 Foi criado um grupo global com segurança desativada. 4750 Um grupo global com segurança desativada foi alterado. 4751 Um membro foi adicionado a um grupo global com segurança desativada. 4752 Um membro foi removido de um grupo global com segurança desativada. 4753 Um grupo global com segurança desativada foi excluído. 4759 Foi criado um grupo universal com segurança desativada. 4760 Um grupo universal com segurança desativada foi alterado. 4761 Um membro foi adicionado a um grupo universal com segurança desativada. 4762 Um membro foi removido de um grupo universal com a segurança desativada. Volume de eventos: Baixo.
Padrão: Sem auditoria.
Expandir a política de Auditoria de Outros Eventos de Gerenciamento de Contas
A política Auditar Outros Eventos de Gerenciamento de Contas determina se o SO gera eventos de auditoria de gerenciamento de conta de usuário. Os eventos podem ser gerados para auditoria de gerenciamento de conta de usuário quando:
O hash de senha de uma conta é acessado. Isso normalmente acontece quando a Ferramenta de Migração do Ative Directory (ADMT) está movendo dados de senha.
A interface de programação de aplicações (API) de verificação de política de senha é chamada. As chamadas para essa função podem fazer parte de um ataque de um aplicativo mal-intencionado que está testando se as configurações de diretiva de complexidade de senha estão sendo aplicadas.
Note
Esses eventos são registrados quando a diretiva de domínio é aplicada (na atualização ou reinicialização), não quando as configurações são modificadas por um administrador.
As alterações feitas na diretiva de domínio estão em Configuração do Computador\Configurações do Windows\Configurações de Segurança\Políticas de Conta\Diretiva de Senha ou Configuração do Computador\Configurações do Windows\Configurações de Segurança\Políticas de Conta\Diretiva de Bloqueio de Conta.
ID do Evento Mensagem do evento 4782 O hash de senha de uma conta foi acessado. 4793 A API de verificação da política de palavras-passe foi chamada. Volume de eventos: Baixo.
Padrão: Sem auditoria.
Expandir a política de Gerenciamento de Grupo de Segurança de Auditoria
A política de Gerenciamento de Grupo de Segurança de Auditoria determina se o SO gera eventos de auditoria quando tarefas específicas de gerenciamento de grupo de segurança são executadas. As tarefas para o gerenciamento de grupos de segurança incluem:
Um grupo de segurança é criado, alterado ou excluído.
Um membro é adicionado ou removido de um grupo de segurança.
O tipo de um grupo é alterado.
Os grupos de segurança podem ser usados para permissões de controle de acesso e também como listas de distribuição.
ID do Evento Mensagem do evento 4727 Foi criado um grupo global habilitado para segurança. 4728 Um membro foi adicionado a um grupo global habilitado para segurança. 4729 Um membro foi removido de um grupo global habilitado para segurança. 4730 Um grupo global habilitado para segurança foi excluído. 4731 Foi criado um grupo local habilitado para segurança. 4732 Um membro foi adicionado a um grupo local habilitado para segurança. 4733 Um membro foi removido de um grupo local habilitado para segurança. 4734 Um grupo local habilitado para segurança foi excluído. 4735 Um grupo local habilitado para segurança foi alterado. 4737 Um grupo global habilitado para segurança foi alterado. 4754 Um grupo universal habilitado para segurança foi criado. 4755 Um grupo universal habilitado para segurança foi alterado. 4756 Um membro foi adicionado a um grupo universal habilitado para segurança. 4757 Um membro foi removido de um grupo universal habilitado para segurança. 4758 Um grupo universal habilitado para segurança foi excluído. 4764 O tipo de um grupo foi alterado. Volume de eventos: Baixo.
Padrão: Sucesso.
Expandir Gestão de Contas de Utilizadores para Auditoria
O Gerenciamento de Conta de Usuário de Auditoria determina se o sistema operacional gera eventos de auditoria quando tarefas específicas de gerenciamento de conta de usuário são executadas. As tarefas auditadas para gerenciamento de contas de usuário incluem:
Uma conta de usuário é criada, alterada, excluída, renomeada, desabilitada, habilitada, bloqueada ou desbloqueada.
Uma senha de conta de usuário é definida ou alterada.
Um histórico de identificador de segurança (SID) é adicionado a uma conta de usuário.
Uma senha do Modo de Restauração dos Serviços de Diretório é definida.
As permissões são alteradas em contas que são membros de grupos de administradores.
As credenciais do Gerenciador de Credenciais são copiadas ou restauradas.
Esta definição de política é essencial para controlar eventos que envolvem o aprovisionamento e a gestão de contas de utilizador.
ID do Evento Mensagem do evento 4720 Foi criada uma conta de utilizador. 4722 Uma conta de usuário foi habilitada. 4723 Foi feita uma tentativa de alterar a palavra-passe de uma conta. 4724 Foi feita uma tentativa de redefinir a senha de uma conta. 4725 Uma conta de usuário foi desativada. 4726 Uma conta de usuário foi excluída. 4738 Uma conta de usuário foi alterada. 4740 Uma conta de usuário foi bloqueada. 4765 O histórico do SID foi adicionado a uma conta. 4766 Falha na tentativa de adicionar o histórico do SID a uma conta. 4767 Uma conta de usuário foi desbloqueada. 4780 As ACLs foram definidas nas contas que são membros de grupos de administradores. 4781 O nome de uma conta foi alterado. 4794 Foi feita uma tentativa para definir o Modo de Restauração dos Serviços de Diretório. 5376 Foi feito backup das credenciais do Gerenciador de Credenciais. 5377 As credenciais do Credential Manager foram restauradas a partir de um backup. Volume de eventos: Baixo.
Padrão: Sucesso.
Acompanhamento detalhado
As configurações detalhadas da diretiva de segurança de rastreamento e os eventos de auditoria podem ser usados para monitorar as atividades de aplicativos e usuários individuais nesse computador e para entender como um computador está sendo usado. Esta categoria inclui as seguintes subcategorias:
Expanda a política de atividade de auditoria DPAPI
A política de auditoria de Atividade DPAPI determina se o sistema operativo gera eventos de auditoria quando chamadas de criptografia ou descriptografia são feitas na interface do aplicativo de proteção de dados (DPAPI).
O DPAPI é usado para proteger informações secretas, como senhas armazenadas e informações importantes. Para saber mais, consulte Proteção de dados do Windows.
ID do Evento Mensagem do evento 4692 Foi realizada uma tentativa de cópia de segurança da chave mestra de proteção de dados. 4693 Foi tentada a recuperação da chave mestra de proteção de dados. 4694 Procurou-se proteger os dados protegidos auditáveis. 4695 Foi tentada a desproteção de dados auditáveis protegidos. - Volume de eventos: Baixo.
Expandir a política de Atividade de Auditoria do PNP
A política de Atividade de Auditoria PNP audita quando um dispositivo plug and play (PnP) externo é detetado.
ID do Evento Mensagem do evento 6416 Um novo dispositivo é conectado ou um dispositivo existente é removido. - Volume de eventos: Baixo.
Expandir a política de criação de processos de auditoria
A política de Criação do Processo de Auditoria determina se o SO gera eventos de auditoria quando um processo é criado ou iniciado.
Esses eventos de auditoria podem ajudá-lo a rastrear a atividade do usuário e entender como um computador está sendo usado. As informações incluem o nome do programa ou do usuário que criou o processo.
ID do Evento Mensagem do evento 4688 Foi criado um novo processo. 4696 Um token primário foi atribuído a um processo. - Volume do evento: varia dependendo do uso do sistema.
Expandir a política de rescisão do processo de auditoria
A política de Encerramento do Processo de Auditoria determina se o SO gera eventos de auditoria quando é feita uma tentativa de encerrar um processo.
ID do Evento Mensagem do evento 4689 Um processo foi encerrado. - Volume do evento: varia dependendo do uso do sistema.
Expandir a política de Eventos de Auditoria RPC
A política de Eventos RPC de Auditoria determina se o SO gera eventos de auditoria quando são feitas conexões RPC (chamada de procedimento remoto) de entrada.
RPC é uma tecnologia para a criação de programas cliente/servidor distribuídos. RPC é uma técnica de comunicação entre processos que permite que o software cliente e servidor se comuniquem. Para saber mais, consulte Chamada de procedimento remoto (RPC).
ID do Evento Mensagem do evento 5712 Foi efetuada uma tentativa de RPC. Volume de eventos: alto em servidores RPC.
Padrão: Sem auditoria.
Expanda a política de Ajuste de Direitos do Token de Auditoria
A política de Ajuste de Privilégios do Token de Auditoria audita eventos gerados pelo ajuste dos privilégios de um token.
ID do Evento Mensagem do evento 4703 Um privilégio do utilizador foi ajustado. Volume de eventos: alto.
Padrão: Sem auditoria.
Acesso DS
As configurações da diretiva de auditoria de segurança do DS Access fornecem uma trilha de auditoria detalhada das tentativas de acessar e modificar objetos nos Serviços de Domínio Ative Directory (AD DS). Esses eventos de auditoria são registrados somente em controladores de domínio. Esta categoria inclui as seguintes subcategorias:
Expanda a política de auditoria detalhada de replicação do serviço de diretório
A política de Auditoria de Replicação Detalhada de Serviço de Diretório determina se o sistema operativo gera eventos de auditoria que contêm informações detalhadas de rastreamento sobre dados replicados entre controladores de domínio. Essa subcategoria de auditoria pode ser útil para diagnosticar problemas de replicação.
ID do Evento Mensagem do evento 4928 Um contexto de nomeação de origem de réplica do Active Directory foi estabelecido. 4929 Um contexto de nomeação de origem de réplica do Ative Directory foi removido. 4930 Um contexto de nomeação de origem de réplica do Ative Directory foi modificado. 4931 Um contexto de nomeação de destino de réplica do Ative Directory foi modificado. 4934 Os atributos de um objeto do Ative Directory foram replicados. 4935 Falha de replicação começa. 4936 A falha de replicação termina. 4937 Um objeto remanescente foi removido de uma réplica. Volume de eventos: alto.
Padrão: Sem auditoria.
Expandir a política de acesso ao Serviço de Diretório de Auditoria
A política de Acesso ao Serviço de Diretório de Auditoria determina se o SO gera eventos de auditoria quando um objeto dos Serviços de Domínio Ative Directory (AD DS) é acessado. Esses eventos são semelhantes aos eventos de Acesso ao Serviço de Diretório em versões anteriores dos sistemas operacionais Windows Server.
Note
Os eventos de auditoria são gerados somente em objetos com SACLs configuradas e somente quando são acessados de uma maneira que corresponde às configurações da SACL.
ID do Evento Mensagem do evento 4662 Uma operação foi realizada em um objeto. Volume de eventos: alto em controladores de domínio. Nenhum em computadores cliente.
Padrão nas edições do cliente: Sem auditoria.
Padrão nas edições do servidor: sucesso.
Expandir a política de alterações do Serviço de Diretório de Auditoria
A política de Alterações do Serviço de Diretório de Auditoria determina se o SO gera eventos de auditoria quando são feitas alterações em objetos no AD DS. Esta política, quando apropriado, indica os valores antigos e novos das propriedades alteradas dos objetos que foram alterados. Os tipos de alterações relatadas são:
Create
Delete
Modify
Move
Undelete
Note
Os eventos de auditoria são gerados somente para objetos com SACLs configuradas e somente quando eles são acessados de uma maneira que corresponde às configurações de SACL. Alguns objetos e propriedades não fazem com que eventos de auditoria sejam gerados devido a configurações na classe de objeto no esquema.
Esta subcategoria apenas regista eventos em controladores de domínio. As alterações nos objetos do Ative Directory são eventos importantes a serem rastreados para entender o estado da diretiva de rede.
ID do Evento Mensagem do evento 5136 Um objeto de serviço de diretório foi modificado. 5137 Um objeto de serviço de diretório foi criado. 5138 Um objeto de serviço de diretório não foi excluído. 5139 Um objeto de serviço de diretório foi movido. 5141 Um objeto de serviço de diretório foi excluído. Volume de eventos: alto apenas em controladores de domínio.
Padrão: Sem auditoria.
Expanda a política de replicação do serviço de diretório de auditoria
A política de Replicação do Serviço de Diretório de Auditoria determina se o SO gera eventos de auditoria quando a replicação entre dois controladores de domínio começa e termina. Os eventos nesta subcategoria são registados apenas em controladores de domínio.
ID do Evento Mensagem do evento 4932 A sincronização de uma réplica de um contexto de nomenclatura do Ative Directory foi iniciada. 4933 A sincronização de uma réplica de um contexto de nomenclatura do Ative Directory terminou. Volume de eventos: médio em controladores de domínio. Nenhum em computadores cliente.
Padrão: Sem auditoria.
Logon/Logoff
As definições de política de segurança de início de sessão/encerramento de sessão e os eventos de auditoria permitem-lhe controlar as tentativas de iniciar sessão num computador de forma interativa ou através de uma rede. Esses eventos são úteis para rastrear a atividade do usuário e identificar possíveis ataques aos recursos da rede. Esta categoria inclui as seguintes subcategorias:
Expandir política de bloqueio de conta de auditoria
A política de Bloqueio de Conta de Auditoria permite auditar eventos de segurança gerados por uma tentativa falhada de iniciar sessão numa conta bloqueada. Se você definir essa configuração de política, um evento de auditoria será gerado quando uma conta não puder entrar em um computador porque a conta está bloqueada. As auditorias bem-sucedidas registram tentativas bem-sucedidas e as auditorias de falha registram tentativas malsucedidas.
Os eventos de bloqueio de conta são essenciais para compreender a atividade do utilizador e detetar potenciais ataques.
ID do Evento Mensagem do evento 4625 Falha ao fazer logon de uma conta. Volume de eventos: Baixo.
Configuração padrão: Sucesso.
Expandir Auditoria de Declarações de Usuário/Dispositivo
A política de Auditoria de Declarações de Usuário/Dispositivo permite auditar informações de declarações de usuário e dispositivo no token de logon da conta. Os eventos nesta subcategoria são gerados no computador no qual uma sessão de logon é criada. Para um logon interativo, o evento de auditoria de segurança é gerado no computador no qual o usuário fez logon. Você deve habilitar a subcategoria Logon de auditoria para obter eventos dessa subcategoria.
Para um logon de rede, como acessar uma pasta compartilhada na rede, o evento de auditoria de segurança é gerado no computador que hospeda o recurso.
ID do Evento Mensagem do evento 4626 Informações de reclamações de usuário/dispositivo. Volume de eventos: baixo em um computador cliente. Médio em um controlador de domínio ou um servidor de rede
Padrão: Sem auditoria.
Expandir a política de associação do Grupo de Auditoria
A política de Associação ao Grupo de Auditoria permite auditar as informações de associação ao grupo no token de logon do usuário. Os eventos nesta subcategoria são gerados no computador no qual uma sessão de logon é criada. Você também deve habilitar a subcategoria Logon de Auditoria.
Para um logon interativo, o evento de auditoria de segurança é gerado no computador no qual o usuário fez logon. Para um logon de rede, como acessar uma pasta compartilhada na rede, o evento de auditoria de segurança é gerado no computador que hospeda o recurso.
ID do Evento Mensagem do evento 4627 Informações de associação ao grupo. Volume de eventos: baixo em um computador cliente. Médio em um controlador de domínio ou um servidor de rede.
Padrão: Sem auditoria.
Ampliar a política de Auditoria do Modo Estendido IPsec
A política de Auditoria do Modo Estendido IPsec determina se o sistema operativo gera eventos de auditoria para os resultados do Protocolo de Troca de Chaves da Internet (IKE) e do Protocolo de Internet Autenticado (AuthIP) durante as negociações do Modo Estendido.
IKE é um padrão da Internet, definido no RFC 2409, que define um mecanismo para estabelecer associações de segurança IPsec. Uma associação de segurança é uma combinação de uma política mutuamente aceitável e chaves que definem os serviços e mecanismos de segurança que ajudam a proteger a comunicação entre pares IPsec.
AuthIP é uma versão melhorada do IKE que oferece flexibilidade adicional, incluindo suporte para autenticação baseada no usuário e autenticação com várias credenciais. Ele também fornece negociação de método de autenticação aprimorado e suporta autenticação assimétrica. Como o IKE, o AuthIP suporta negociação de modo principal e de modo rápido. O AuthIP também suporta o Modo Estendido, uma parte da negociação de pares IPsec durante a qual uma segunda rodada de autenticação pode ser executada. O Modo Estendido, que é opcional, pode ser usado para várias autenticações. Por exemplo, com o modo estendido, você pode executar autenticações separadas baseadas no computador e no usuário.
ID do Evento Mensagem do evento 4978 Durante a negociação do Modo Estendido, o IPsec recebeu um pacote de negociação inválido. Se esse problema persistir, isso pode indicar um problema de rede ou uma tentativa de modificar ou reproduzir essa negociação. 4979 Foram estabelecidas associações de segurança do Modo Principal IPsec e do Modo Estendido.
Este evento fornece dados nas seguintes categorias: ponto de extremidade local do modo principal, ponto de extremidade remoto do modo principal, informações criptográficas do modo principal, associação de segurança do modo principal, informações adicionais do modo principal e informações do modo estendido.4980 Foram estabelecidas associações de segurança do Modo Principal IPsec e do Modo Estendido.
Este evento fornece dados de auditoria nas seguintes categorias: Ponto de Extremidade Local do Modo Principal e Ponto de Extremidade Remoto do Modo Principal. Informações criptográficas do Modo Principal, Associação de Segurança do Modo Principal, Informações adicionais do Modo Principal, Ponto de extremidade local do Modo Estendido, Ponto de extremidade remoto do Modo Estendido e Informações adicionais do Modo Estendido.4981 Foram estabelecidas associações de segurança do Modo Principal IPsec e do Modo Estendido.
Esse evento fornece dados de auditoria de eventos nas seguintes categorias: Ponto de extremidade local, Certificado local, Ponto de extremidade remoto, Certificado remoto, Informações criptográficas, Informações de associação de segurança, Informações adicionais e Informações do modo estendido.4982 Foram estabelecidas associações de segurança do Modo Principal IPsec e do Modo Estendido.
Este evento fornece dados de auditoria de eventos nas seguintes categorias: Ponto de extremidade local, Certificado local, Ponto de extremidade remoto, Certificado remoto, Informações criptográficas, Informações de associação de segurança, Informações adicionais, Ponto de extremidade local do modo estendido, Ponto de extremidade remoto do modo estendido e Informações adicionais do modo estendido.4983 Falha na negociação do Modo Estendido IPsec. A associação de segurança do Modo Principal correspondente foi excluída.
Esse evento fornece dados de auditoria de eventos nas seguintes categorias: Ponto de extremidade local, Certificado local, Ponto de extremidade remoto, Certificado remoto e Informações de falha.4984 Falha na negociação do Modo Estendido IPsec. A associação de segurança do Modo Principal correspondente foi excluída.
Esse evento fornece dados de auditoria de eventos nas seguintes categorias: Ponto de extremidade local, Ponto de extremidade remoto, Informações adicionais e Informações de falha.Volume de eventos: alto.
Padrão: Sem auditoria.
Expandir a política de Auditoria do Modo Principal IPsec
A política Auditoria do Modo Principal IPsec determina se o SO gera eventos de auditoria para os resultados do protocolo IKE e AuthIP durante as negociações no Modo Rápido. Como o IKE, o AuthIP suporta negociação do Modo Principal e do Modo Rápido.
A negociação IKE do modo principal estabelece um canal seguro, conhecido como associação de segurança ISAKMP (Internet Security Association and Key Management Protocol), entre dois computadores. Para estabelecer o canal seguro, a negociação do Modo Principal determina um conjunto de pacotes de proteção criptográfica, troca material de chaveamento para estabelecer a chave secreta compartilhada e autentica identidades de computador.
ID do Evento Mensagem do evento 4646 ID de segurança: %1. 4650 Foi estabelecida uma associação de segurança do Modo Principal IPsec. O Modo Estendido não estava habilitado. A autenticação de certificado não foi usada. 4651 Foi estabelecida uma associação de segurança do Modo Principal IPsec. O Modo Estendido não estava habilitado. Um certificado foi usado para autenticação. 4652 Falha na negociação do Modo Principal IPsec.
Esse evento de auditoria retorna dados de auditoria detalhados nas seguintes categorias: Ponto de extremidade local, Certificado local, Ponto de extremidade remoto, Certificado remoto, Informações adicionais e Informações de falha.4653 Falha na negociação do Modo Principal IPsec.
Esse evento de auditoria retorna dados de auditoria detalhados nas seguintes categorias: Ponto de extremidade local, Ponto de extremidade remoto, Informações adicionais e Informações de falha.4655 Uma associação de segurança do Modo Principal IPsec terminou. 4976 Durante a negociação do Modo Principal, o IPsec recebeu um pacote de negociação inválido. Se esse problema persistir, isso pode indicar um problema de rede ou uma tentativa de modificar ou reproduzir essa negociação. 5049 Uma associação de segurança IPsec foi excluída. 5453 Uma negociação IPsec com um computador remoto falhou porque o serviço IKE e AuthIP IPsec Keying Modules (IKEEXT) não foi iniciado. Volume de eventos: alto.
Padrão: Sem auditoria.
Expanda a Política de Auditoria do Modo Rápido IPsec
A política de Auditoria do Modo Rápido do IPsec determina se o sistema operativo gera eventos de auditoria para os resultados do protocolo IKE e AuthIP durante as negociações do Modo Rápido. Como o IKE, o AuthIP suporta negociação do Modo Principal e do Modo Rápido.
Modo Rápido (também conhecido como Fase 2) A negociação IKE estabelece um canal seguro entre dois computadores para proteger os dados. O Modo Rápido cria associações de segurança IPsec, que são acordos entre computadores sobre como proteger o tráfego de rede. Essas associações são negociadas pelo serviço IPsec.
Durante o Modo Rápido, o material de chaveamento é atualizado ou, se necessário, novas chaves são geradas. Um conjunto de proteção que protege o tráfego IP especificado também é selecionado. Um conjunto de proteção é um conjunto definido de integridade de dados ou configurações de criptografia de dados. O Modo Rápido não é considerado uma troca completa porque depende de uma troca do Modo Principal.
ID do Evento Mensagem do evento 4977 Durante a negociação do Modo Rápido, o IPsec recebeu um pacote de negociação inválido. Se esse problema persistir, isso pode indicar um problema de rede ou uma tentativa de modificar ou reproduzir essa negociação. 5451 Foi estabelecida uma associação de segurança do Modo Rápido IPsec. 5452 Uma associação de segurança do Modo Rápido IPsec terminou. Volume de eventos: alto.
Padrão: Sem auditoria.
Expandir a política de Logoff de auditoria
A política de Logoff de Auditoria determina se o SO gera eventos de auditoria quando as sessões de logon são encerradas. Esses eventos ocorrem no computador que foi acessado. Quando ocorre um logon interativo, esses eventos são gerados no computador no qual fez logon.
Note
Não há nenhum evento de erro nesta subcategoria porque os logoffs malsucedidos (como quando um sistema é desligado abruptamente) não geram um registo de auditoria.
Os eventos de logon são essenciais para entender a atividade do usuário e detetar possíveis ataques. Os eventos de logoff não são 100% confiáveis. Por exemplo, o computador pode ser desligado sem uma terminação de sessão e desligamento adequados; nesse caso, um evento de terminação de sessão não é gerado.
ID do Evento Mensagem do evento 4634 Uma conta foi desconectada. 4647 Logoff iniciado pelo utilizador. Volume de eventos: Baixo.
Padrão: Sucesso.
Expandir política de início de sessão de auditoria
A política de Logon de Auditoria determina se o SO gera eventos de auditoria quando um usuário tenta entrar em um computador.
Esses eventos estão relacionados à criação de sessões de login e ocorrem no computador que foi acessado. Para um logon interativo, os eventos são gerados no computador no qual fez logon. Para um logon de rede, como acessar um compartilhamento, os eventos são gerados no computador que hospeda o recurso que foi acessado. Os eventos de logon são essenciais para rastrear a atividade do usuário e detetar possíveis ataques. São registados os seguintes eventos:
- Sucesso e falha de logon.
- Tentativas de logon usando credenciais explícitas. Esse evento é gerado quando um processo tenta entrar em uma conta especificando explicitamente as credenciais dessa conta. Isso ocorre mais comumente em configurações de lote, como tarefas agendadas, ou ao usar o
runascomando.
ID do Evento Mensagem do evento 4624 Uma conta foi conectada com êxito. 4625 Falha ao fazer logon de uma conta. 4648 Foi tentado um logon usando credenciais explícitas. 4675 Os SIDs foram filtrados. Volume de eventos: baixo em um computador cliente. Médio em um controlador de domínio ou servidor de rede.
Padrão: sucesso para computadores cliente. Sucesso e Fracasso para servidores.
Expanda a política do Servidor de Auditoria de Políticas de Rede
A política Servidor de Políticas de Rede de Auditoria determina se o SO gera eventos de auditoria para a atividade RADIUS (IAS) e Proteção de Acesso à Rede (NAP) em solicitações de acesso do usuário. Estes pedidos são os seguintes:
Grant
Deny
Discard
Quarantine
Lock
Unlock
Os eventos NAP podem ser usados para ajudar a entender a integridade geral da rede.
ID do Evento Mensagem do evento 6272 O Servidor de Políticas de Rede concedeu acesso a um utilizador. 6273 O Servidor de Políticas de Rede negou o acesso a um utilizador. 6274 O Servidor de Políticas de Rede descartou a solicitação para um usuário. 6275 O Servidor de Políticas de Rede descartou a solicitação de contabilidade para um usuário. 6276 O Servidor de Políticas de Rede colocou um utilizador em quarentena. 6277 O Servidor de Políticas de Rede concedeu acesso a um usuário, mas o colocou em liberdade condicional porque o host não atendeu à diretiva de integridade definida. 6278 O Servidor de Políticas de Rede concedeu acesso total a um usuário porque o host atendeu à diretiva de integridade definida. 6279 O Servidor de Políticas de Rede bloqueou a conta de utilizador devido a repetidas tentativas de autenticação falhadas. 6280 O Servidor de Políticas de Rede desbloqueou a conta de utilizador. Volume de eventos: Médio ou Alto em servidores NPS e IAS. Moderado em outros servidores ou em computadores cliente.
Padrão: Sucesso e Fracasso.
Expandir a política de Auditoria de Outros Eventos de Logon/Logoff
A política Auditar Outros Eventos de Logon/Logoff determina se o Windows gera eventos de auditoria para outros eventos de logon ou logoff. Esses outros eventos de logon ou logoff incluem:
Uma sessão de Ambiente de Trabalho Remoto liga-se ou desliga-se.
Uma estação de trabalho está bloqueada ou desbloqueada.
A proteção de tela é ativada ou desativada.
Um ataque de repetição é detetado. Esse evento indica que uma solicitação Kerberos foi recebida duas vezes com informações idênticas. Uma configuração incorreta da rede também pode causar isso.
Um usuário recebe acesso a uma rede sem fio. Pode ser uma conta de utilizador ou a conta de computador.
Um usuário recebe acesso a uma rede 802.1x com fio. Pode ser uma conta de utilizador ou a conta de computador.
ID do Evento Mensagem do evento 4649 Um ataque de repetição foi detetado. 4778 Uma sessão foi reconectada a uma Estação de Janelas. 4779 Uma sessão foi desconectada de uma estação do Windows. 4800 A estação de trabalho estava bloqueada. 4801 A estação de trabalho foi desbloqueada. 4802 A proteção de tela foi invocada. 4803 O protetor de ecrã foi desativado. 5378 A delegação de credenciais solicitada foi recusada pelas políticas. 5632 Foi feita uma solicitação para autenticar em uma rede sem fio. 5633 Foi feito um pedido de autenticação numa rede com fios. Volume de eventos: Baixo.
Padrão: Sem auditoria.
Expandir a política de Início de Sessão Especial de Auditoria
A política de Logon Especial de Auditoria determina se o SO gera eventos de auditoria em circunstâncias especiais de logon (ou logon). Esta definição de política de segurança determina se o SO gera eventos de auditoria quando:
Um logon especial é usado. Um logon especial é um logon que tem privilégios equivalentes ao administrador e pode ser usado para elevar um processo a um nível mais alto.
Um membro de um grupo especial inicia sessão. Grupos Especiais é um recurso do Windows que permite ao administrador descobrir quando um membro de um determinado grupo fez logon. O administrador pode definir uma lista de identificadores de segurança de grupo (SIDs) no Registro. Se qualquer um desses SIDs for adicionado a um token durante o logon e essa subcategoria de auditoria estiver habilitada, um evento de segurança será registrado.
Os usuários que possuem privilégios especiais podem potencialmente fazer alterações no sistema. Recomendamos que monitore a sua atividade.
ID do Evento Mensagem do evento 4964 Grupos especiais foram atribuídos a um novo logon. Volume de eventos: Baixo
Padrão: Sucesso
Acesso a objetos
As configurações de diretiva de Acesso a Objetos e os eventos de auditoria permitem rastrear tentativas de acessar objetos ou tipos de objetos específicos em uma rede ou computador. Para auditar tentativas de acesso a um arquivo, diretório, chave do Registro ou qualquer outro objeto, você deve habilitar a subcategoria de auditoria de Acesso a Objetos apropriada para eventos de sucesso e/ou falha. Por exemplo, a subcategoria Sistema de Arquivos precisa ser habilitada para auditar operações de arquivo e a subcategoria Registro precisa ser habilitada para auditar acessos ao Registro. Esta categoria inclui as seguintes subcategorias:
Expandir política gerada pelo aplicativo de auditoria
A política Aplicativo de Auditoria Gerado determina se o SO gera eventos de auditoria quando os aplicativos tentam usar as interfaces de programação de aplicativos (APIs) de Auditoria do Windows.
Os seguintes eventos podem gerar atividade de auditoria:
Criação, exclusão ou inicialização de um contexto de cliente de aplicativo
Operações de aplicação
Os aplicativos projetados para usar as APIs de Auditoria do Windows podem usar essa subcategoria para registrar eventos de auditoria relacionados a essas APIs. O nível, o volume, a relevância e a importância desses eventos de auditoria dependem do aplicativo que os gera. O SO regista os eventos à medida que são gerados pela aplicação.
ID do Evento Mensagem do evento 4665 Foi feita uma tentativa de criar um contexto de cliente de aplicativo. 4666 Um aplicativo tentou uma operação. 4667 Um contexto de cliente de aplicativo foi excluído. 4668 Um aplicativo foi inicializado. - Volume de eventos: varia de acordo com o uso da Auditoria do Windows pelo aplicativo instalado
Expandir a política de Serviços de Certificação de Auditoria
A política dos Serviços de Certificação de Auditoria determina se o SO gera eventos quando as operações dos Serviços de Certificados do Ative Directory (AD CS) são executadas. O monitoramento desses eventos operacionais é importante para garantir que os serviços de função do AD CS estejam funcionando corretamente. Exemplos de operações do AD CS incluem:
O AD CS é iniciado, desligado, submetido a backup ou restaurado.
As tarefas relacionadas à lista de revogação de certificados (CRL) são executadas.
Os certificados são solicitados, emitidos ou revogados.
As configurações do gerenciador de certificados para AD CS são alteradas.
A configuração e as propriedades da autoridade de certificação (CA) são alteradas.
Os modelos do AD CS são modificados.
Os certificados são importados.
Um certificado de autoridade de certificação é publicado nos Serviços de Domínio Active Directory.
As permissões de segurança para os serviços de funções do AD CS foram alteradas.
As chaves são arquivadas, importadas ou recuperadas.
O Serviço de Resposta OCSP é iniciado ou interrompido.
ID do Evento Mensagem do evento 4868 O gerente de certificados negou uma solicitação de certificado pendente. 4869 Os Serviços de Certificados receberam uma solicitação de certificado reenviada. 4870 Os Serviços de Certificados revogaram um certificado. 4871 Os Serviços de Certificados receberam uma solicitação para publicar a lista de revogação de certificados (CRL). 4872 Os Serviços de Certificados publicaram a lista de revogação de certificados (CRL). 4873 Uma extensão de solicitação de certificado foi alterada. 4874 Um ou mais atributos de solicitação de certificado foram alterados. 4875 Os Serviços de Certificados receberam um pedido de encerramento. 4876 Backup dos Serviços de Certificados iniciado. 4877 Backup dos Serviços de Certificados concluído. 4878 Restauração dos Serviços de Certificados iniciada. 4879 Restauração dos Serviços de Certificados concluída. 4880 Os Serviços de Certificados foram iniciados. 4881 Os Serviços de Certificados pararam. 4882 As permissões de segurança para os Serviços de Certificados foram alteradas. 4883 Os Serviços de Certificados recuperaram uma chave arquivada. 4884 Os Serviços de Certificados importaram um certificado para seu banco de dados. 4885 O filtro de auditoria dos Serviços de Certificados foi alterado. 4886 Os Serviços de Certificados receberam uma solicitação de certificado. 4887 Os Serviços de Certificados aprovaram uma solicitação de certificado e emitiram um certificado. 4888 Os Serviços de Certificados negaram uma solicitação de certificado. 4889 Os Serviços de Certificados definem o status de uma solicitação de certificado como pendente. 4890 As configurações do gerenciador de certificados para Serviços de Certificados foram alteradas. 4891 Uma entrada de configuração foi alterada nos Serviços de Certificados. 4892 Uma propriedade dos Serviços de Certificados foi alterada. 4893 Os Serviços de Certificados arquivaram uma chave. 4894 Os Serviços de Certificados importaram e arquivaram uma chave. 4895 Os Serviços de Certificados publicaram o certificado da autoridade de certificação nos Serviços de Domínio Ative Directory. 4896 Uma ou mais linhas foram excluídas do banco de dados de certificados. 4897 Separação de funções habilitada. 4898 Os Serviços de Certificados carregaram um modelo. - Volume de eventos: Médio ou Baixo em servidores que hospedam serviços do AD CS
Expanda a política de compartilhamento de arquivos detalhado de auditoria
A política Auditoria de Compartilhamento de Arquivos Detalhado permite auditar tentativas de acesso a arquivos e pastas numa pasta compartilhada. A configuração Compartilhamento detalhado de arquivos registra um evento sempre que um arquivo ou pasta é acessado, enquanto a configuração Compartilhamento de arquivos registra apenas um evento para qualquer conexão estabelecida entre um computador cliente e o compartilhamento de arquivos. Os eventos de auditoria detalhados de Compartilhamento de Arquivos incluem informações detalhadas sobre as permissões ou outros critérios usados para conceder ou negar acesso.
Note
As pastas compartilhadas não têm SACLs. Quando você habilita essa configuração de política, todo o acesso a arquivos e pastas compartilhados no sistema é auditado.
ID do Evento Mensagem do evento 5145 Um objeto de compartilhamento de rede foi verificado para ver se o cliente pode receber o acesso desejado. - Volume de eventos: alto em um servidor de arquivos ou controlador de domínio devido ao acesso à rede SYSVOL exigido pela Diretiva de Grupo
Expanda a política de compartilhamento de arquivos de auditoria
A política de Compartilhamento de Arquivos de Auditoria determina se o SO gera eventos de auditoria quando um compartilhamento de arquivos é acessado. Os eventos de auditoria não são gerados quando os compartilhamentos são criados, excluídos ou quando as permissões de compartilhamento são alteradas. Combinada com a auditoria do sistema de arquivos, a auditoria de compartilhamento de arquivos permite rastrear qual conteúdo foi acessado, a origem (endereço IP e porta) da solicitação e a conta de usuário usada para o acesso.
Note
Não existem SACLs para compartilhamentos; assim, quando esta configuração for ativada, o acesso a todos os compartilhamentos no sistema será auditado.
ID do Evento Mensagem do evento 5140 Um objeto de compartilhamento de rede foi acessado.
Esse evento é registrado em computadores que executam o Windows Server 2008 R2, Windows Server 2008, Windows 7 ou Windows Vista.5142 Um objeto de compartilhamento de rede foi adicionado. 5143 Um objeto de compartilhamento de rede foi modificado. 5144 Um objeto de compartilhamento de rede foi excluído. 5168 Falha na verificação SPN para SMB/SMB2. - Volume de eventos: alto em um servidor de arquivos ou controlador de domínio devido ao acesso à rede SYSVOL exigido pela Diretiva de Grupo.
Expanda a política do Sistema de Arquivos de Auditoria
A política Sistema de Arquivos de Auditoria determina se o sistema operacional gera eventos de auditoria quando os usuários tentam acessar objetos do sistema de arquivos. Os eventos de auditoria são gerados somente para objetos que configuraram SACLs e somente se o tipo de acesso solicitado (como Gravar, Ler ou Modificar) e a conta que faz a solicitação corresponderem às configurações na SACL.
Se a auditoria bem-sucedida estiver habilitada, uma entrada de auditoria será gerada sempre que qualquer conta acessar com êxito um objeto do sistema de arquivos que tenha uma SACL correspondente. Se a auditoria de falha estiver habilitada, uma entrada de auditoria será gerada sempre que qualquer usuário tentar, sem êxito, acessar um objeto do sistema de arquivos que tenha uma SACL correspondente. Esses eventos são essenciais para rastrear a atividade de objetos de arquivo que são confidenciais ou valiosos e exigem monitoramento extra.
ID do Evento Mensagem do evento 4664 Foi feita uma tentativa de criar uma ligação física. 4985 O estado de uma transação mudou. 5051 Um arquivo foi virtualizado. - Volume do evento: varia dependendo de como as SACLs do sistema de arquivos são configuradas.
Expandir a política de Conexão da Plataforma de Filtragem de Auditoria
A política de Conexão da Plataforma de Filtragem de Auditoria determina se o SO gera eventos de auditoria quando as conexões são permitidas ou bloqueadas pela Plataforma de Filtragem do Windows. A Plataforma de Filtragem do Windows (WFP) foi introduzida no Windows Server 2008 e no Windows Vista. Ele permite que fornecedores independentes de software (ISVs) filtrem e modifiquem pacotes TCP/IP, monitorem ou autorizem conexões, filtrem tráfego protegido por IPsec (Internet Protocol security) e filtrem RPCs. Esta política de segurança permite-lhe auditar os seguintes tipos de ações:
O serviço Firewall do Windows impede que um aplicativo aceite conexões de entrada na rede.
A Plataforma de Filtragem do Windows permite ou bloqueia uma ligação.
A Plataforma de Filtragem do Windows permite ou bloqueia uma ligação a uma porta local.
A Plataforma de Filtragem do Windows permite ou bloqueia uma aplicação ou serviço de escutar conexões de entrada em uma porta.
ID do Evento Mensagem do evento 5031 O Serviço de Firewall do Windows bloqueou um aplicativo de aceitar conexões de entrada na rede. 5140 Um objeto de compartilhamento de rede foi acessado.
Este evento é registado apenas em computadores com as versões suportadas do sistema operativo da Windows, conforme indicado na lista de Aplicação.5150 A Plataforma de Filtragem do Windows bloqueou um pacote. 5151 Um filtro mais restritivo da Plataforma de Filtragem do Windows bloqueou um pacote. 5154 A Plataforma de Filtragem do Windows permitiu que um aplicativo ou serviço escutasse conexões de entrada em uma porta. 5155 A Plataforma de Filtragem do Windows bloqueou uma aplicação ou serviço de escutar numa porta para conexões de entrada. 5156 A Plataforma de Filtragem do Windows permitiu uma conexão. 5157 A Plataforma de Filtragem do Windows bloqueou uma ligação. 5158 A Plataforma de Filtragem do Windows permitiu uma ligação a uma porta local. 5159 A Plataforma de Filtragem do Windows bloqueou uma ligação a uma porta local. - Volume de eventos: alto.
Expanda a política de Eliminação de Pacotes da Plataforma de Filtragem de Auditoria
A política de Eliminação de Pacotes da Plataforma de Filtragem de Auditoria determina se o SO gera eventos de auditoria quando os pacotes são descartados pela Plataforma de Filtragem do Windows. A Plataforma de Filtragem do Windows (WFP) foi introduzida no Windows Server 2008 e no Windows Vista. O WFP permite que fornecedores independentes de software (ISVs) filtrem e modifiquem pacotes TCP/IP, monitorem ou autorizem conexões, filtrem tráfego protegido por IPsec (Internet Protocol Security) e filtrem RPCs. Uma alta taxa de pacotes descartados pode indicar que houve tentativas de obter acesso não autorizado a computadores na rede.
ID do Evento Mensagem do evento 5152 A Plataforma de Filtragem do Windows bloqueou um pacote. 5153 Um filtro mais restritivo da Plataforma de Filtragem do Windows bloqueou um pacote. - Volume de eventos: alto.
Expandir política de manipulação de identificador de auditoria
A política de manipulação de identificador de auditoria determina se o sistema operacional gera eventos de auditoria quando um identificador para um objeto é aberto ou fechado. Somente objetos com SACLs configuradas geram esses eventos, e apenas se a operação de manuseamento tentada corresponder à SACL.
Note
Os eventos de manipulação de identificador são gerados apenas para tipos de objeto em que a subcategoria correspondente de Sistema de Arquivos ou Acesso a Objetos do Registro está habilitada. Consulte as políticas Sistema de Arquivos de Auditoria ou Registro de Auditoria .
ID do Evento Mensagem do evento 4656 Foi solicitado um identificador para um objeto. 4658 A alça de um objeto foi fechada. 4690 Tentou-se duplicar um identificador para um objeto. - Volume do evento: varia de acordo com a configuração das SACLs.
Expanda a política de Objeto do Kernel de Auditoria
A política Audit Kernel Object determina se o SO gera eventos de auditoria quando os usuários tentam acessar o kernel do sistema, que inclui mutexes e semáforos. Somente objetos do kernel com uma SACL correspondente geram eventos de auditoria de segurança. As auditorias geradas são úteis apenas para desenvolvedores. Normalmente, os objetos do kernel recebem SACLs somente se as opções de auditoria AuditBaseObjects ou AuditBaseDirectories estiverem habilitadas.
Note
A configuração de política Auditoria: Auditar o acesso aos objetos globais do sistema controla a SACL padrão de objetos do núcleo.
ID do Evento Mensagem do evento 4659 Um identificador para um objeto foi solicitado com a intenção de eliminar. 4660 Um objeto foi excluído. 4661 Foi solicitado um identificador para um objeto. 4663 Foi feita uma tentativa de aceder a um objeto. - Volume de eventos: alto se o acesso de auditoria de objetos globais do sistema estiver habilitado.
Expandir a política de Eventos de Acesso a Outros Objetos de Auditoria
A política Auditar Outros Eventos de Acesso a Objetos determina se o SO gera eventos de auditoria para o gerenciamento de trabalhos do Agendador de Tarefas ou objetos COM+.
Para trabalhos do agendador, as seguintes ações são auditadas:
- Um trabalho é criado, excluído, habilitado, desabilitado ou atualizado.
Para objetos COM+, as seguintes ações são auditadas:
- Um objeto de catálogo é adicionado, excluído ou atualizado.
ID do Evento Mensagem do evento 4671 Uma aplicação tentou aceder a um ordinal bloqueado através do TBS. 4691 Foi solicitado acesso indireto a um objeto. 4698 Uma tarefa agendada foi criada. 4699 Uma tarefa agendada foi excluída. 4700 Uma tarefa agendada foi habilitada. 4701 Uma tarefa agendada foi desativada. 4702 Uma tarefa agendada foi atualizada. 5148 A Plataforma de Filtragem do Windows detetou um ataque DoS e entrou em modo defensivo; Os pacotes associados a este ataque serão descartados.
Este evento é registado apenas em computadores com as versões suportadas do sistema operativo Windows.5149 O ataque DoS diminuiu e o processamento normal está sendo retomado.
Este evento é registado apenas em computadores com as versões suportadas do sistema operativo Windows.5888 Um objeto no catálogo COM+ foi modificado. 5889 Um objeto foi excluído do catálogo COM+. 5890 Um objeto foi adicionado ao catálogo COM+. - Volume de eventos: Baixo.
Expandir política do Registro de Auditoria
A política de Registro de Auditoria determina se o SO gera eventos de auditoria quando os usuários tentam acessar objetos do Registro. Os eventos de auditoria são gerados somente para objetos que configuraram SACLs especificadas e somente se o tipo de acesso solicitado (como Gravar, Ler ou Modificar) e a conta que faz a solicitação corresponderem às configurações na SACL.
Se a auditoria bem-sucedida estiver habilitada, uma entrada de auditoria será gerada sempre que qualquer conta acessar com êxito um objeto do Registro que tenha uma SACL correspondente. Se a auditoria de falha estiver habilitada, uma entrada de auditoria será gerada sempre que qualquer usuário tentar, sem êxito, acessar um objeto do Registro que tenha uma SACL correspondente.
ID do Evento Mensagem do evento 4657 Um valor de registro foi modificado. 5039 Uma chave do Registro foi virtualizada. - Volume do evento: varia de acordo com a configuração das SACLs do Registro.
Expandir política de Auditoria de Armazenamento Removível
A política de Auditoria de Armazenamento Removível determina se o sistema operativo gera eventos de auditoria quando os usuários tentam acessar objetos do sistema de arquivos em dispositivos de armazenamento removível. Os eventos de auditoria são gerados para todos os tipos de acesso a qualquer objeto no armazenamento removível.
Quando essa política é habilitada, um evento de auditoria é registrado sempre que uma conta acessa um objeto do sistema de arquivos em um dispositivo de armazenamento removível. As auditorias bem-sucedidas capturam tentativas de acesso bem-sucedidas, enquanto as auditorias de falha capturam tentativas malsucedidas. Se essa política não estiver configurada, nenhum evento de auditoria será gerado para acesso a objetos do sistema de arquivos em dispositivos de armazenamento removíveis.
ID do Evento Mensagem do evento 4656 Foi solicitado um identificador para um objeto. 4658 A alça de um objeto foi fechada. 4663 Foi feita uma tentativa de aceder a um objeto. Expandir política de auditoria SAM
O SAM de auditoria, que permite auditar eventos gerados por tentativas de acessar objetos SAM. O SAM é um banco de dados presente em computadores que executam sistemas operacionais Windows que armazena contas de usuário e descritores de segurança para usuários no computador local. Os objetos SAM incluem:
SAM_ALIAS: Um grupo local
SAM_GROUP: Um grupo que não é um grupo local
SAM_USER: Uma conta de utilizador
SAM_DOMAIN: Um domínio
SAM_SERVER: Uma conta de computador
Se você definir essa configuração de política, um evento de auditoria será gerado quando um objeto SAM for acessado. As auditorias bem-sucedidas registram tentativas bem-sucedidas e as auditorias de falha registram tentativas malsucedidas. Apenas a SACL para SAM_SERVER pode ser modificada.
As alterações nos objetos de usuário e grupo são controladas pela categoria de auditoria Gestão de Contas. No entanto, contas de usuário com privilégios suficientes podem potencialmente alterar os arquivos nos quais as informações de conta e senha são armazenadas no sistema, ignorando quaisquer eventos de Gerenciamento de Conta.
ID do Evento Mensagem do evento 4659 Um identificador para um objeto foi solicitado com a intenção de eliminar. 4660 Um objeto foi excluído. 4661 Foi solicitado um identificador para um objeto. 4663 Foi feita uma tentativa de aceder a um objeto. - Volume de eventos: alto em controladores de domínio.
Expandir Política de Preparo da Política de Acesso Central de Auditoria
A política de Preparo da Política de Acesso Central de Auditoria permite a auditoria de tentativas de acesso em que as permissões concedidas ou negadas por uma política de acesso central proposta diferem daquelas da política atual em um objeto. Quando essa política é configurada, um evento de auditoria é gerado cada vez que um usuário acessa um objeto e as permissões concedidas pela política de acesso central atual diferem daquelas concedidas pela política proposta. Os eventos de auditoria são gerados da seguinte forma:
Auditorias bem-sucedidas (quando habilitadas) de tentativas de acesso ao log em que a política atual concede acesso, mas a política proposta o negaria.
Auditorias de falha (quando habilitadas) tentativas de acesso ao log nestes cenários:
A política atual não concede acesso, mas a política proposta o concederia.
Um responsável principal solicita os seus direitos de acesso máximos permitidos, e os direitos concedidos pela política atual diferem dos concedidos pela política proposta.
ID do Evento Mensagem do evento 4818 A Política de Acesso Central proposta não concede as mesmas permissões de acesso que a Política de Acesso Central atual. Volume de eventos: potencialmente alto em um servidor de arquivos quando a política proposta difere significativamente da política de acesso central atual.
Padrão: Sem auditoria.
Mudança de política
Os eventos de auditoria de Alteração de Política permitem controlar alterações em políticas de segurança importantes em um sistema ou rede local. Como as políticas geralmente são estabelecidas por administradores para ajudar a proteger os recursos da rede, monitorar alterações ou tentativas de alterar essas políticas pode ser um aspeto importante do gerenciamento de segurança de uma rede. Esta categoria inclui as seguintes subcategorias:
Expandir política de alteração da política de auditoria
A política de Alteração da Política de Auditoria determina se o SO gera eventos de auditoria quando são feitas alterações na política de auditoria. As alterações à política de auditoria são eventos de segurança críticos. As alterações à política de auditoria auditadas incluem:
Alterar permissões e configurações de auditoria no objeto de política de auditoria (usando
auditpol /set /sd).Alterar a política de auditoria do sistema.
Registrar e cancelar o registro de fontes de eventos de segurança.
Alterar as configurações de auditoria por usuário.
Alterar o valor de CrashOnAuditFail.
Alterar qualquer coisa na lista de Grupos Especiais.
Alterar as configurações de auditoria em um objeto (por exemplo, modificar a SACL de um arquivo ou chave do Registro).
Note
A auditoria de alterações da SACL é executada quando uma SACL de um objeto é alterada e a categoria Alteração de Política é configurada. A lista de controle de acesso discricionário (DACL) e a auditoria de alteração de proprietário são executadas quando a auditoria de Acesso a Objeto é configurada e a SACL do objeto é definida para auditoria da DACL ou alteração de proprietário.
ID do Evento Mensagem do evento 4715 A política de auditoria (SACL) em um objeto foi alterada. 4719 A política de auditoria do sistema foi alterada. 4817 As configurações de auditoria em um objeto foram alteradas.
Este evento é registado apenas em computadores com as versões suportadas do sistema operativo Windows.4902 A tabela de política de auditoria por usuário foi criada. 4904 Foi feita uma tentativa de registar uma fonte de evento de segurança. 4905 Tentou-se cancelar o registo de uma fonte de evento de segurança. 4906 O valor CrashOnAuditFail foi alterado. 4907 As configurações de auditoria no objeto foram alteradas. 4908 Tabela de logon de grupos especiais modificada. 4912 A Política de Auditoria por Usuário foi alterada. Volume de eventos: Baixo.
Padrão: Sucesso.
Expandir Política de Autenticação de Auditoria Alterar política
A política de Alteração da Política de Autenticação de Auditoria determina se o SO gera eventos de auditoria quando são feitas alterações na política de autenticação. Essa configuração é útil para controlar alterações na confiança e nos privilégios no nível do domínio e da floresta concedidos a contas ou grupos de usuários. As alterações feitas na política de autenticação incluem:
Criação, modificação e remoção de trusts de floresta e de domínios.
Alterações na diretiva Kerberos em Configuração do Computador\Configurações do Windows\Configurações de Segurança\Políticas de Conta\Diretiva Kerberos.
Note
O evento de auditoria é registrado quando a política é aplicada, não quando as configurações são modificadas pelo administrador.
Quando qualquer um dos seguintes direitos de utilizador é concedido a um utilizador ou grupo:
Aceda a este computador a partir da rede.
Permitir logon localmente.
Permitir o início de sessão através do Ambiente de Trabalho Remoto.
Inicie sessão como um processo em lote.
Logon como um serviço.
Colisão de namespace, como quando uma confiança adicionada colide com um nome de namespace existente.
ID do Evento Mensagem do evento 4713 A política Kerberos foi alterada. 4716 As informações de domínio confiável foram modificadas. 4717 O acesso de segurança do sistema foi concedido a uma conta. 4718 O acesso à segurança do sistema foi removido de uma conta. 4739 A Política de Domínio foi alterada. 4864 Foi detetada uma colisão de namespace. 4865 Foi adicionada uma entrada de informações florestais fidedignas. 4866 Uma entrada de dados florestais confiáveis foi removida. 4867 Uma entrada de informações de floresta confiável foi modificada. Volume de eventos: Baixo.
Padrão: Sucesso.
Expandir Política de Autorização de Auditoria Alterar política
A política de Alteração da Política de Autorização de Auditoria determina se o SO gera eventos de auditoria quando são feitas alterações específicas à política de autorização. As alterações na política de autorização que podem ser auditadas incluem:
Atribuir ou remover direitos de usuário (privilégios), como SeCreateTokenPrivilege, exceto para os direitos de acesso ao sistema que são auditados usando a subcategoria Alteração da Política de Autenticação de Auditoria .
Alterar a política do Sistema de Arquivos com Criptografia (EFS).
ID do Evento Mensagem do evento 4704 Foi atribuído um direito de utilizador. 4705 Um direito de usuário foi removido. 4706 Uma nova relação de confiança foi criada para um domínio. 4707 Uma relação de confiança para um domínio foi removida. 4714 A política de recuperação de dados criptografados foi alterada. Volume de eventos: Baixo.
Padrão: Sem auditoria.
Expandir política de alteração na política da plataforma de filtragem de auditoria
A política de Alteração de Política da Plataforma de Filtragem de Auditoria determina se o SO gera eventos de auditoria para determinadas ações IPsec e Plataforma de Filtragem do Windows. A Plataforma de Filtragem do Windows (WFP) permite que fornecedores independentes de software (ISVs) filtrem e modifiquem pacotes TCP/IP, monitorem ou autorizem conexões, filtrem tráfego protegido por IPsec (Internet Protocol security) e filtrem RPCs. Esta definição de política de segurança determina se o SO gera eventos de auditoria para:
Status dos serviços IPsec.
Alterações nas configurações de IPsec.
Status e alterações no mecanismo e nos provedores da Plataforma de Filtragem do Windows.
Atividades de serviço do Agente de Política IPsec.
ID do Evento Mensagem do evento 4709 Serviços IPsec foram iniciados. 4710 Os Serviços IPsec foram desativados. 4711 Pode conter qualquer uma das seguintes mensagens:
- O mecanismo PAStore aplicou no computador a cópia em cache local da política IPsec de armazenamento do Active Directory.
- O mecanismo PAStore aplicou a diretiva IPsec de armazenamento do Ative Directory no computador.
- O mecanismo PAStore aplicou a diretiva IPsec de armazenamento do registro local no computador.
- O mecanismo PAStore não conseguiu aplicar a cópia em cache local da diretiva IPsec de armazenamento do Ative Directory no computador.
- O mecanismo PAStore não conseguiu aplicar a diretiva IPsec de armazenamento do Ative Directory no computador.
- O mecanismo PAStore não conseguiu aplicar a diretiva IPsec de armazenamento do registro local no computador.
- O mecanismo PAStore não conseguiu aplicar algumas regras da diretiva IPsec ativa no computador.
- O mecanismo PAStore falhou ao carregar a política IPsec de armazenamento do diretório no computador.
- O mecanismo PAStore carregou a política IPsec de armazenamento de diretório no computador.
- O mecanismo PAStore falhou ao carregar a diretiva IPsec de armazenamento local no computador.
- O mecanismo PAStore carregou a diretiva IPsec de armazenamento local no computador.
- O PAStore Engine pesquisou alterações na diretiva IPsec ativa e não detetou alterações.
4712 Os Serviços IPsec encontraram uma falha potencialmente grave. 5040 Foi feita uma alteração nas configurações de IPsec. Foi adicionado um Conjunto de Autenticação. 5041 Foi feita uma alteração nas configurações de IPsec. Um conjunto de autenticação foi modificado. 5042 Foi feita uma alteração nas configurações de IPsec. Um conjunto de autenticação foi excluído. 5043 Foi feita uma alteração nas configurações de IPsec. Foi adicionada uma Regra de Segurança de Ligação. 5044 Foi feita uma alteração nas configurações de IPsec. Uma Regra de Segurança de Conexão foi modificada. 5045 Foi feita uma alteração nas configurações de IPsec. Uma Regra de Segurança de Conexão foi excluída. 5046 Foi feita uma alteração nas configurações de IPsec. Um conjunto de ferramentas de criptografia foi adicionado. 5047 Foi feita uma alteração nas configurações de IPsec. Um conjunto de criptografia foi modificado. 5048 Foi feita uma alteração nas configurações de IPsec. Um conjunto de criptomoeda foi eliminado. 5440 A nota de aviso a seguir estava presente quando o Mecanismo de Filtragem Base da Plataforma de Filtragem do Windows se iniciou. 5441 O filtro a seguir estava presente quando o Mecanismo de Filtragem Base da Plataforma de Filtragem do Windows foi iniciado. 5442 Este provedor estava presente quando o Mecanismo de Filtragem Base da Plataforma de Filtragem do Windows foi iniciado. 5443 O seguinte contexto de provedor estava presente quando o Mecanismo de Filtragem Base da Plataforma de Filtragem do Windows foi iniciado. 5444 A subcamada a seguir estava presente quando o Mecanismo de Filtragem Base da Plataforma de Filtragem do Windows foi iniciado. 5446 Uma chamada da Plataforma de Filtragem do Windows foi alterada. 5448 Um provedor da Plataforma de Filtragem do Windows foi alterado. 5449 Um contexto de provedor da Plataforma de Filtragem do Windows foi alterado. 5450 Uma subcamada da Plataforma de Filtragem do Windows foi alterada. 5456 O mecanismo PAStore aplicou a diretiva IPsec de armazenamento do Ative Directory no computador. 5457 O mecanismo PAStore não conseguiu aplicar a diretiva IPsec de armazenamento do Ative Directory no computador. 5458 O mecanismo PAStore aplicou no computador a cópia em cache local da política IPsec de armazenamento do Active Directory. 5459 O mecanismo PAStore não conseguiu aplicar a cópia em cache local da diretiva IPsec de armazenamento do Ative Directory no computador. 5460 O mecanismo PAStore aplicou a diretiva IPsec de armazenamento do registro local no computador. 5461 O mecanismo PAStore não conseguiu aplicar a diretiva IPsec de armazenamento do registro local no computador. 5462 O mecanismo PAStore não conseguiu aplicar algumas regras da diretiva IPsec ativa no computador. Utilize o "Snap-in" Monitor de Segurança IP para diagnosticar o problema. 5463 O PAStore Engine pesquisou alterações na diretiva IPsec ativa e não detetou alterações. 5464 O PAStore Engine pesquisou alterações na diretiva IPsec ativa, detetou alterações e as aplicou aos Serviços IPsec. 5465 O PAStore Engine recebeu um controle para recarregamento forçado da diretiva IPsec e processou o controle com êxito. 5466 O PAStore Engine pesquisou alterações na diretiva IPsec do Ative Directory, determinou que o Ative Directory não pode ser acessado e usará a cópia em cache da diretiva IPsec do Ative Directory. Não foi possível aplicar quaisquer alterações feitas na política IPsec do Ative Directory desde a última sondagem. 5467 O PAStore Engine pesquisou alterações na diretiva IPsec do Ative Directory, determinou que o Ative Directory pode ser acessado e não encontrou alterações na política. A cópia em cache da diretiva IPsec do Ative Directory não está mais sendo usada. 5468 O PAStore Engine pesquisou alterações na diretiva IPsec do Ative Directory, determinou que o Ative Directory pode ser alcançado, encontrou alterações na diretiva e aplicou essas alterações. A cópia em cache da diretiva IPsec do Ative Directory não está mais sendo usada. 5471 O mecanismo PAStore carregou a diretiva IPsec de armazenamento local no computador. 5472 O mecanismo PAStore falhou ao carregar a diretiva IPsec de armazenamento local no computador. 5473 O mecanismo PAStore carregou a política IPsec de armazenamento de diretório no computador. 5474 O mecanismo PAStore falhou ao carregar a política IPsec de armazenamento do diretório no computador. 5477 O mecanismo PAStore não conseguiu adicionar um filtro de modo rápido. Volume de eventos: Baixo.
Padrão: Sem auditoria.
Expandir a política de alteração de política MPSSVC de auditoria Rule-Level
A política de Auditoria da Alteração de Política Rule-Level do MPSSVC determina se o sistema operativo gera eventos de auditoria quando são feitas alterações nas regras de política para o Serviço de Proteção da Microsoft (MPSSVC.exe).
O Serviço de Proteção da Microsoft, que é usado pelo Firewall do Windows, é parte integrante da proteção contra ameaças do computador contra ameaças ligadas à Internet, como cavalos de Troia e spyware. As atividades rastreadas incluem:
Políticas ativas quando o serviço Firewall do Windows é iniciado.
Alterações às regras do Firewall do Windows.
Alterações na lista de exceções do Firewall do Windows.
Alterações nas configurações do Firewall do Windows.
Regras ignoradas ou não aplicadas pelo serviço Firewall do Windows.
Alterações nas configurações da Diretiva de Grupo do Firewall do Windows.
As alterações nas regras de firewall são importantes para compreender o estado de segurança do computador e quão bem ele está protegido contra ataques de rede.
ID do Evento Mensagem do evento 4944 A política a seguir estava ativa quando o Firewall do Windows foi iniciado. 4945 Uma regra foi listada quando o Firewall do Windows foi iniciado. 4946 Foi feita uma alteração na lista de exceções do Firewall do Windows. Foi acrescentada uma regra. 4947 Foi feita uma alteração na lista de exceções do Firewall do Windows. Uma regra foi modificada. 4948 Foi feita uma alteração na lista de exceções do Firewall do Windows. Uma regra foi excluída. 4949 As configurações do Firewall do Windows foram restauradas para os valores padrão. 4950 Uma configuração do Firewall do Windows foi alterada. 4951 Uma regra foi ignorada porque seu número de versão principal não foi reconhecido pelo Firewall do Windows. 4952 Partes de uma regra foram ignoradas porque seu número de versão secundária não foi reconhecido pelo Firewall do Windows. As outras partes da regra serão aplicadas. 4953 Uma regra foi ignorada pelo Firewall do Windows porque não pôde analisá-la. 4954 As configurações da Diretiva de Grupo do Firewall do Windows foram alteradas. As novas configurações foram aplicadas. 4956 O Firewall do Windows alterou o perfil ativo. 4957 O Firewall do Windows não aplicou a seguinte regra. 4958 O Firewall do Windows não aplicou a regra a seguir porque a regra se referia a itens não configurados neste computador. Volume de eventos: Baixo.
Padrão: Sem auditoria.
Expandir a política Auditar Outros Eventos de Alteração de Política
A política Auditar Outros Eventos de Alteração de Política determina se o SO gera eventos de auditoria para alterações de política de segurança que não são auditadas na categoria Alteração de Política. Essas outras atividades na categoria Alteração de política que podem ser auditadas incluem:
Alterações de configuração do TPM (Trusted Platform Module).
Autotestes criptográficos em modo kernel.
Operações de provedor criptográfico.
Operações ou modificações de contexto criptográfico.
ID do Evento Mensagem do evento 4670 As permissões em um objeto foram alteradas. 4909 As configurações de política local para o TBS foram alteradas. 4910 As configurações de diretiva de grupo para o TBS foram alteradas. 5063 Foi tentada uma operação de provedor criptográfico. 5064 Foi tentada uma operação de contexto criptográfico. 5065 Foi tentada uma modificação do contexto criptográfico. 5066 Foi tentada uma operação criptográfica. 5067 Foi tentada uma modificação da função criptográfica. 5068 Foi tentada uma operação de provedor de função criptográfica. 5069 Foi tentada uma operação relacionada a uma propriedade de função criptográfica. 5070 Foi tentada uma modificação da propriedade da função criptográfica. 5447 Um filtro da Plataforma de Filtragem do Windows foi alterado. 6144 A política de segurança nos objetos de política de grupo foi aplicada com êxito. 6145 Ocorreu um ou mais erros durante o processamento da política de segurança nos objetos de política de grupo. Volume de eventos: Baixo.
Padrão: Sem auditoria.
Uso de privilégios
As permissões em uma rede são concedidas para que usuários ou computadores concluam tarefas definidas. As configurações de política de segurança do uso de privilégios e os eventos de auditoria permitem acompanhar o uso de determinadas permissões em um ou mais sistemas. Esta categoria inclui as seguintes subcategorias:
Expandir política de uso de privilégios não confidenciais de auditoria
A política de Uso de Privilégios Não Confidenciais de Auditoria determina se o SO gera eventos de auditoria quando privilégios não confidenciais (direitos de usuário) são usados. Os seguintes privilégios não são confidenciais:
Adicionar estações de trabalho ao domínio
Ajustar cotas de memória para um processo
Permitir início de sessão local
Permitir logon através dos Serviços de Terminal
Ignorar a verificação de atravessamento
Alterar a hora do sistema
Criar um arquivo de paginação
Criar objetos globais
Criar objetos partilhados permanentes
Criar ligações simbólicas
Recusar acesso a este computador à rede
Negar iniciar sessão como um trabalho em lote
Negar o início de sessão como um serviço
Negar o início de sessão local
Negar o início de sessão através dos Serviços de Terminal
Forçar o encerramento a partir de um sistema remoto
Aumentar o conjunto de trabalho de um processo
Aumentar a prioridade do agendamento
Bloquear páginas na memória
Iniciar a sessão como uma tarefa de lote
Iniciar a sessão como um serviço
Modificar uma etiqueta de objeto
Executar tarefas de manutenção do volume
Processo único de perfil
Desempenho do sistema do perfil
Remover o computador da estação de ancoragem
Encerrar o sistema
Sincronizar os dados do serviço de diretório
Se você definir essa configuração de política, um evento de auditoria será gerado quando um privilégio não confidencial for chamado. As auditorias bem-sucedidas registram tentativas bem-sucedidas e as auditorias de falha registram tentativas malsucedidas.
ID do Evento Mensagem do evento 4672 Privilégios especiais atribuídos ao novo início de sessão. 4673 Um serviço privilegiado foi chamado. 4674 Foi tentada uma operação a um objeto privilegiado. - Volume de eventos: Muito alto.
Expandir a política de eventos de uso de outros privilégios de auditoria
A política Auditar Outros Eventos de Uso de Privilégios não é usada.
Expandir política de uso de privilégios sensíveis à auditoria
A política de Uso de Privilégios Sensíveis de Auditoria determina se o SO gera eventos de auditoria quando privilégios confidenciais (direitos de usuário) são usados. As ações que podem ser auditadas incluem:
Um serviço privilegiado é chamado.
Um dos seguintes privilégios é denominado:
Atuar como parte do OS
Fazer backup de arquivos e diretórios
Criar um objeto de token
Depurar programas
Ative as contas de computador e de utilizador para serem confiáveis para delegação
Gerar auditorias de segurança
Impersonar um cliente após a autenticação
Carregar e descarregar controladores de dispositivo
Gerir o registo de auditoria e segurança
Modificar os valores do ambiente de firmware
Substitua um token no nível do processo
Restaurar ficheiros e diretórios
Obter a propriedade de ficheiros ou de outros objetos
Se você definir essa configuração de política, um evento de auditoria será gerado quando solicitações de privilégios confidenciais forem feitas. As auditorias bem-sucedidas registram tentativas bem-sucedidas e as auditorias de falha registram tentativas malsucedidas.
ID do Evento Mensagem do evento 4672 Privilégios especiais atribuídos ao novo início de sessão. 4673 Um serviço privilegiado foi chamado. 4674 Foi tentada uma operação a um objeto privilegiado. - Volume de eventos: alto.
System
As configurações de diretiva de segurança do sistema e os eventos de auditoria permitem que você acompanhe as alterações no nível do sistema em um computador que não estão incluídas em outras categorias e que têm possíveis implicações de segurança. Esta categoria inclui as seguintes subcategorias:
Expandir a política de auditoria do driver IPsec
A política Audit IPsec Driver determina se o sistema operativo gera eventos de auditoria para as atividades do driver IPsec. O driver IPsec, usando a Lista de Filtros IP da diretiva IPsec ativa, observa os pacotes IP de saída que devem ser protegidos e os pacotes IP de entrada que devem ser verificados e descriptografados. Esta configuração de diretiva de segurança relata as seguintes atividades do driver IPsec:
Inicialização e desligamento de serviços IPsec.
Os pacotes caíram devido a uma falha na verificação de integridade.
Os pacotes caíram devido a uma falha na verificação de replay.
Os pacotes foram descartados devido a estarem não encriptados.
Pacotes recebidos com um índice de parâmetros de segurança (SPI) incorreto. Isso pode indicar mau funcionamento do hardware ou problemas de interoperabilidade.
Falha ao processar filtros IPsec.
Uma alta taxa de quedas de pacotes pelo driver de filtro IPsec pode indicar tentativas de obter acesso à rede por sistemas não autorizados. A falha ao processar filtros IPsec representa um risco potencial de segurança porque algumas interfaces de rede podem não obter a proteção fornecida pelo filtro IPsec.
ID do Evento Mensagem do evento 4960 O IPsec descartou um pacote de entrada que falhou em uma verificação de integridade. Se esse problema persistir, isso pode indicar um problema de rede ou que os pacotes estão sendo modificados em trânsito para este computador. Verifique se os pacotes enviados do computador remoto são os mesmos recebidos por este computador. Este erro também pode indicar problemas de interoperabilidade com outras implementações IPsec. 4961 O IPsec descartou um pacote de entrada que falhou numa verificação de repetição. Se esse problema persistir, isso pode indicar um ataque de repetição contra este computador. 4962 O IPsec descartou um pacote de entrada que falhou numa verificação de repetição. O pacote de entrada tinha um número de sequência muito baixo para garantir que não fosse uma repetição. 4963 O IPsec descartou um pacote de texto não criptografado de entrada que deveria ter sido protegido. Isso geralmente ocorre devido ao computador remoto alterar sua diretiva IPsec sem informar este computador. Isso também pode ser uma tentativa de ataque de falsificação. 4965 O IPsec recebeu um pacote de um computador remoto com um índice de parâmetros de segurança (SPI) incorreto. Isso geralmente é causado pelo mau funcionamento do hardware que está corrompendo pacotes. Se esses erros persistirem, verifique se os pacotes enviados do computador remoto são os mesmos recebidos por este computador. Este erro também pode indicar problemas de interoperabilidade com outras implementações IPsec. Nesse caso, se a conectividade não for impedida, esses eventos podem ser ignorados. 5478 Os Serviços IPsec foram iniciados com êxito. 5479 Os Serviços IPsec foram encerrados com êxito. O desligamento dos Serviços IPsec pode colocar o computador em maior risco de ataque à rede ou expor o computador a potenciais riscos de segurança. 5480 Os Serviços IPsec não conseguiram obter a lista completa de interfaces de rede no computador. Isso representa um risco potencial de segurança porque algumas das interfaces de rede podem não obter a proteção fornecida pelos filtros IPsec aplicados. Utilize o "Snap-in" Monitor de Segurança IP para diagnosticar o problema. 5483 Falha nos Serviços IPsec ao inicializar o servidor RPC. Não foi possível iniciar os Serviços IPsec. 5484 Os Serviços IPsec sofreram uma falha crítica e foram encerrados. O desligamento dos Serviços IPsec pode colocar o computador em maior risco de ataque à rede ou expor o computador a potenciais riscos de segurança. 5485 Os Serviços IPsec não conseguiram processar alguns filtros IPsec num evento plug-and-play para interfaces de rede. Isso representa um risco potencial de segurança porque algumas das interfaces de rede podem não obter a proteção fornecida pelos filtros IPsec aplicados. Utilize o "Snap-in" Monitor de Segurança IP para diagnosticar o problema. Volume de eventos: Baixo.
Padrão: Sem auditoria.
Expandir a política de Auditoria de Outros Eventos do Sistema
A política Auditar Outros Eventos do Sistema determina se o SO audita vários eventos do sistema. Os eventos do sistema nesta categoria incluem:
Inicialização e desligamento do serviço e driver do Firewall do Windows.
Processamento da política de segurança pelo serviço Firewall do Windows.
Arquivo de chave de criptografia e operações de migração.
Important
A falha ao iniciar o serviço Firewall do Windows pode resultar em um computador que não está totalmente protegido contra ameaças de rede.
ID do Evento Mensagem do evento 5024 O Serviço de Firewall do Windows foi iniciado com êxito. 5025 O Serviço de Firewall do Windows foi interrompido. 5027 O Serviço de Firewall do Windows não pôde recuperar a diretiva de segurança do armazenamento local. O serviço continuará a aplicar a política atual. 5028 O Serviço de Firewall do Windows não pôde analisar a nova diretiva de segurança. O serviço continuará com a política atualmente aplicada. 5029 O Serviço de Firewall do Windows falhou ao inicializar o driver. O serviço continuará a aplicar a política atual. 5030 Falha ao iniciar o Serviço de Firewall do Windows. 5032 O Firewall do Windows não pôde notificar o usuário de que bloqueou um aplicativo de aceitar conexões de entrada na rede. 5033 O driver do Firewall do Windows foi iniciado com êxito. 5034 O driver do Firewall do Windows foi interrompido. 5035 Falha ao iniciar o driver do Firewall do Windows. 5037 O driver do Firewall do Windows detetou erro crítico de tempo de execução. Terminating. 5058 Operação de ficheiro chave. 5059 Operação de migração de chaves. 6400 BranchCache: Recebeu uma resposta formatada incorretamente ao descobrir a disponibilidade de conteúdo.
Este evento é registado apenas em computadores com versões suportadas do sistema operativo Windows.6401 BranchCache: Recebeu dados inválidos de um par. Dados descartados. 1 6402 BranchCache: A mensagem para o cache hospedado que oferece dados está formatada incorretamente. 1 6403 BranchCache: O cache hospedado enviou uma resposta formatada incorretamente para o cliente. 1 6404 BranchCache: O cache hospedado não pôde ser autenticado usando o certificado SSL provisionado. 1 6405 BranchCache: Ocorreu/ocorreram %2 instância(s) do ID de evento %1. 1 6406 %1 registrado no Firewall do Windows para controlar a filtragem para o seguinte: %2 1 6407 1% 1 6408 O produto registado %1 falhou e a Firewall do Windows está agora a controlar a filtragem para o %2 1 Note
1 Este evento é registado apenas em computadores com versões suportadas do sistema operativo Windows.
Volume de eventos: Baixo.
Padrão: Sucesso e Fracasso.
Expandir a política de alteração de estado de segurança em auditorias
A política de Alteração do Estado de Segurança de Auditoria determina se o Windows gera eventos de auditoria para alterações no estado de segurança de um sistema. As alterações no estado de segurança do SO incluem:
Arranque e encerramento do sistema.
Mudança de hora do sistema.
Recuperação do sistema de CrashOnAuditFail. Esse evento é registrado após a reinicialização de um sistema após CrashOnAuditFail. Algumas atividades auditáveis podem não ser registradas quando um sistema é reinicializado devido a CrashOnAuditFail.
ID do Evento Mensagem do evento 4608 O Windows está a arrancar. 4609 O Windows está a encerrar. 4616 A hora do sistema foi alterada. 4621 O administrador recuperou o sistema de CrashOnAuditFail. Os usuários que não são administradores agora terão permissão para fazer logon. Algumas atividades auditáveis podem não ter sido registradas. Volume de eventos: Baixo.
Padrão: Sucesso.
Expandir a política de Extensão do Sistema de Segurança de Auditoria
A política de Extensão do Sistema de Segurança de Auditoria determina se o SO gera eventos de auditoria relacionados com extensões do sistema de segurança. As alterações nas extensões de sistema de segurança no SO incluem as seguintes atividades:
Um código de extensão de segurança é carregado (como uma autenticação, notificação ou pacote de segurança). Um código de extensão de segurança regista-se na Autoridade de Segurança Local e será utilizado e fidedigno para autenticar tentativas de início de sessão, submeter pedidos de início de sessão e ser notificado de quaisquer alterações de conta ou palavra-passe. Exemplos desse código de extensão são provedores de suporte de segurança, como Kerberos e NTLM.
Um serviço está instalado. Um log de auditoria é gerado quando um serviço é registrado no Service Control Manager. O log de auditoria contém informações sobre o nome do serviço, binário, tipo, tipo inicial e conta de serviço.
Important
As tentativas de instalar ou carregar extensões ou serviços do sistema de segurança são eventos críticos do sistema que podem indicar uma violação de segurança.
ID do Evento Mensagem do evento 4610 Um pacote de autenticação foi carregado pela Autoridade de Segurança Local. 4611 Um processo de logon confiável foi registrado na Autoridade de Segurança Local. 4614 Um pacote de notificação foi carregado pelo Gerente de Conta de Segurança. 4622 Um pacote de segurança foi carregado pela Autoridade de Segurança Local. 4697 Um serviço foi instalado no sistema. Volume de eventos: Baixo. Os eventos de extensão do sistema de segurança são gerados com mais frequência em um controlador de domínio do que em computadores cliente ou servidores membros.
Padrão: Sem auditoria.
Expandir a política de integridade do sistema de auditoria
A política de Integridade do Sistema de Auditoria determina se o SO audita eventos que violam a integridade do subsistema de segurança. As atividades que violam a integridade do subsistema de segurança incluem:
Os eventos auditados são perdidos devido a uma falha do sistema de auditoria.
Um processo usa uma porta LPC (chamada de procedimento local) inválida na tentativa de representar um cliente, responder a um espaço de endereçamento do cliente, ler para um espaço de endereço do cliente ou gravar a partir de um espaço de endereço do cliente.
Uma violação de integridade RPC é detetada.
Uma violação de integridade de código com um valor de hash inválido de um arquivo executável é detetada.
Tarefas criptográficas são executadas.
Important
As violações da integridade do subsistema de segurança são críticas e podem indicar um potencial ataque à segurança.
ID do Evento Mensagem do evento 4612 Os recursos internos alocados para a fila de mensagens de auditoria foram esgotados, levando à perda de algumas auditorias. 4615 Uso inválido da porta LPC. 4618 Foi registado um padrão observado de evento de segurança. 4816 O RPC detetou uma violação de integridade ao descriptografar uma mensagem recebida. 5038 A integridade do código determinou que o hash da imagem de um arquivo não é válido. O ficheiro pode estar corrompido devido a modificações não autorizadas ou o hash inválido pode indicar um potencial erro do dispositivo de disco. 5056 Foi realizado um autoteste criptográfico. 5057 Uma operação primitiva criptográfica falhou. 5060 Falha na operação de verificação. 5061 Operação criptográfica. 5062 Foi realizado um autoteste criptográfico em modo kernel. 6281 A integridade do código determinou que os hashes de páginas de um ficheiro de imagem não são válidos. O ficheiro pode estar incorretamente assinado sem verificações de página ou corrompido devido a modificação não autorizada. Os hashes inválidos podem indicar um possível erro de dispositivo de disco.
Este evento é registado apenas em computadores com as versões suportadas do sistema operativo Windows.Volume de eventos: Baixo.
Padrão: Sucesso e Fracasso.
Acesso a objetos globais
As configurações de diretiva de Auditoria de Acesso a Objetos Globais permitem que os administradores definam SACLs de computador por tipo de objeto para o sistema de arquivos ou para o Registro. A SACL especificada é então aplicada automaticamente a cada objeto desse tipo.
Os auditores podem provar que todos os recursos do sistema estão protegidos por uma política de auditoria exibindo o conteúdo das configurações da política Global Object Access Auditing. Por exemplo, se os auditores virem uma configuração de política chamada "Controlar todas as alterações feitas pelos administradores do grupo", eles saberão que essa política está em vigor.
As SACLs de recursos também são úteis para cenários de diagnóstico. Por exemplo, definir a política de Auditoria de Acesso a Objetos Globais para registrar toda a atividade de um usuário específico e permitir que a política rastreie eventos de "Acesso negado" para o sistema de arquivos ou registro pode ajudar os administradores a identificar rapidamente qual objeto em um sistema está negando o acesso de um usuário.
Se você marcar a caixa de seleção Definir esta configuração de política na página de propriedades da política e, em seguida, selecionar Configurar, poderá adicionar um usuário ou grupo à SACL global. Isto permite definir listas de controle de acesso do sistema (SACLs) por tipo de objeto para o sistema de arquivos. A SACL especificada é então aplicada automaticamente a cada tipo de objeto do sistema de arquivos.
Expanda a política de Sistema de Arquivos (Auditoria Global de Acesso a Objetos)
A política do Sistema de Ficheiros (Global Object Access Auditing) permite configurar uma SACL global no sistema de ficheiros para todo o computador.
Se uma SACL de arquivo ou pasta e uma SACL global estiverem configuradas em um computador, a SACL efetiva será derivada combinando a SACL de arquivo ou pasta e a SACL global. Isso significa que um evento de auditoria é gerado se uma atividade corresponder à SACL de um arquivo ou de uma pasta, ou à SACL global.
- Volume do evento: varia de acordo com a SACL efetiva e o nível de atividade do usuário.
Expandir a política do Registro (Auditoria Global de Acesso a Objetos)
A política do Registro (Auditoria de Acesso a Objetos Globais) permite configurar uma SACL global no Registro de um computador.
Se uma SACL de registro e uma SACL global estiverem configuradas em um computador, a SACL efetiva será derivada combinando a SACL de registro e a SACL global. Isso significa que um evento de auditoria é gerado quando uma atividade corresponde à chave do Registro SACL ou à SACL global.
- Volume do evento: varia de acordo com a SACL efetiva e o nível de atividade do usuário.