Auditoria e detecção de intrusão no Windows

Atualizado em: 12 de Abril de 2004

Nesta página

	Neste módulo
	Objetivos
	Aplica-se a
	Como usar este módulo
	Auditoria
	Monitorando eventos de segurança e invasões
	Resumo
	Mais informações

Neste módulo

Não basta simplesmente implantar sistemas seguros para manter um ambiente realmente protegido. É perigoso supor que você não será atacado ou que suas defesas o protegerão adequadamente. Para manter a segurança dos seus sistemas, é também necessário monitorar ativamente as invasões e os ataques.

Há diversos motivos pelos quais a monitoria e a auditoria de invasões são importantes. São eles:

•	Qualquer ambiente computacional em funcionamento está potencialmente aberto a ataques. Não importa quão alto seja o nível de segurança: sempre há um risco de você ser atacado.
•	Geralmente, os ataques bem-sucedidos ocorrem após uma série de ataques fracassados. Se você não monitorar os ataques, não detectará os invasores antes que eles sejam bem-sucedidos.
•	Assim que um ataque bem-sucedido ocorrer, quanto mais cedo você descobrir, mais fácil será conter os danos.
•	Para se recuperar de um ataque, você precisa saber que danos sofreu.
•	A auditoria e a detecção de invasões o ajuda a determinar quem foi responsável pelo ataque.
•	A combinação da auditoria com a detecção de invasões ajuda a relacionar informações para identificar padrões de ataque.
•	A revisão regular de logs de segurança ajuda a identificar questões de configuração de segurança desconhecidas, como permissões incorretas ou definições de bloqueio negligentes.
•	Após a detecção de um ataque, a auditoria pode ajudar a determinar que recursos da rede foram comprometidos.

Este módulo mostra como auditar o ambiente para que você possa identificar e rastrear um ataque. O módulo mostra como monitorar invasões e aborda o uso de sistemas de detecção de invasões (softwares projetados especificamente para identificar comportamentos que indiquem que um ataque está ocorrendo).

Início da página

Objetivos

Use este módulo para:

•	Implementar auditoria na organização por meio de práticas recomendadas.
•	Proteger arquivos de log importantes e impedir que invasores interfiram nas evidências.
•	Combinar métodos de detecção passiva e ativa.
•	Identificar quais ferramentas e tecnologias precisam ser disponibilizadas para a equipe de vigilância e monitoramento e como elas serão usadas no processo de auditoria.

Início da página

Aplica-se a

Este módulo aplica-se aos seguintes produtos e tecnologias:

•	Sistema operacional Microsoft® Windows™ 2000

Início da página

Como usar este módulo

Use as orientações deste módulo para iniciar um processo de monitoramento que detectará ativamente as invasões e os ataques. Isso permitirá que você intervenha rapidamente caso haja um ataque e reduza o impacto de um incidente e o risco de danos sérios à organização.

Para aproveitar este módulo ao máximo:

•	Leia o módulo "Respondendo a incidentes identificados em um ambiente Windows 2000."

Início da página

Auditoria

Em qualquer ambiente seguro, você deve monitorar ativamente as invasões e os ataques. Seria contraproducente implementar sistemas seguros e não realizar qualquer auditoria, com base na suposição de que você não será atacado.

Como parte de sua estratégia de segurança geral, você deve determinar o nível de auditoria apropriada para o ambiente. A auditoria deve identificar ataques, sejam bem-sucedidos ou não, que representem uma ameaça à rede ou a recursos que você determinou que são valiosos por meio da avaliação de riscos.

Ao decidir o quanto auditar, tenha em mente que quanto mais você auditar, mais eventos gerará e mais difícil poderá ser a identificação de eventos críticos. Se você estiver realizando uma auditoria extensiva, deverá considerar seriamente o uso de ferramentas adicionais, como a MOM (Microsoft Operations Manager), para ajudar a filtrar eventos que tenham maior importância.

Os eventos de auditoria podem ser divididos em duas categorias: eventos de êxito e eventos de falha. Um evento de êxito indica que um usuário obteve acesso com êxito a um recurso, enquanto um evento de falha mostra que ele tentou, mas não conseguiu.

Os eventos de falha são muito úteis para controlar tentativas de ataques ao ambiente, mas os eventos de êxito são muito mais difíceis de ser interpretados. Embora a grande maioria dos eventos de auditoria bem-sucedidos serem simplesmente indicações de atividade normal, um invasor que consiga obter acesso a um sistema também gerará um evento de êxito. Com freqüência, um padrão de eventos é tão importante quanto os próprios eventos. Por exemplo, uma série de falhas seguida de um êxito pode indicar que uma tentativa de ataque acabou sendo bem-sucedida.

Sempre que possível, você deve combinar eventos de auditoria a outras informações que você tenha sobre os usuários. Por exemplo, se os usuários saírem de férias, você deverá desabilitar suas contas enquanto eles estiverem fora e auditá-las quando forem reabilitadas.

Quando habilitar a auditoria

A auditoria é habilitada por meio da Diretiva de Grupo, no nível do site, da UO (unidade organizacional) ou do computador local. Você encontrará as configurações de diretiva de auditoria em:

Configuração do Computador\Configurações do Windows\Configurações de Segurança\Diretivas Locais\Diretiva de Auditoria

Geralmente, você deve implementar a auditoria em um nível alto na hierarquia de serviço de diretório do Microsoft Active Directory™, pois isso ajudará a manter a consistência das configurações de auditoria. A Contoso implementou auditoria nos níveis de UO do Servidor Membro e do Controlador de Domínio.

Você pode ter optado por manter alguns servidores separados do domínio. A auditoria pode ser configurada nesses computadores por meio da edição da Diretiva de Grupo do computador local ou por meio do utilitário Auditpol.exe no Windows 2000 Server Resource Kit.

Observação: para acessar a Diretiva de Grupo de um computador local, inicie o MMC (Microsoft Management Console) e adicione o snap-in da Diretiva de Grupo, que tornará o computador local o foco do snap-in.

Definindo configurações do log de eventos

Todos os eventos gerados pela auditoria aparecerão em Visualizar Eventos. Você deve determinar como os logs de eventos armazenarão os eventos que serão gerados. Cada uma das configurações pode ser definida diretamente em Visualizar Eventos ou na Diretiva de Grupo. Para este guia, definimos as configurações de Visualizar Eventos na Diretiva de Grupo.

Se você remover as configurações de Visualizar Eventos da Diretiva de Grupo, poderá defini-las diretamente em Visualizar Eventos. No entanto, é recomendável definir as configurações de Visualizar Eventos na Diretiva de Grupo para garantir a consistência das configurações em computadores semelhantes.

No ambiente da Contoso, a Diretiva de Grupo não é configurada para desligar os sistemas na organização se o log de segurança atingir sua capacidade. Em vez disso, os sistemas são configurados para sobrescrever os logs de eventos conforme o necessário.

Eventos a serem auditados

O Microsoft Windows 2000 oferece várias categorias de auditora de eventos de segurança. Ao projetar sua estratégia de auditoria empresarial, você precisará decidir se inclui as seguintes categorias de eventos de auditoria de segurança:

•	Eventos de logon
•	Eventos de logon de contas
•	Eventos de acesso a objetos
•	Eventos de acesso ao serviço de diretório
•	Eventos de uso de privilégios
•	Eventos de controle de processos
•	Eventos do sistema
•	Eventos de alteração de diretivas

As seções a seguir detalham algumas das identificações de eventos mais comuns que são retornadas quando a auditoria está habilitada para categorias específicas.

Observação: as ferramentas usadas para pesquisar e coletar informações do log de eventos são discutidas na seção "Métodos de detecção passiva" adiante neste módulo.

Eventos de logon

Se você auditar eventos de logon — sempre que um usuário fizer logon ou logoff de um computador — será gerado um evento no log de segurança do computador em que a tentativa de logon ocorreu. Além disso, quando um usuário se conectar a um servidor remoto, um evento de logon será gerado no log de segurança do servidor remoto. Os eventos de logon são criados quando a sessão e o símbolo de logon forem criados ou destruídos, respectivamente.

Os eventos de logon podem ser úteis para controlar tentativas de logon interativo em servidores ou para investigar ataques iniciados a partir de um determinado computador. As auditorias com êxito geram uma entrada de auditoria quando uma tentativa de logon é bem-sucedida. As auditorias de falha geram uma entrada de auditoria quando uma tentativa de logon falha.

Observação: os eventos de logon incluem eventos de logon de computador e de usuário. Você precisará ver entradas do log de eventos de segurança separadas para a conta de computador e a conta de usuário se for feita uma tentativa de conexão de rede a partir de um computador com Microsoft Windows NT® ou Windows 2000. Os computadores com Windows 9x não têm contas de computador no diretório e não geram entradas de eventos de logon de computador para eventos de logon de rede.

Como parte das diretivas Servidor Membro e de Base dos Controladores de Domínio, a auditoria de eventos de êxito e de falha é habilitada. Portanto, você deve esperar ver, no log de eventos de segurança, as seguintes identificações de eventos de logons interativos e logons de Serviços de Terminal que se conectam a computadores com Serviços de Terminal.

Tabela 1: eventos de logon que aparecem no log de eventos de segurança

Identificação do evento	Descrição
528	Um usuário fez logon com êxito em um computador.
529	A tentativa de logon foi feita com um nome de usuário desconhecido ou um nome conhecido com senha errada.
530	Uma tentativa de logon foi feita com a conta de usuário fora do horário permitido.
531	Uma tentativa de logon foi feita usando-se uma conta desabilitada.
532	Uma tentativa de logon foi feita usando-se uma conta expirada.
533	O usuário não está autorizado a fazer logon no computador.
534	O usuário tentou fazer logon com um tipo de logon não permitido, como rede, interativo, em lote, serviço ou interativo remoto.
535	A senha da conta especificada expirou.
536	O serviço Logon de Rede não está ativo.
537	A tentativa de logon falhou por outros motivos.
538	Um usuário fez logoff.
539	A conta foi bloqueada no momento em que houve a tentativa de logon. Esse evento pode indicar que um ataque de senha foi iniciado sem êxito, resultando no bloqueio da conta.
540	Logon de rede bem-sucedido. Esse evento indica que um usuário remoto conectou-se com êxito da rede a um recurso local no servidor, gerando um símbolo para o usuário da rede.
682	Um usuário se reconectou a uma sessão de Serviços de Terminal desconectada. Esse evento indica que uma sessão de Serviços de Terminal anterior estava conectada.
683	Um usuário se desconectou de uma sessão de Serviços de Terminal sem fazer logoff. Esse evento é gerado quando um usuário está conectado a uma sessão de Serviços de Terminal pela rede. Ela aparece no servidor de terminal.

Os seguintes eventos de segurança podem ser diagnosticados por meio das entradas de eventos de logon:

•	Falhas de tentativas de logon locais Qualquer uma das identificações de eventos a seguir indicam tentativas de logon que falharam: 529, 530, 531, 532, 533, 534 e 537. Você verá os eventos 529 e 534 se um invasor tentar adivinhar uma combinação de nome de usuário e senha para uma conta local, mas falhar. No entanto, esses eventos também podem ocorrer quando um usuário esquece sua senha ou começa a navegar pela rede usando Meus Locais de Rede. Em um ambiente de grande escala, pode ser difícil interpretar esses eventos com eficácia. Como regra, você deve investigar esses padrões se eles ocorrerem repetidamente ou coincidirem com outros fatores incomuns. Por exemplo, um número de eventos 529 seguido de um evento 528 no meio da noite pode indicar um ataque de senha bem-sucedido (ou um administrador muito cansado).
•	Uso incorreto da conta Os eventos 530, 531, 532 e 533 podem representar o uso incorreto de uma conta de usuário. Os eventos indicam que a combinação de conta e senha foi inserida corretamente, mas outras restrições impedem um logon bem-sucedido. Sempre que possível, você deve investigar esses eventos para determinar se ocorreu o uso incorreto ou se a restrição atual precisa ser modificada. Por exemplo, pode ser necessário estender o horário de logon de certas contas.
•	Bloqueios de contas O evento 539 indica que uma conta foi bloqueada. Isso pode indicar que um ataque de senha falhou. Você deve procurar eventos 529 anteriores da mesma conta de usuário para tentar discernir o padrão de tentativas de logon.
•	Ataques de Serviços de Terminal As sessões de Serviços de Terminal podem ser deixadas em um estado conectado que permita que processos continuem em execução após o término da sessão. O evento 683 indica quando um usuário não faz logoff da sessão de Serviços de Terminal e o evento 682 indica quando ocorreu uma conexão com uma sessão previamente desconectada.

A Contoso monitora um grande número de falhas de tentativa de logon e um grande número de bloqueios de contas. Não é raro em seu ambiente que os usuários deixem sessões de terminal desconectadas por motivos legítimos.

Eventos de logon de contas

Quando um usuário faz logon em um domínio, o logon é processado em um controlador de domínio. Se você auditar eventos de logon de contas em controladores de domínio, verá essas tentativas de logon registradas no controlador de domínio que valida a conta. Os eventos de logon de contas são criados quando um pacote de autenticação valida as credenciais de um usuário. Quando as credenciais do domínio são usadas, os eventos de logon de contas são gerados somente nos logs de eventos dos controladores de domínio. Se as credenciais apresentadas forem do banco de dados SAM (Gerenciador de Contas de Segurança) local, os eventos de logon de conta serão criados no log de eventos de segurança do servidor.

Como o evento de logon de contas pode ser registrado em qualquer controlador de domínio válido no domínio, você deve garantir que o log de segurança seja consolidado em todos os controladores de domínio a fim de analisar todos os eventos de logon de contas no domínio.

Observação: assim como os eventos de logon, os eventos de logon de conta incluem eventos de logon de computador e de usuário.

Como parte das diretivas Servidor Membro e de Base dos Controladores de Domínio, a auditoria de eventos de logon de contas com êxito e sem êxito é habilitada. Assim, você deve esperar ver as seguintes identificações de eventos para logons de rede e autenticação de serviços de terminal.

Tabela 2: eventos de logon de contas que aparecem no log de eventos

Identificação do evento	Descrição
672	Uma permissão de AS (serviço de autenticação) foi emitida e validada com êxito.
673	Uma permissão de TGS (serviço de concessão de permissões) foi concedida.
674	Um objeto de segurança renovou uma permissão de AS ou de TGS.
675	Falha na pré-autenticação.
676	Falha da solicitação de permissão de autenticação.
677	Uma permissão de TGS não foi concedida.
678	Uma conta foi mapeada com êxito para uma conta de domínio.
680	Identifica a conta usada para a tentativa de logon bem-sucedida. Esse evento também indica o pacote de autenticação usado para autenticar a conta.
681	Houve uma tentativa de logon de conta de domínio.
682	Um usuário se reconectou a uma sessão de Serviços de Terminal desconectada.
683	Um usuário se desconectou de uma sessão de Serviços de Terminal sem fazer logoff.

Para cada um desses eventos, o log de eventos mostra informações detalhadas sobre cada logon específico. Os seguintes eventos de segurança podem ser diagnosticados por meio das entradas de eventos de logon de contas:

•	Falhas de tentativas de logon de domínio As identificações de eventos 675 e 677 indicam falhas de tentativas de fazer logon no domínio.
•	Questões de sincronização de horário Se o horário de um computador cliente for diferente do horário do controlador de domínio que autentica em mais de cinco minutos (padrão), a identificação de evento 675 aparecerá no log de segurança.
•	Ataques de Serviços de Terminal As sessões de Serviços de Terminal podem ser deixadas em um estado conectado que permita que processos continuem em execução após o término da sessão de servidor de terminal. O evento 683 indica quando um usuário não faz logoff da sessão de Serviços de Terminal e o evento 682 indica quando ocorreu uma conexão com uma sessão previamente desconectada. Para impedir desconexões ou para terminar essas sessões desconectadas, defina o intervalo de tempo para terminar sessões desconectadas no console Configuração de Serviços de Terminal, nas propriedades do protocolo RDP-TCP.

A Contoso está monitorando números incomuns de falhas de tentativas de logon de domínio. Com base em seu ambiente, os outros eventos não são relevantes. Ao definir essas configurações, eles determinaram que a melhor abordagem era começar com uma configuração relativamente restrita e reduzi-la até que o número de alertas falsos fosse reduzido. Atualmente, eles monitoram todos os casos em que ocorrem 10 falhas de logon em um período de 10 minutos. Esses números podem ser diferentes em todos os ambientes.

Gerenciamento de Contas

A auditoria de Gerenciamento de Contas é usada para determinar quando os usuários ou grupos são criados, alterados ou excluídos. Essa auditoria pode ser usada para determinar quando um objeto de segurança foi criado e quem realizou a tarefa.

Como parte das diretivas Servidor Membro e de Base dos Controladores de Domínio, a auditoria com êxito e sem êxito no Gerenciamento de Contas é habilitada. Portanto, você deve esperar ver as seguintes identificações de eventos registradas no log de segurança.

Tabela 3: eventos de Gerenciamento de Contas que aparecem no log de eventos

Identificação do evento	Descrição
624	Conta de usuário criada
625	Alteração do Tipo de Conta do Usuário
626	Conta de Usuário Habilitada
627	Tentativa de Alteração de Senha
628	Senha de Conta de Usuário Definida
629	Conta de Usuário Desabilitada
630	Conta de Usuário Excluída
631	Grupo Global de Segurança Ativada Criado
632	Membro Adicionado ao Grupo Global de Segurança Ativada
633	Membro Removido do Grupo Global de Segurança Ativada
634	Grupo Global de Segurança Ativada Excluído
635	Grupo local de segurança desativada criado
636	Membro Adicionado ao Grupo Local de Segurança Ativada
637	Membro Removido do Grupo Local de Segurança Ativada
638	Grupo Local de Segurança Ativada Excluído
639	Grupo Local de Segurança Ativada Alterado
641	Grupo Global de Segurança Ativada Alterado
642	Conta de Usuário Alterada
643	Diretiva de Domínio Alterada
644	Conta de Usuário Bloqueada

Os seguintes eventos de Gerenciamento de Contas podem ser diagnosticados por meio de entradas do log de segurança:

•	Criação de uma conta de usuário As identificações de eventos 624 e 626 indicam quando as contas de usuários são criadas e habilitadas. Se a criação de contas estiver limitada a indivíduos específicos na organização, você poderá usar esses eventos para identificar se pessoas não autorizadas criaram contas de usuários.
•	Senha de conta de usuário alterada A modificação de uma senha por outra pessoa que não seja o usuário pode indicar que uma conta foi dominada por outro usuário. Procure as identificações de eventos 627 e 628, que indicam que houve uma tentativa bem-sucedida de alteração de senha. Reveja os detalhes para determinar se uma conta diferente fez a alteração e se a conta é membro da equipe de suporte técnico ou de outros serviços que redefinem senhas de contas de usuários.
•	Status de conta de usuário alterado Um invasor pode tentar disfarçar seus rastros ao desabilitar ou excluir a conta usada durante um ataque. Todas as ocorrências de identificações de eventos 629 e 630 devem ser investigadas para garantir que sejam transações autorizadas. Procure também ocorrências das identificações de eventos 626 seguidas pela identificação 629 pouco tempo depois. Isso pode indicar que uma conta desabilitada foi habilitada, usada e, em seguida, desabilitada novamente.
•	Modificação de grupos de segurança Revise as mudanças de participação em Administradores de Domínio, em Administradores, em qualquer um dos grupos de operadores ou em grupos globais, universais ou locais de domínio personalizados que recebem funções administrativas. Para as modificações de participação de grupos globais, procure as identificações de eventos 632 e 633. Para as modificações de participação de grupos locais de domínio, procure as identificações de eventos 636 e 637.
•	Bloqueio de conta Quando uma conta é bloqueada, dois eventos são registrados no mestre de operações do emulador do PDC (controlador de domínio primário). Um evento 644 indicará que o nome da conta foi bloqueado e, então, um evento 642 será registrado, significando que a conta do usuário foi alterada para indicar que está bloqueada. Esse evento só é registrado no emulador do PDC.

Como a Contoso é uma empresa relativamente grande, eles executam um grande volume de manutenção de contas diariamente. O monitoramento de todos esses eventos resultaria em um volume de alertas grande demais para ser resolvido adequadamente no ambiente.

Acesso a objetos

A auditoria pode ser habilitada para todos os objetos em uma rede com Windows 2000 que tenham uma SACL (lista de controle de acesso ao sistema). A SACL contém uma lista de usuários e grupos para os quais as ações no objeto devem ser auditadas. Praticamente todos os objetos que um usuário pode manipular no Windows 2000 têm uma SACL. Isso inclui arquivos e pastas em unidades com sistema de arquivos NTFS, impressoras e chaves do Registro.

Uma SACL compõe-se de ACEs (entradas de controle de acesso). Cada ACE contém três informações:

•	O objeto de segurança a ser auditado.
•	Os tipos de acesso específicos que serão auditados, chamados de máscara de acesso.
•	Um sinalizador para indicar se deve ser feita a auditoria de acessos com êxito, acessos com falha ou ambos.

Se desejar que os eventos apareçam no log de segurança, primeiramente você deverá habilitar Auditoria de Acesso a Objetos e definir a SACL de cada objeto a ser auditado.

As auditorias no Windows 2000 são geradas quando um identificador de objeto é aberto. O Windows 2000 usa um subsistema de segurança de modo de kernel que só permite que os programas acessem objetos através do kernel. Isso impede que os programas tentem contornar o sistema de segurança. Como o espaço de memória do kernel é isolado dos programas em modo de usuário, um programa refere-se a um objeto por meio de uma estrutura de dados chamada de identificador. A seguir há uma descrição de uma tentativa de acesso típica:

1.	Um usuário instrui um programa a acessar um objeto (por exemplo, Arquivo/Abrir).
2.	O programa solicita um identificador ao sistema, especificando que tipo de acesso é desejado (leitura, gravação etc.).
3.	O subsistema de segurança compara a DACL (lista de controle de acesso discricional) do objeto solicitado ao símbolo do usuário, procurando entradas da DACL que correspondam ao usuário ou a um grupo ao qual o usuário pertença e que tenha direitos de acesso ao programa solicitado.
4.	O sistema compara a SACL do objeto solicitado ao símbolo do usuário, procurando entradas da SACL que correspondam aos direitos efetivos que estão sendo retornados ao programa ou os direitos solicitados pelo programa. Se uma ACE de auditoria sem êxito corresponder a um acesso solicitado mas não concedido, será gerado um evento de auditoria sem êxito. Se uma ACE de auditoria com êxito corresponder a um acesso concedido, será gerado um evento de auditoria com êxito.
5.	Se um acesso for concedido, o sistema retornará um identificador ao programa, que poderá, então, usar o identificador para acessar o objeto.

É muito importante observar que, quando a auditoria ocorre e o evento é gerado, nada aconteceu ainda ao objeto. Isso é decisivo para interpretar eventos de auditoria. Auditorias de gravação são geradas antes que um arquivo seja gravado e auditorias de leitura são geradas antes que um arquivo seja lido.

Como em todas as auditorias, é muito importante ter uma abordagem orientada para auditar o acesso a objetos. No seu plano de auditoria, decida o tipo de objeto que você precisa auditar e determine que tipo de tentativas de acesso (êxito, falha ou ambas) devem ser monitoradas para cada tipo de objeto auditado. Uma abordagem muito ampla para a auditoria terá um impacto significativo no desempenho do sistema e resultará na coleta de muito mais dados do que o necessário ou útil.

Geralmente, você auditará todos os acessos aos objetos escolhidos, incluindo de contas não confiáveis. Para isso, adicione o Grupo Todos à SACL dos objetos a serem auditados. Você deve ser cauteloso com a auditoria com êxito de acesso a objetos, pois isso pode criar um volume muito grande de entradas de auditoria no log de segurança. No entanto, por exemplo, se você estiver investigando a exclusão de um arquivo importante, precisará examinar eventos de auditoria com êxito para determinar qual conta de usuário excluiu o arquivo.

As diretivas Servidor Membro e Diretiva de Base dos Controladores de Domínio são definidas para auditar o êxito e a falha de acesso a objetos. No entanto, nenhuma SACL é definida nos próprios objetos e você precisará defini-las de acordo com as necessidades do ambiente. As SACLs podem ser definidas diretamente nos objetos ou por meio da Diretiva de Grupo. Se o objeto que exige auditoria existir em vários computadores, você deverá refinar as SACLs na diretiva de Grupo.

A auditoria de acesso a objetos fará com que os eventos a seguir apareçam no log de segurança.

Tabela 4: eventos de acesso a objetos que aparecem no log de eventos

Identificação do evento	Descrição
560	O acesso foi concedido a um objeto já existente.
562	Um identificador de um objeto foi fechado.
563	Foi feita uma tentativa de abrir um objeto com intenção de excluí-lo. (É usado por sistemas de arquivos quando o sinalizador FILE_DELETE_ON_CLOSE é especificado.)
564	Um objeto protegido foi excluído.
565	O acesso foi concedido a um tipo de objeto já existente.

Se você estiver procurando eventos de acesso a objetos específicos, precisará pesquisar principalmente os eventos com identificação 560. As informações úteis estão nos detalhes do evento e você precisará pesquisá-los para encontrar os eventos que procura. A tabela a seguir mostra algumas ações que poderão ser necessárias e como você pode executá-las.

Tabela 5: Como executar as principais ações de auditoria do evento 560 de acesso a objetos

Ação de auditoria	Como fazer
Localizar um arquivo, uma pasta ou um objeto específicos.	Nos detalhes do evento 560, procure o caminho completo do arquivo ou da pasta dos quais você deseja revisar as ações.
Determinar as ações de um usuário específico.	Defina um filtro que identifique o usuário específico em um evento 560.
Determinar ações executadas em um computador específico	Defina um filtro que identifique a conta de computador específica em que a tarefa foi executada em um evento 560.

A Contoso não está monitorando especificamente quaisquer eventos de acesso a objetos, mas está auditando o acesso a objetos de alguns arquivos. Essas informações podem ser extremamente úteis ao responder a um incidente de segurança.

Acesso ao Serviço de Diretório

Os objetos do Active Directory têm SACLs associadas a eles e, portanto, podem ser auditados. Como mencionado anteriormente, você audita contas de usuários e de grupos do Active Directory por meio da auditoria do Gerenciamento de Contas. No entanto, se desejar auditar a modificação de objetos em outros contextos de nomeação, como de Configuração e de Esquema, você deverá auditar o acesso a objetos e, então, definir a SACL para os recipientes específicos a serem auditados. As entradas de auditoria são geradas quando os usuários listados na SACL de um objeto to Active Directory tenta acessar esse objeto.

Você pode modificar a SACL de recipientes e objetos no contexto de nomeação de Configuração (e outros) usando o snap-in MMC ADSIEDIT. Isso é conseguido exibindo-se o contexto necessário no console do ADSIEDIT e, então, modificando-se a SACL do objeto na caixa de diálogo Configurações de Segurança Avançadas.

É muito difícil encontrar eventos específicos de acesso ao serviço de diretório devido ao grande volume (geralmente inofensivo) de eventos que ocorrem. Por isso, as diretivas Servidor Membro e de Base dos Controladores de Domínio somente auditam eventos sem êxito de acesso ao serviço de diretório. Isso o ajudará a identificar quando um invasor tentar acesso não autorizado ao Active Directory.

A tentativa de acesso ao diretório será mostrada como um evento do serviço de diretório com identificação 565 no log de segurança. Somente ao verificar os detalhes do evento de segurança você poderá determinar a qual objeto o evento corresponde.

A Contoso não está monitorando especificamente quaisquer eventos de acesso ao serviço de diretório, mas está auditando o acesso a objetos de alguns arquivos. Essas informações podem ser extremamente úteis ao responder a um incidente de segurança.

Uso de Privilégios

Quando os usuários trabalham em um ambiente de TI, eles exercem direitos de usuário definidos. Se você auditar o Uso de Privilégios para êxito e falha, um evento será gerado sempre que um usuário tentar exercer um direito de usuário.

Mesmo se você auditar o Uso de Privilégios, nem todos os direitos de usuário serão auditados. Por padrão, os seguintes direitos de usuário são excluídos:

•	Ignorar a verificação completa
•	Depurar programas
•	Criar um objeto identificador
•	Substituir um identificador de nível de processo
•	Gerar auditorias de segurança
•	Backup de arquivos e diretórios
•	Restaurar arquivos e pastas

Você pode substituir o comportamento padrão de não-auditoria dos direitos de usuário Backup e Restauração por meio da habilitação da opção de segurança Uso de Auditoria para Backup e Privilégio de Restauração.

A auditoria com êxito do Uso de Privilégios criará um volume muito grande de entradas no log de segurança. Por isso, as diretivas Servidor Membro e de Base dos Controladores de Domínio somente auditam as falhas do Uso de Privilégios.

Os eventos a seguir serão gerados se a auditoria do Uso de Privilégios estiver habilitada.

Tabela 6: Eventos de uso de privilégio que aparecem no log de eventos

Identificação do evento	Descrição
576	Privilégios especificados foram adicionados ao símbolo de acesso de um usuário. (Esse evento é gerado quando o usuário faz logon.)
577	Um usuário tentou realizar uma operação de serviço do sistema privilegiada.
578	Privilégios foram usados em um objeto já aberto ou protegido.

Aqui estão exemplos de algumas das entradas do log de eventos que podem existir quando direitos de usuário específicos são usados:

•	Agir como parte do sistema operacional Procure a identificação de evento 577 ou 578 com o privilégio de acesso SeTcbPrivilege indicado. A conta de usuário que exerceu o direito de usuário é identificada nos detalhes do evento. Esse evento pode indicar a tentativa de um usuário de elevar os privilégios de segurança agindo como parte do sistema operacional. Por exemplo, o ataque GetAdmin, em que um usuário tenta adicionar sua conta ao grupo Administradores, usa esse privilégio. As únicas entradas para esse evento devem ser da conta Sistema e de outras contas de serviços que tenham esse direito de usuário.
•	Alterar o horário do sistema Procure a identificação de evento 577 ou 578 com o privilégio de acesso SeSystemtimePrivilege indicado. A conta de usuário que exerceu o direito de usuário é identificada nos detalhes do evento. Esse evento pode indicar a tentativa de um usuário de alterar o horário do sistema a fim de ocultar o horário em que um evento ocorre.
•	Forçar desligamento a partir de um sistema remoto Procure as identificações de evento 577 e 578 com o privilégio de acesso SeRemoteShutdownPrivilege indicado. O SID (identificador de segurança exclusivo) ao qual o direito de usuário é atribuído e o nome do usuário do objeto de segurança que atribuiu o direito são incluídos nos detalhes do evento.
•	Carregar e descarregar drivers de dispositivos Procure as identificações de evento 577 ou 578 com o privilégio de acesso SeLoadDriverPrivilege indicado. A conta de usuário que exerceu o direito de usuário é identificada nos detalhes do evento. Esse evento pode indicar a tentativa de um usuário de carregar uma versão não autorizada ou cavalo de Tróia (um tipo de código mal-intencionado) de um driver de dispositivo.
•	Gerenciar o log de auditoria e de segurança Procure a identificação de evento 577 ou 578 com o privilégio de acesso SeSecurityPrivilege indicado. A conta de usuário que exerceu o direito de usuário é identificada nos detalhes do evento. Esse evento ocorrerá quando o log de eventos for limpo e quando os eventos de uso de privilégios forem gravados no log de segurança.
•	Desligar o sistema Procure a identificação de evento 577 com o privilégio de acesso SeShutdownPrivilege indicado. A conta de usuário que exerceu o direito de usuário é identificada nos detalhes do evento. Esse evento ocorrerá quando houver uma tentativa de desligar o computador.
•	Ganhar a propriedade de arquivos ou outros objetos Procure as identificações de evento 577 ou 578 com o privilégio de acesso SeTakeOwnershipPrivilege indicado. A conta de usuário que exerceu o direito de usuário é identificada nos detalhes do evento. Esse evento pode indicar que um invasor está tentando contornar as configurações de segurança atuais ao se tornar o proprietário de um objeto.

A Contoso está monitorando especificamente eventos que indiquem um desligamento normal ou forçado a partir de um sistema remoto, assim como todos os eventos que indiquem que o log de auditoria e de segurança tenha sido modificado.

Controle de Processos

Se você auditar informações detalhadas de controle de processos em execução em computadores com Windows 2000, o log de eventos mostrará tentativas de criar e de terminar processos. Ele também registrará quando um processo tentar gerar um identificador para um objeto ou obter acesso indireto a um objeto.

Devido ao volume muito grande de entradas de auditoria criadas, as diretivas Servidor Membro e de Base dos Controladores de Domínio não habilitam a auditoria de controle de processos. No entanto, se você optar por auditar êxitos e falhas, as identificações de eventos a seguir serão registradas no log de eventos.

Tabela 7: eventos de Controle de Processos que aparecem no log de eventos

Identificação do evento	Descrição
592	Um novo processo foi criado.
593	Um processo foi terminado.
594	Um identificador de um objeto foi duplicado.
595	Foi obtido acesso indireto a um objeto.

A Contoso não está monitorando eventos de controle de processos e não os habilitou em quaisquer diretivas de servidor.

Eventos do sistema

Os eventos do sistema são gerados quando um usuário ou um processo altera aspectos do ambiente do computador. Você pode auditar tentativas de alterar o sistema, como desligar o computador ou alterar o horário do sistema.

Se você auditar eventos do sistema, também deverá auditar quando o log de segurança é limpo. Isso é muito importante, pois, geralmente, os invasores tentarão limpar seus rastros após alterar um ambiente.

As diretivas Servidor Membro e de Base dos Controladores de Domínio auditam os eventos do sistema com e sem êxito. Isso resultará nas identificações de eventos a seguir no log de eventos.

Tabela 8: eventos do sistema que aparecem no log de eventos

Identificação do evento	Descrição
512	O Windows está sendo inicializado.
513	O Windows está sendo encerrado.
514	Um pacote de autenticação foi carregado pela Autoridade de Segurança Local.
515	Um processo de logon confiável foi registrado com a Autoridade de Segurança Local.
516	Recursos internos alocados para o enfileiramento de mensagens de eventos de segurança foram exauridos, levando à perda de algumas mensagens de eventos de segurança.
517	O log de segurança foi limpo.
518	Um pacote de notificação foi carregado pelo Gerenciador de Contas de Segurança.

Você pode usar essas identificações de eventos para capturar uma série de questões de segurança:

•

Reinicialização/desligamento do computador
A identificação de evento 513 mostra cada instância de desligamento do Windows. É importante saber quando os servidores foram desligados ou reinicializados. Há diversos motivos legítimos, como a instalação de um driver ou um aplicativo que exige reinicialização, ou o servidor foi desligado ou reinicializado para manutenção. No entanto, um invasor também pode forçar uma reinicialização do servidor para obter acesso ao sistema durante esse processo. Todos os casos em que o computador é desligado devem ser anotados para comparação com o log de eventos.

Vários ataques envolvem a reinicialização de um computador. Ao investigar os logs de eventos, você pode determinar quando um servidor foi reinicializado e se isso foi planejado ou não. A identificação de evento 513 mostra o Windows sendo inicializado, assim como uma série de outros eventos que são gerados automaticamente no log do sistema. Ele incluem a identificação de evento 6005, que indica o início do serviço de log de eventos.

Além dessa entrada, procure uma de duas entradas diferentes no log do sistema. Se o desligamento anterior tiver sido limpo, como no caso em que um administrador reinicia o computador, a identificação de evento 6006, O serviço Log de eventos foi finalizado, será registrada no log do sistema. Ao examinar os detalhes da entrada, você pode determinar qual usuário iniciou o desligamento.

Se a reinicialização tiver ocorrido devido a uma reinicialização inesperada, uma identificação de evento 6008, O desligamento anterior do sistema em <horário> em <data> não era esperado será registrada no log do sistema. Isso pode indicar que um DoS (negação de serviço) causou o desligamento do computador. Mas lembre-se de que isso também pode ocorrer devido a uma falha de energia ou a uma falha de driver de dispositivo.

Se a reinicialização tiver ocorrido devido a um erro de parada que resultou em uma tela azul, a identificação de evento 1001, com origem Despejo de Memória, será registrada no log do sistema. A mensagem de erro de parada real poderá ser revista nos detalhes do evento.

Observação: para incluir a gravação das entradas de identificação de evento 1001, marque a opção Gravar um evento no log do sistema a fim de habilitar a seção de configurações de recuperação do miniaplicativo Sistema no Painel de Controle.

•

Modificando ou limpando o log de segurança
Um invasor pode tentar modificar os logs de segurança, desabilitar a auditoria durante um ataque ou limpar o log de segurança a fim de impedir a detecção. Se você notar grandes períodos sem entradas no log de segurança, deverá procurar as identificações de evento 612 e 517 para determinar qual usuário modificou a diretiva de auditoria. Todas as ocorrências da identificação de evento 517 devem ser comparadas ao log físico que indica todos os horários em que o log de segurança foi limpo. Uma limpeza não autorizada do log de segurança pode ser uma tentativa de ocultar eventos que existiam no log de segurança anterior. O nome do usuário que limpou o log é incluído nos detalhes do evento.

A Contoso está monitorando desligamentos ou reinicializações de computadores e a limpeza do log de segurança.

Alteração de diretiva

Sua diretiva de auditoria define quais alterações do ambiente serão auditadas, ajudando-o a determinar se houve tentativas de atacar o ambiente. No entanto, um determinado invasor procurará alterar a própria diretiva de auditoria, para que todas as alterações que ele fizer não sejam auditadas.

Se você auditar alterações de diretiva, verá tentativas de alteração da diretiva de auditoria, juntamente com alterações de outras diretivas e de direitos de usuários. As diretivas Servidor Membro e de Base dos Controladores de Domínio auditam a alteração de diretiva com e sem êxito. Você verá estes eventos registrados no log de eventos.

Tabela 9: eventos de alteração de diretiva que aparecem no log de eventos

Identificação do evento	Descrição
608	Um direito de usuário foi atribuído.
609	Um direito de usuário foi removido.
610	Uma relação de confiança com outro domínio foi criada.
611	Uma relação de confiança com outro domínio foi removida.
612	Uma diretiva de auditoria foi alterada.
768	Foi detectada uma colisão entre um elemento de espaço de nomes em uma floresta e outro de outra floresta. (Ocorre quando um elemento de espaço de nome em uma floresta sobrepõe-se a outro de outra floresta.)

Os dois eventos mais importantes a serem procurados são as identificações de evento 608 e 609. Um número de tentativas de ataque pode resultar no registro desses eventos. Os exemplos a seguir gerarão a identificação de evento 608 se o direito de usuário for atribuído ou a identificação 609 se for removido. Em cada caso, o SID específico ao qual o direito de usuário é atribuído, juntamente com o nome de usuário do objeto de segurança que atribuiu o direito, são incluídos nos detalhes do evento:

•	Agir como parte do sistema operacional Procure as identificações de evento 608 e 609 com direito de usuário seTcbPrivilege nos detalhes do evento.
•	Adicionar estações de trabalho ao domínio Procure os eventos com direito de usuário SeMachineAccountPrivilege nos detalhes do evento.
•	Fazer backup de arquivos e diretórios Procure os eventos com direito de usuário SeBackupPrivilege nos detalhes do evento.
•	Ignorar verificação completa Procure eventos com direitos de usuário SeChangeNotifyPrivilege nos detalhes do evento. Esse direito de usuário permite que os usuários verifiquem completamente uma árvore de diretório mesmo que não tenham permissões para acessar esse diretório.
•	Alterar horário do sistema Procure os eventos com direito de usuário SeSystemtimePrivilege nos detalhes do evento. Esse direito de usuário permite que um objeto de segurança altere o horário do sistema, potencialmente mascarando a ocorrência de um evento.
•	Criar objetos compartilhados permanentes Procure eventos com direito de usuário SeCreatePermanentPrivilege nos detalhes do evento. O detentor desse direito de usuário pode criar compartilhamentos de arquivos e de impressoras.
•	Depurar programas Procure eventos com direito de usuário SeDebugPrivilege nos detalhes do evento. Um detentor desse direito de usuário pode se anexar a qualquer processo. Esse direito é, por padrão, atribuído somente a administradores.
•	Forçar desligamento a partir de um sistema remoto Procure eventos com direito de usuário SeRemoteShutdownPrivilege nos detalhes do evento.
•	Aumentar prioridade de agendamento Procure eventos com direito de usuário SeIncreaseBasePriorityPrivilege nos detalhes do evento. Um usuário com esse direito pode modificar prioridades de processos.
•	Carregar e descarregar drivers de dispositivos Procure eventos com direito de usuário SeLoadDriverPrivilege nos detalhes do evento. Um usuário com esse direito de usuário poderia carregar uma versão cavalo de Tróia de um driver de dispositivo.
•	Gerenciar o log de auditoria e de segurança Procure eventos com direito de usuário SeSecurityPrivilege nos detalhes do evento. Um usuário com esse direito de usuário pode exibir e limpar o log de segurança.
•	Substituir um símbolo de nível de processo Procure eventos com direito de usuário SeAssignPrimaryTokenPrivilege nos detalhes do evento. Um usuário com esse direito de usuário pode alterar o símbolo padrão associado a um subprocesso iniciado.
•	Restaurar arquivos e diretórios Procure eventos com direito de usuário SeRestorePrivilege nos detalhes do evento.
•	Desligar o sistema Procure os eventos com direito de usuário SeShutdownPrivilege nos detalhes do evento. Um usuário com esse direito de usuário poderia desligar o sistema para inicializar a instalação de um novo driver de dispositivo.
•	Ganhar propriedade de arquivos ou outros objetos Procure eventos com direito de usuário SeTakeOwnershipPrivilege nos detalhes do evento. Um usuário com esse direito de usuário pode acessar qualquer objeto ou arquivo em um disco com sistema de arquivos NTFS ao tornar-se proprietário do objeto ou arquivo.

Observação: esses eventos de auditoria somente identificam que o direito de usuário foi atribuído a um objeto de segurança específico. Isso não significa que o objeto de segurança realizou uma tarefa com esse direito de usuário. Os eventos de auditoria determinam quando a diretiva de direito de usuário foi modificada.

A Contoso não está monitorando eventos de alteração de diretiva. Esses eventos serão utilizados para solução de problemas ou resposta a incidentes.

O monitoramento de alterações de diretivas de grupo pode ser muito difícil e resultar em diversos alertas falsos. Isso ocorre porque o snap-in MMC para edição de diretivas de grupo, gpedit.msc, sempre abre diretivas com privilégios de leitura e de gravação. Mesmo que não haja alterações na diretiva, o evento 578 é gravado no log de segurança do controlador de domínio, como mostrado a seguir.

O Console de Gerenciamento de Diretivas de Grupo, lançado como download gratuito logo após o lançamento do Windows Server 2003, ajuda a contornar esses problemas ao permitir que usuários autorizados vejam configurações de diretivas de grupo sem que precisam abri-las no gpedit.msc. Para obter mais informações sobre o Console de Gerenciamento de Diretivas de Grupo, consulte http://www.microsoft.com/windowsserver2003/gpmc/gpmcwp.mspx.

Protegendo logs de eventos

Para garantir que as entradas do log de eventos sejam mantidas para referência futura, você deve seguir uma série de etapas para proteger a segurança dos logs de eventos. Elas são:

•	Definir uma diretiva para armazenamento, sobregravação e manutenção de todos os logs de eventos. A diretiva deve definir todas as configurações de logs de eventos e ser aplicada pela Diretiva de Grupo.
•	Garantir que a diretiva inclua como lidar com logs de eventos cheios, especialmente o log de segurança. É recomendável que um log de segurança cheio exija o desligamento do servidor. Isso pode não ser prático para alguns ambientes, mas você deve certamente levá-lo em consideração.
•	Impedir acesso de visitante aos logs de eventos habilitando as configurações da diretiva de segurança para impedir que os convidados acessem os logs do sistema, de aplicativos e de segurança.
•	Garantir que os eventos do sistema sejam auditados para êxito e falha a fim de determinar se foram feitas tentativas de apagar o conteúdo do log de segurança.
•	Forçar o uso de senhas complexas ou dois métodos de autenticação de fator, como logon por cartão inteligente por todos os objetos de segurança que têm capacidade de exibir e modificar as configurações de auditoria para impedir ataques contra essas contas a fim de obter acesso a informações de auditoria.

A Contoso implementou essas configurações nos objetos de diretiva de grupo Servidor Membro e Controlador de Domínio.

Além dessas etapas, você deve tomar as seguintes medidas práticas para garantir que as informações do log de eventos estejam o mais seguras possível:

•

Garanta que o plano de segurança inclua a segurança física de todos os servidores a fim de impedir que um invasor obtenha acesso físico ao computador em que a auditoria é realizada. Um invasor pode remover as entradas de auditoria modificando ou excluindo os arquivos *.evt no subsistema do disco local.

•

Implemente um método de remover ou armazenar os logs de eventos em um local separado do servidor. Isso pode incluir o uso de Tarefas Agendadas para gravar regularmente os logs de eventos em CD-R ou mídia não regravável, ou em outros locais da rede separados do servidor. Se os backups forem copiados para mídia externa, como fitas de backup ou mídia de CD-R, ela deve ser removida das instalações a fim de protegê-las contra incêndio ou outros desastres naturais.

Observação: impedir o acesso de convidados a logs de eventos somente restringe que membros que não sejam do domínio acessem os logs de eventos. Por padrão, todos os usuários de um domínio podem acessar os logs do sistema e de aplicativos. Somente o acesso ao log de segurança é restrito. Os objetos de segurança que recebem o direito de usuário Gerenciar log de auditoria e de segurança podem acessar o log de segurança. Por padrão, ele só é atribuído a Administradores e Exchange Enterprise Servers.

Outras práticas recomendadas de auditoria

Além de configurar a auditoria, há outras práticas que devem ser implementadas para auditar com eficácia a segurança do ambiente do servidor. São eles:

•	Agendar a revisão regular dos logs de eventos.
•	Revisar outros arquivos de log de aplicativos.
•	Monitorar serviços e drivers instalados.
•	Monitorar portas abertas.

Agendar a revisão regular dos logs de eventos

Como mencionado anteriormente, o log de segurança e potencialmente outros logs de eventos devem ser gravados em material removível ou consolidados em um local central para revisão. A revisão dos logs é, com freqüência, a etapa de auditoria mais esquecida.

A Contoso se esforçou muito para garantir que haja uma única pessoa ou uma equipe responsável pela revisão dos logs de eventos como uma tarefa regular. Essa revisão dos logs de eventos pode ser agendada como evento diário ou semanal, dependendo da quantidade de dados coletados no log de segurança. Isso geralmente depende do nível de auditoria implementado na rede. Se forem incluídos mais eventos na auditoria, o volume das entradas do log será maior. Se você agendar revisões regulares do log de eventos, ajudará a obter o seguinte:

•	Detecção mais rápida de questões de segurança Se a revisão diária dos logs de eventos for realizada, um evento de segurança nunca deve ter mais de 24 horas. Isso resulta em detecção e correção mais rápidas das vulnerabilidades de segurança.
•	Definir responsabilidades Se a revisão regular dos logs de eventos for necessária, a pessoa com essa tarefa pode ser a responsável por identificar ataques potenciais.
•	Reduzir o risco de eventos serem sobrescritos ou o servidor ficar desativado Assim que um log de eventos é revisado, seus eventos podem ser arquivados para revisão futura e removidos do log de eventos atual. Essa prática reduz o risco de que os logs de eventos fiquem cheios.

Revisar outros arquivos de log de aplicativos

Além de revisar os logs de eventos do Windows 2000 em busca de eventos de segurança, você também deve revisar os logs criados pelos aplicativos. Os logs de aplicativos podem incluir informações valiosas sobre ataques potenciais que podem complementar as informações encontradas nos logs de eventos. Dependendo do ambiente, você poderá precisar analisar um ou mais destes arquivos de log:

•	IIS (Serviços de Informações da Internet) O IIS cria arquivos de log que controlam tentativas de conexão com serviços Web, FTP, NTP e SMTP. Cada serviço em execução no IIS mantém arquivos de log separados e os armazena em formato de arquivo de log estendido da W3C (World Wide Web Consortium) na pasta %WinDir%\System32\Logfiles. Cada serviço mantém uma pasta separada para maior separação das informações de registro. Como alternativa, você pode configurar o IIS para armazenar os logs em um banco de dados compatível com ODBC, como o Microsoft SQL Server™.
•	Microsoft ISA (Internet Security and Acceleration) Server O ISA Server fornece logs para filtros de pacotes, o Serviço de Firewall do ISA Server e o Serviço de Proxy Web do ISA Server. Como no caso do IIS, os logs são armazenados no formato de arquivo de log estendido da W3C por padrão, mas podem ser registrados em um banco de dados compatível com ODBC como alternativa. Os arquivos de log do ISA Server são armazenados na pasta C:\Arquivos de Programas\Microsoft ISA Server\ISALogs por padrão.
•	IAS (Serviço de autenticação da Internet) O IAS fornece autenticação e contabilidade centralizadas para autenticação de acesso remoto com o protocolo RADIUS. Por padrão, as solicitações de contabilidade, de autenticação e os status periódicos são registrados no arquivo IASlog.log localizado na pasta %WinDir%\System32\Logfiles. Como alternativa, o arquivo de log pode ser salvo em um formato de arquivo compatível com banco de dados, em vez de formato IAS.
•	Aplicativos de terceiros Diversos aplicativos de terceiros implementam funções de log local a fim de fornecer informações detalhadas sobre os próprios aplicativos. Para obter mais informações, consulte os arquivos de ajuda específicos do aplicativo.

Observação: todos os computadores que mantêm arquivos de log devem usar relógios sincronizados. Isso permite que um administrador compare eventos entre computadores e serviços a fim de estabelecer as ações que foram tomadas pelo invasor. Para obter mais detalhes sobre sincronização de horário, consulte a seção "Importância da sincronização de horário" mais adiante neste modulo.

Monitorar serviços e drivers instalados

Vários ataques contra um computador são implementados por meio do ataque a serviços instalados no computador-alvo ou pela substituição de drivers válidos por versões que incluem um cavalo de Tróia, permitindo que um invasor acesse o computador-alvo.

As ferramentas a seguir podem ser usadas para monitorar os serviços e drivers instalados nos computadores:

•	O console Serviços O console MMC Serviços é usado para monitorar os serviços do computador local ou de um computador remoto e permite que um administrador configure, pause, pare, inicie e reinicie todos os serviços instalados. Use esse console para determinar se algum serviço configurado para iniciar automaticamente não foi iniciado.
•	Netsvc.exe Essa ferramenta de linha de comando, incluída no Windows 2000 Server Resource Kit, permite que um administrador inicie, pare, pause, continue e consulte remotamente o status dos serviços.
•	SvcMon.exe A ferramenta Monitoramento de Serviços monitora em computadores locais e remotos as alterações de estado (início e parada). Para detectar essas alterações, a ferramenta implementa um sistema de pesquisa. Quando um serviço monitorado pára ou inicia, a ferramenta o notifica por email. Você precisa configurar os servidores, os intervalos de pesquisa e os serviços a serem monitorados por meio da ferramenta Configuração do Monitor de Serviços (smconfig.exe).
•	Drivers.exe Esta ferramenta exibe todos os drivers de dispositivos instalados no computador em que ela é executada. A saída da ferramenta inclui informações como o nome de arquivo do driver, o tamanho do driver em disco e a data em que o driver foi vinculado. A data de vinculação pode ser usada para identificar qualquer driver instalado recentemente. Se um driver atualizado não tiver sido instalado recentemente, isso poderá indicar um driver substituído. Sempre relacione essas informações a um evento de reinicialização do sistema em Visualizar Eventos.

Observação: nem todos os serviços (como o serviço Estação de Trabalho) podem ser parados diretamente, apesar de ser possível consultá-los. Se o usuário tiver várias conexões ativas, você não poderá forçar o serviço a ser desligado remotamente, apesar de poder pausar ou consultá-lo. Alguns serviços têm outros serviços que são dependentes deles; não haverá êxito ao tentar desligar tais serviços, a menos que os serviços dependentes sejam desligados antes.

Monitorar portas abertas

Geralmente, os ataques são iniciados por meio de um exame de portas para identificar serviços conhecidos que estejam em execução no computador-alvo. Monitore cuidadosamente quais portas devem ser abertas nos servidores, o que geralmente significa examinar as portas por conta própria a fim de determinar o que pode ser acessado.

Você deve realizar os exames lógicos localmente no computador-alvo e de um computador remoto. Se o computador puder ser acessado de uma rede pública, o exame de portas poderá ser realizado com um computador externo. Ele garantirá que o software de firewall só permita o acesso às portas desejadas.

Netstat.exe é um utilitário de linha de comando que pode mostrar todas as portas abertas para TCP e UDP. O comando Netstat usa a seguinte sintaxe:

NETSTAT [-a] [-e] [-n] [-s] [-p proto] [-r] [intervalo]

Onde:

•	-a. Exibe todas as conexões e portas que escutam.
•	-e. Exibe estatísticas Ethernet. Isso pode ser combinado à opção -s.
•	-n. Exibe endereços e números de portas em formato numérico.
•	-p *proto*. Mostra conexões para o protocolo especificado por proto; pode ser TCP ou UDP. Se usado com a opção -s para exibir estatísticas por protocolo, proto poderá ser TCP, UDP ou IP.
•	-r. Exibe a tabela de roteamento.
•	-s. Exibe estatísticas por protocolo. Por padrão, as estatísticas são mostradas para TCP, UDP e IP; a opção -p pode ser usada para especificar um subconjunto do padrão.
•	intervalo. Reexibe as estatísticas selecionadas, com pausa em segundos iguais ao intervalo entre cada exibição. Pressione CTRL+C para parar de reexibir estatísticas. Se omitido, Netstat imprimirá as informações de configuração atuais de uma vez.

Quando você lista as portas TCP e UDP abertas no computador local, os números de portas são convertidos em nomes com base nas entradas do arquivo de serviços encontrado na pasta \%WinDir%\System32\Drivers\Etc\. Se preferir ver apenas números de portas, você poderá usar a opção -n.

Se alguma porta for descoberta e não reconhecida, você deverá investigá-la para determinar se o serviço correspondente é necessário no computador. Se não for, você deverá desabilitar ou remover o serviço associado para impedir que o computador escute nessa porta. Diversos serviços foram desabilitados nas diretivas Servidor Membro e de Base dos Controladores de Domínio incluídas neste guia.

Como vários servidores são protegidos por firewalls ou roteadores com filtragem de pacotes, também é recomendável examinar as portas a partir de um computador remoto. Diversas ferramentas de terceiros (inclusive algumas freeware) estão disponíveis para fazer exames de portas remotos. O exame de portas remoto revela quais portas estão disponíveis para usuários externos quando eles tentam se conectar ao computador.

Observação: o exame de portas também pode ser usado para testar seu sistema de detecção de invasão a fim de garantir que ele detecte o exame de portas enquanto estiver ocorrendo. Para obter mais informações sobre sistemas de detecção de invasões, consulte a seção "Métodos de detecção ativa" mais adiante neste módulo.

Início da página

Monitorando eventos de segurança e invasões

O monitoramento de eventos de segurança e invasões inclui tarefas passivas e ativas. Muitas invasões são detectadas após o ataque por meio da inspeção de arquivos de log. Freqüentemente, essa detecção pós-ataque é chamada de detecção passiva de invasão. Apenas com a inspeção dos arquivos de log o ataque pode ser visualizado e construído novamente com base nas informações do log.

Outras tentativas de invasão podem ser detectadas quando o ataque ocorre. Essa metodologia, chamada de detecção ativa de invasão, procura padrões ou comandos conhecidos de ataque e bloqueia a execução desses comandos.

Esta seção examinará ferramentas que podem ser usadas para implementar ambas as formas de detecção de invasão e proteger a rede contra ataques.

Importância da sincronização de horário

Quando você monitora eventos de segurança e invasões em vários computadores, é essencial que os relógios dos computadores estejam sincronizados. O horário sincronizado permite que o administrador reconstrua um ataque ocorrido em vários computadores. Se o horário não estiver sincronizado, será muito difícil determinar exatamente quando eventos específicos ocorreram e como os eventos estão interligados.

Métodos de detecção passiva

Os sistemas de detecção passiva de invasão envolvem a revisão manual de logs de eventos e logs de aplicativos. A inspeção envolve a análise e a detecção de padrões de ataque em dados do log de eventos. Existem vários utilitários, ferramentas e aplicativos que podem ajudar a revisar logs de eventos. Esta seção descreve como cada ferramenta pode ser usada para coordenar informações.

Visualizar Eventos

É claro que você pode exibir o log de segurança do Windows 2000 usando o console do MMC da opção Visualizar Eventos do Windows 2000. Visualizar Eventos permite exibir os logs de aplicativos, segurança e sistema. Você pode definir filtros para encontrar eventos específicos em Visualizar Eventos.

•

Para definir filtros em Visualizar Eventos

1.	Selecione o log de eventos específico na árvore do console.
2.	Selecione Filtro no menu Exibir.
3.	Selecione os parâmetros de filtragem.

Na guia Filtro da caixa de diálogo Propriedades, defina os seguintes atributos para filtrar entradas de eventos:

•	Tipos de evento. O filtro pode se limitar a informações, avisos, erros, auditorias com êxito, auditorias sem êxito ou qualquer combinação dos tipos de evento.
•	Origem do evento. O serviço ou o driver específico que gerou o evento.
•	Categoria. O filtro pode se limitar a categorias de eventos específicas.
•	Identificação do evento. Se você souber a identificação do evento específica que está procurando, o filtro poderá limitar a listagem a essa identificação específica.
•	Usuário. Você pode limitar a exibição a eventos gerados por um usuário específico.
•	Computador. Você pode limitar a exibição a eventos gerados por um computador específico.
•	Intervalos de data. Você pode limitar a exibição a eventos que estejam entre uma data inicial e uma data final específicas.

Quando o filtro é aplicado, a lista de eventos filtrada pode ser exportada para uma listagem separada por vírgulas ou por tabulações; desse modo, ela poderá ser importada para um aplicativo de banco de dados.

Conforme mencionado anteriormente, na Contoso há várias pessoas responsáveis por cada função administrativa. Essas pessoas realizam a revisão de logs de eventos. Como parte dessa atribuição, elas revisam os logs diariamente a fim de verificar se houve algum evento relacionado a segurança que não tenha sido registrado pelo sistema de monitoramento.

Ferramenta Dump Event Log (Dumpel.exe)

Dump Event Log é uma ferramenta de linha de comando, incluída no Windows 2000 Server Resource Kit, Supplement One (Microsoft Press, ISBN: 0-7356-1279-X). Ela despejará um log de eventos de um sistema local ou remoto em um arquivo de texto separado por tabulações. Em seguida, esse arquivo poderá ser importado para uma planilha ou um banco de dados para a realização de investigações mais detalhadas. A ferramenta também pode ser usada para filtrar a entrada e a saída de certos tipos de eventos.

A seguinte sintaxe é usada pela ferramenta dumpel.exe:

dumpel -f arquivo [-s \\servidor] [-l log [-m origem]] [-e n1 n2 n3...] [-r] [-t] 
[-d x]

Onde:

•	-f *arquivo*. Especifica o nome do arquivo de saída. Não há padrão para -f, portanto, você deve especificar o arquivo.
•	-s *servidor*. Especifica o servidor do qual você deseja despejar o log de eventos. O uso de barras invertidas à esquerda no nome do servidor é opcional.
•	-l *log*. Especifica qual log (de sistema, de aplicativos ou de segurança) será despejado. Se algum nome inválido de log for especificado, o log de aplicativos será despejado.
•	-m *origem*. Especifica em que origem (como de redirecionador (rdr), serial, etc.) os registros devem ser despejados. Só é possível fornecer uma origem. Se essa opção não for usada, todos os eventos serão despejados. Se for usada uma origem não incluída no Registro, registros desse tipo serão procurados no log de aplicativos.
•	-e *n1 n2 n3. Filtra por identificação do evento nn (podem ser especificadas até 10). Se a opção -r não for usada, apenas registros desses tipos serão despejados; se -r for usada, todos os registros, exceto registros desses tipos, serão despejados. Se essa opção não for usada, todos os eventos da nomedaorigem* especificada serão selecionados. Você não pode usar essa opção sem a opção -m.
•	-r. Especifica se ocorrerá filtragem da entrada ou da saída de origens ou registros específicos.
•	-t. Especifica quais seqüências de caracteres individuais serão separadas por tabulações. Se a opção -t não for usada, as seqüências de caracteres serão separadas por espaços.
•	-d x. Despeja eventos dos últimos x dias.

Observação: a ferramenta Dumpel só pode recuperar conteúdo dos arquivos de log de sistema, aplicativos e segurança. Você não pode usar a Dumpel para consultar conteúdo de logs de eventos do serviço de duplicação de arquivos, do DNS (sistema de nomes de domínios) ou do serviço de diretório.

EventCombMT

EventCombMT é uma ferramenta com vários segmentos que analisa logs de eventos de muitos servidores ao mesmo tempo, gerando um segmento separado de execução para cada servidor incluído nos critérios de pesquisa. EventCombMT foi incluída em Microsoft Windows Server 2003 Resource Kit Tools. Para obter mais informações, consulte:

http://www.microsoft.com/downloads/details.aspx?familyid=7af2e69c-91f3-4e63-8629-b999adde0b9e&displaylang=en.

A ferramenta permite:

•	Definir uma única identificação do evento ou várias identificações do evento para procura. Você pode incluir uma única identificação do evento ou várias identificações do evento separadas por espaços.
•	Definir um intervalo de identificações do evento para procura. Os pontos de extremidade são inclusivos. Por exemplo, se desejar procurar por todos os eventos situados entre as identificações 528 e 540, inclusive, defina o intervalo como 528 > ID < 540. Esse recurso é útil porque a maioria dos aplicativos que gravam no log de eventos usam um intervalo seqüencial de eventos.
•	Limitar a pesquisa a logs de eventos específicos. Você pode optar por pesquisar os logs de sistema, aplicativos ou segurança. Se a pesquisa for executada localmente em um controlador de domínio, você também poderá optar por pesquisar os logs do FRS, do DNS e do AD.
•	Limitar a pesquisa a tipos específicos de mensagem de eventos. Você pode optar por limitar a pesquisa a erros, informações, avisos, auditorias com êxito, auditorias sem êxito ou eventos com êxito.
•	Limitar a pesquisa a origens de evento específicas. Você pode optar por limitar a pesquisa a eventos de uma origem específica.
•	Procurar por texto específico em uma descrição de evento. Em cada evento, você pode procurar textos específicos. Isso será útil se você estiver tentando controlar usuários ou grupos específicos. Observação: você não pode incluir lógica de pesquisa, como AND, OR ou NOT no texto específico. Além disso, não coloque o texto entre aspas.
•	Definir intervalos de tempo específicos para realizar um exame retrospectivo a partir da data e da hora atuais. Isso permite limitar a pesquisa a eventos da semana, do dia ou do mês anterior.

Instalando a ferramenta

Para instalar a ferramenta, extraia o conteúdo do arquivo de extração automática SecWin2k.exe incluído neste guia. Isso criará a pasta C:\SCI\scripts\EventComb. Depois que os arquivos forem extraídos, você poderá executar a ferramenta EventCombMT clicando duas vezes no arquivo EventCombMT.exe.

Executando a ferramenta EventComb

A primeira etapa do uso da ferramenta EventComb é definir quais computadores serão incluídos na pesquisa de log de eventos.

•

Para adicionar computadores à pesquisa

No utilitário EventCombMT, verifique se o domínio correto foi detectado automaticamente na caixa de domínio. Se desejar pesquisar logs de eventos em outro domínio, digite manualmente o novo nome de domínio na caixa Domain.

Para adicionar computadores à lista de pesquisa, clique com o botão direito do mouse na caixa Select To Search/Right Click to Add. O menu pop-up mostrado na seguinte figura:

Usando as configurações da caixa de diálogo EventCombMT para adicionar computadores não detectados automaticamente à lista de pesquisa

Figura 1
Usando as configurações da caixa de diálogo EventCombMT para adicionar computadores não detectados automaticamente à lista de pesquisa

As seguintes opções estão disponíveis:

•	Get DCs in Domain. Adiciona todos os controladores do domínio atual à lista.
•	Add Single Server. Permite adicionar à lista um servidor ou uma estação de trabalho por nome.
•	Add all GCs in this domain. Permite adicionar todos os controladores do domínio selecionado que estejam configurados para serem servidores de catálogo global.
•	Get All Servers. Adiciona todos os servidores encontrados no domínio por meio do serviço de localizador. Os servidores excluem todos os controladores de domínio.
•	Get Servers from File. Permite importar um arquivo que lista todos os servidores a serem incluídos no escopo da pesquisa. Cada servidor deve ser inserido em uma linha separada do arquivo de texto.

Depois que os servidores forem adicionados à lista, você deverá selecionar em quais servidores a pesquisa será executada. Quando selecionado, o servidor aparece realçado na lista. Você pode escolher vários servidores usando a combinação CTRL+clique.

Especificando os logs de eventos e os tipos de eventos a serem pesquisados

Depois de selecionar os servidores a serem incluídos na pesquisa de logs de eventos, você pode restringir o escopo da pesquisa selecionando quais logs e tipos de eventos devem ser incluídos.

No utilitário EventCombMT, faça seleções nos seguintes logs de eventos para pesquisa:

•	Sistema
•	Aplicativo
•	Segurança
•	FRS (serviço de duplicação de arquivos)
•	DNS (servidor DNS)
•	AD (serviço de diretório)

Você também pode selecionar os seguintes tipos de eventos para a pesquisa:

•	Error. Este evento é registrado nos logs de aplicativos e de sistema e também aparece nos logs do FRS, do DNS e do AD.
•	Informational. Este evento é registrado nos logs de aplicativos e de sistema e também aparece nos logs do FRS, do DNS e do AD.
•	Warning. Este evento é registrado nos logs de aplicativos e de sistema e também aparece nos logs do FRS, do DNS e do AD.
•	Success Audit. Este evento ocorrerá no log de segurança ou de aplicativos se o aplicativo registrar auditorias com êxito no log de aplicativos. Por exemplo, a ADMT (Active Directory Migration Tool) registra eventos de auditoria com êxito no log de aplicativos.
•	Failure Audit. Este evento ocorrerá no log de segurança ou de aplicativos se o aplicativo registrar auditorias sem êxito no log de aplicativos. Por exemplo, a ADMT registra eventos de auditoria sem êxito no log de aplicativos.
•	Success. Este evento é muito raro e é encontrado nos logs de aplicativos ou de sistema e também aparece nos logs do FRS, do DNS e do AD. Quando você visualiza eventos, os eventos com êxito são exibidos como eventos do tipo informativo.

Observação: se você estiver ciente das especificidades do log de eventos em que uma identificação de evento aparece e o tipo de evento da identificação, sempre inclua essas informações nos critérios de pesquisa, pois elas reduzem o tempo da pesquisa.

Salvando pesquisas

EventCombMT permite salvar pesquisas e recarregá-las posteriormente. Isso poderá ser útil se você usar a ferramenta EventCombMT com freqüência para procurar um conjunto de eventos nos servidores IIS e outro conjunto de eventos nos controladores de domínio.

Os critérios de pesquisa são salvos no Registro, em:

HKLM\Software\Microsoft\EventCombMT e podem ser facilmente editados.

Arquivos de resultados da pesquisa

Por padrão, os resultados da pesquisa são salvos na pasta C:\Temp. Esses resultados incluem um arquivo de resumo chamado EventCombMT.txt, e, para cada computador incluído na pesquisa de log de eventos, um arquivo de texto separado chamado ComputerName-EventLogName_LOG.txt é gerado. Esses arquivos de texto individuais contêm todos os eventos extraídos dos logs de eventos que correspondem aos critérios de pesquisa.

Exemplos do uso da ferramenta EventCombMT

Para mostrar como EventCombMT pode ser usada, mostraremos como essa ferramenta pode ser configurada para detectar reinicializações de controladores de domínio e bloqueios de contas.

•

Para usar EventCombMT para procurar por reinicializações de controladores de domínio

1.	Na ferramenta EventCombMT, verifique se o domínio está configurado para o nome de domínio correto.
2.	Na caixa Select to Search/Right Click to Add abaixo do nome de domínio, clique com o botão direito do mouse na caixa e, em seguida, clique em Get DCs in Domain. Observação: ao procurar por eventos, como eventos de logon de conta e gerenciamento de contas, certifique-se de pesquisar todos os controladores de domínio. Como o Windows 2000 usa um modelo multimestre para o gerenciamento de contas, uma conta pode ser adicionada, modificada ou excluída em qualquer controlador do domínio. Da mesma forma, a autenticação pode ser validada por qualquer controlador do domínio. Por isso, você não pode ter certeza sobre o local onde a tentativa de autenticação ou atualização ocorre.
3.	Clique com o botão direito do mouse na caixa Select to Search/Right Click to Add e, em seguida, clique em Select All Servers in List.
4.	Na seção Choose Log Files to search da ferramenta, selecione somente o log System.
5.	Na seção Event Types da ferramenta, selecione Error e Informational.
6.	Na caixa Event IDs, digite as seguintes identificações do evento: 1001 6005 6006 6008.
7.	Antes de clicar no botão Search, verifique se os critérios de pesquisa estão definidos como mostrado na figura abaixo. Em seguida, clique em Search. Figura 2 Definindo critérios de pesquisa na caixa de diálogo Event Comb MT

Quando a pesquisa é concluída, os resultados são exibidos no diretório de log, que deve ser aberto automaticamente quando a pesquisa é concluída.

•

Para revisar as entradas de log

No menu File, selecione Open Log Directory.

Na pasta C:\Temp, clique duas vezes no arquivo de saída de um controlador de domínio para exibir os eventos específicos registrados pela ferramenta EventCombMT. O resultado exibido deverá ser semelhante a:

1001,INFORMATIONAL,Save Dump,Wed Nov 28 05:45:50 2001,, 
The computer has rebooted from a bugcheck. The bugcheck was:  
0x000000d1 (0x00000004, 0x00000002, 0x00000000, 0x84c983dc).  
A dump was saved in: C:\WINDOWS\MEMORY.DMP. 
6005,INFORMATIONAL,EventLog,Wed Nov 28 05:45:46 2001,, 
The Event log service was started. 
6008,ERROR,EventLog,Wed Nov 28 05:45:46 2001,, 
The previous system shutdown at 5:33:47 AM on 11/28/2001 
 was unexpected. 6005,INFORMATIONAL,EventLog,Tue Nov 
 27 14:10:53 2001,,The Event log service was started. 
6006,INFORMATIONAL,EventLog,Tue Nov 27 14:09:26 2001,, 
The Event log service was stopped. 6005,INFORMATIONAL, 
EventLog,Tue Nov 27 10:11:37 2001,,The Event log service 
was started.

O evento 6006 indica um desligamento planejado iniciado por um usuário com direitos para desligar o controlador de domínio. O evento 6005 indica que o serviço de log de eventos foi iniciado. Isso ocorre na inicialização.

Os eventos 6008 e 1001 indicam que o computador foi desativado sem ser desligado, que foi reiniciado devido a um travamento ou então que ocorreu um erro de interrupção. Se um erro de interrupção ocorrer, o evento 1001 ocorrerá; as informações de depuração associadas e a referência ao arquivo de depuração estarão incluídas.

Deverá ser realizada uma verificação cruzada dos eventos retornados pela ferramenta EventCombMT com o tempo de inatividade conhecido e os eventos sem correspondência deverão ser pesquisados para garantir que o servidor não foi atacado.

EventCombMT inclui várias pesquisas pré-configuradas que podem ser usadas na procura de eventos de segurança. Por exemplo, há uma pesquisa predefinida que procura por eventos de bloqueio de conta.

•

Para usar EventCombMT para procurar por bloqueios de conta

1.	Na ferramenta EventCombMT, verifique se o domínio está configurado para o nome de domínio correto.
2.	Na caixa Select to Search/Right Click to Add abaixo do nome de domínio, clique com o botão direito do mouse na caixa e, em seguida, clique em Get DCs in Domain.
3.	Clique com o botão direito do mouse na caixa Select to Search/Right Click to Add e, em seguida, clique em Select All Servers in List.
4.	No menu Searches, clique em Built In Searches e, em seguida, clique em Account Lockouts. A configuração do utilitário EventCombMT é ilustrada na seguinte figura:
5.	Clique em Search.
6.	Quando a pesquisa é concluída, os resultados são exibidos no diretório de log, que deve ser aberto automaticamente quando a pesquisa é concluída.

Observação: outras pesquisas predefinidas incluídas em EventcombMT contêm pesquisas de serviços de duplicação de arquivos, procuras por SIDs duplicados e falhas de registro de DNS de LOGON DE REDE no Active Directory, erros no disco de hardware e erros de interface DNS. Você também pode definir e salvar suas próprias pesquisas personalizadas.

A Contoso usa EventCombMT quando tenta diagnosticar problemas ou determinar causas de questões durante um resposta a incidentes. Além disso, eles verificam rotineiramente bloqueios de conta ou senhas inválidas em todos os controladores de domínio. Isso ajuda a identificar manualmente padrões estranhos que podem não ser detectados por um sistema de monitoramento.

Coleta de eventos

Um dos principais objetivos da auditoria é identificar as ações executadas por invasores na rede. Um invasor pode tentar comprometer vários computadores e dispositivos da rede. Portanto, para compreender a extensão de um ataque, você deve ser capaz de coordenar e consolidar informações de muitos computadores.

Se os utilitários de log forem importados para um banco de dados, será mais fácil coordenar as informações em vários logs. Desde que o horário esteja sincronizado em todos os computadores, você poderá classificar em campos de hora e facilitar o controle de eventos com base em intervalos de tempo.

As seções a seguir descrevem algumas ferramentas e utilitários que você pode usar para coletar informações de log de eventos em um local central.

Criando scripts

Scripts podem ser escritos para coletar informações de log de eventos em computadores remotos e as armazenar em um local central. Ao criar scripts, você poderá decidir quando executar os scripts usando tarefas agendadas e que ações deverão ser executadas depois que o log de eventos for copiado com êxito para o local central.

Um exemplo simples é criar um arquivo em lotes que use o Dumpel.exe do Windows 2000 Server Resource Kit e iniciar esse arquivo em lotes em intervalos regulares usando tarefas agendadas no Painel de Controle.

O Windows 2000 Resource Kit, Supplement One inclui Eventquery.pl, um script Perl que exibe eventos dos logs de Visualizar Eventos em computadores locais e remotos com Windows 2000 e oferece uma grande variedade de filtros para ajudar você a encontrar eventos específicos.

Observação: para usar esse script, você precisará instalar o ActivePerl do Windows 2000 Server Resource Kit.

No momento, a Contoso não utiliza uma solução de coleta de eventos. No entanto, ela pretende utilizar o MACS (Microsoft Audit Collection System), que será lançado no próximo ano. O MACS é uma ferramenta de coleta de eventos de segurança que coleta eventos de maneira segura utilizando compactação, assinatura e criptografia. Depois de coletados, os eventos são carregados em um banco de dados SQL e otimizados para análise.

Microsoft Operations Manager

O MOM (Microsoft Operations Manager) 2000 oferece um abrangente conjunto de ferramentas que permite que empresas analisem detalhadamente o relatório de eventos interno e o monitoramento de desempenho do Windows 2000 e de seus aplicativos. O MOM 2000 pode coletar, armazenar e reportar eventos e dados de desempenho em um único local usando agentes inteligentes em computadores remotos, permitindo assim que um administrador revise de forma centralizada as informações coletadas.

O pacote de gerenciamento central do MOM 2000 coleta eventos que aparecem nos logs de eventos de sistema, de aplicativos e de segurança e agrega os resultados em um repositório central de eventos.

Observação: o MOM 2000 armazena as informações em um banco de dados do SQL Server e oferece vários métodos para recuperar e analisar os dados arquivados. Os administradores podem usar o Console do Administrador do Operations Manager, o Console da Web ou Relatórios do Operations Manager para exibir, imprimir ou publicar os dados. Cada modo inclui exibições predefinidas para a análise dos dados arquivados e permite que relatórios e exibições personalizadas sejam definidos.

Soluções de terceiros para coleta de log de eventos

Há diversos produtos de terceiros disponíveis que oferecem coleta centralizada e inspeção de logs de eventos. Quando você avaliar produtos de terceiros, inclua os seguintes recursos nos seus critérios:

•	Suporte a todos os logs do Windows 2000 Deve haver suporte aos logs do servidor DNS, do Serviço de Diretório e do FRS, além de logs de aplicativos, de segurança e do sistema.
•	Uso de um banco de dados back-end A ferramenta deve permitir que os logs de eventos sejam armazenados em uma estrutura de banco de dados que permita a inspeção de entradas do log de eventos anteriores para análise de tendências e correlação entre diversos servidores.
•	Funcionalidade de pesquisa e relatório A ferramenta deve permitir que você procure eventos específicos com base em critérios fornecidos. Os resultados devem ser apresentados de maneira legível.

Os produtos de terceiros que fornecem capacidade de coleta de eventos incluem:

•	Event Log Monitor — TNT Software (www.tntsoftware.com)
•	Event Archiver — Dorian Software Creations (www.doriansoft.com)
•	LogCaster — RippleTech (www.rippletech.com)

Métodos de detecção ativa

Os sistemas de detecção ativa de invasão analisam o tráfego de entrada da rede na camada do aplicativo, procurando métodos de ataque bem conhecidos ou cargas da camada de aplicativo suspeitas. Se um pacote suspeito é recebido, o sistema de detecção de invasão normalmente descarta o pacote e registra uma entrada no arquivo de log. Alguns sistemas de detecção de invasão também podem alertar um administrador se um ataque grave for detectado.

Soluções de terceiros para detecção de invasão

Há soluções de terceiros para sistemas de detecção de invasão de rede e de pontos de extremidade. Essas soluções de terceiros fornecem suporte a protocolos além do HTTP e também verificam ataques bem conhecidos contra computadores em rede.

Os tipos comuns de ataques que os sistemas de detecção de invasão devem identificar incluem:

•	Ataques de reconhecimento Ocorrem quando um invasor investiga uma rede, procurando vulnerabilidades. Ataques potenciais incluem varredura de ping, transferência de zona DNS, reconhecimento por email, exames de portas e download de conteúdo de sites em busca de scripts vulneráveis em páginas de exemplo.
•	Ataques de exploração Ocorrem quando os invasores aproveitam-se de recursos ou erros ocultos para obter acesso ao sistema. Com freqüência, os pontos de ataque foram identificados por um ataque de exploração anterior.
•	Ataques de DoS (negação de serviço) Ocorrem quando um invasor tenta paralisar um serviço em execução em um computador por meio da sobrecarga de um recurso, como links de rede, a CPU ou o subsistema de disco. O invasor não tenta obter informações, mas desabilitar o uso do computador.

Um bom sistema de detecção de invasão deve ser capaz de identificar todas as três formas de ataque. Dois métodos diferentes são usados para identificar ataques:

•

Detecção de anomalias
Esse método identifica uma linha de base de um computador na rede. Os desvios dessa linha de base podem identificar uma tentativa de invasão. Por exemplo, um aumento das tentativas de logon fora dos horários de pico pode indicar um computador comprometido. A vantagem da detecção de anomalias é que ela pode identificar ataques sem compreender exatamente como ele ocorre.

•

Reconhecimento de assinatura
Esse método identifica ataques com base em padrões conhecidos. Diversos ataques a servidores Web usam padrões comuns que podem ser identificados facilmente. Ao comparar o tráfego de aplicativos de entrada a seqüências de assinaturas em um banco de dados, um sistema de detecção de invasão pode identificar esses ataques. A desvantagem desse método de detecção de invasão é que o banco de dados de assinaturas deve ser atualizado com freqüência para identificar novas assinaturas de ataques.

Alguns produtos de terceiros disponíveis para teste e implantação incluem:

•	BlackIce Defender (http://blackice.iss.net/)
•	Cisco Secure IDS (http://www.cisco.com/warp/public/cc/pd/sqsw/sqidsz/prodlit/netra_ds.htm)
•	eTrust Intrusion Detection (http://www3.ca.com/Solutions/Product.asp?ID=163)
•	Snort (http://www.snort.org/)
•	Tripwire (http://www.tripwiresecurity.com)
•	Foundstone Attacker (http://www.foundstone.com/)

Avaliação de vulnerabilidades

Além de executar a detecção ativa de invasão, você também deve executar avaliações de vulnerabilidades periódicas. As avaliações de vulnerabilidades simulam um ataque à rede e detectam as vulnerabilidades que um invasor encontraria.

Ao realizar avaliações periódicas, você pode descobrir vulnerabilidades antes que um invasor o faça e proteger um ponto fraco da rede contra elas.

Ao pesquisar ferramentas de avaliação de vulnerabilidades, inclua os seguintes requisitos em seu processo de decisão:

•	Mecanismo de atualização automática do banco de dados A ferramenta deve fornecer um método automatizado para atualizar as assinaturas de vulnerabilidades, para que não fique desatualizada em pouco tempo.
•	Um filtro para minimizar alarmes falsos A ferramenta deve filtrar alarmes falsos para que uma organização não desperdice tempo investigando eventos não relacionados à segurança.
•	Capacidade de armazenar resultados em um banco de dados A ferramenta deve permitir o arquivamento de resultados de exames a fim de realizar análises de tendências e detectar alterações da segurança ao longo do tempo.
•	Soluções para vulnerabilidades Se uma vulnerabilidade for encontrada, a ferramenta deverá fornecer documentação sobre como corrigi-la ou scripts que executem as tarefas de proteção.

Há diversas ferramentas de terceiros para executar avaliações de vulnerabilidades em uma rede com Windows 2000. Essas ferramentas incluem:

•	Symantec NetRecon 3.5 (http://enterprisesecurity.symantec.com/)
•	BindView Security Advisor (http://www.bindview.com)
•	eEye Digital Security. Retina Network Security Scanner (http://www.eeye.com)
•	Internet Security Systems (ISS) Internet Scanner (http://www.iss.net)
•	Symantec Enterprise Security Manager 5.5 (http://enterprisesecurity.symantec.com/products/products.cfm?ProductID=45)

Como alternativa, pode ser mais adequado recorrer a um serviço de consultoria para realizar a avaliação de vulnerabilidades. A vantagem do uso de um serviço de terceiros é que eles têm conhecimento anterior sobre a rede e trabalharão do mesmo ponto de partida que um invasor externo. Em vários momentos, esses avaliadores externos fornecerão as informações mais úteis com base na neutralidade da equipe de avaliação.

Início da página

Resumo

A auditoria e a detecção de invasões é uma das principais partes da construção de uma defesa eficiente para seu ambiente. Como parte do seu processo de gerenciamento de riscos, você deve determinar quanta auditoria e detecção de invasões é adequada para seu ambiente. Para detecção de invasões em vários protocolos, talvez você considere ferramentas de terceiros.

Início da página

Mais informações

Para obter mais informações sobre o uso de direitos de usuário, consulte Writing Secure Code de Michael Howard e David LeBlanc (Microsoft Press, ISBN: 0-7356-1588-8).

Informação sobre ISA Server Partners: http://www.microsoft.com/isaserver/partners.

ISA Server Solution Developers Kit (SDK):
http://www.microsoft.com/isaserver/techinfo/productdoc/2000/SDKdownload.asp.

Para obter mais informações sobre o Console de Gerenciamento de Diretivas de Grupo, consulte:
http://www.microsoft.com/windowsserver2003/gpmc/gpmcwp.mspx.

Início da página