As atividades de logon precisa ser auditada para atender a vários requisitos de segurança, operacionais e de conformidade de um ambiente de TI, como:
- Detectar atividades incomuns e potencialmente maliciosas, como um alto volume de falhas de logon.
- Rastreando o tempo ativo e ocioso gasto pelos usuários em suas estações de trabalho.
- Manter uma trilha de auditoria abrangente de logons ocorrendo em todo o domínio.
- Entre outros.
Portanto, é fundamental para os administradores auditarem os logons. No entanto, o processo de auditoria de logons tem um curva de aprendizado íngreme. Este guia fornece informações concisas sobre auditoria de logon para torná-lo
mais fácil para você controlar o processo. Ele o guiará pelas configurações de auditoria de que você precisa para
configurar para habilitar o registro, os IDs de eventos a serem rastreados, os campos de eventos aos quais prestar atenção e como superar as limitações da auditoria nativa.
Diferença entre autenticação e logon
Um logon ocorre no computador ao qual um usuário obtém acesso e, portanto, é registrado no log de segurança do computador local. A autenticação (logon da conta) é realizada pelo computador no qual o usuário conta reside, por isso é registrado no registro de segurança do computador local (se uma conta de usuário local for usado) ou o log de segurança do controlador de domínio (DC) (se uma conta de usuário de domínio for usada). Kerberos e NTLM são os dois protocolos usados principalmente para autenticação pelo Windows.
Quando uma conta local é usada para fazer logon em um computador, esse computador executa o logon e autenticação. Isso ocorre porque as contas locais são armazenadas no banco de dados local dos servidores membros e
estações de trabalho chamadas Security Account Manager (SAM). Quando uma conta de domínio é usada para fazer logon no um computador, o computador acessado executa o logon enquanto um DC executa a autenticação. Isto é
porque as contas de domínio são armazenadas no banco de dados do Active Directory que reside em um DC. O logon e a autenticação podem ser melhor compreendidos investigando esses dois mundos reais comuns
cenários.
Primeiro, vamos supor que Bob compre um computador para uso pessoal e faça login nele. O único tipo de conta
com a qual ele pode fazer logon é uma conta de usuário local, porque o computador é autônomo e não faz parte do
qualquer domínio, e os únicos recursos que ele pode acessar são aqueles no computador. Neste caso, ambos autenticação e logon ocorrem no computador, então o logon e logoff da conta correspondente
os eventos também são registrados no mesmo computador.
Em seguida, vamos supor que Bob faça login no computador atribuído a ele em seu local de trabalho, que é membro da um domínio. Ele pode fazer logon com uma conta de usuário local ou com uma conta de usuário de domínio. Para acessar recursos no domínio, como uma pasta compartilhada, por exemplo, vamos supor que ele faça logon com um usuário do domínio conta. Neste caso, o computador não pode realizar a autenticação, porque a conta do usuário do domínio e seu hash de senha não são armazenados localmente.
Portanto, o computador solicita um DC para autenticar e um evento de autenticação é registrado em qualquer DC
lida com o pedido. Depois que o usuário é autenticado, o computador prossegue com a criação do logon
sessão para o usuário e um evento de logon é registrado em seu log de segurança local.
Habilitando o registro via políticas de auditoria
A auditoria de segurança deve ser configurada para garantir que os eventos sejam registrados sempre que qualquer atividade de logon ocorre. A auditoria de segurança pode ser definida por meio de configurações de política de auditoria ou configurações de política de auditoria avançadas.
Nota: Recomenda-se que as configurações avançadas de política de auditoria sejam definidas em sistemas em execução Windows Server 2008 R2 e superior ou Windows 7 e superior. Políticas de auditoria avançadas serão abordadas em mais detalhes neste post.
As configurações da política de auditoria podem ser encontradas em Configuração do computador> Configurações do Windows> Segurança Configurações> Políticas locais> Política de auditoria.
As duas categorias de configurações de política de auditoria relacionadas ao logon são:
- Auditar eventos de logon da conta – Autenticação dos dados da conta
- Auditar logon de eventos – Acessos a um computador
Políticas de auditoria avançadas permitem que os administradores exerçam controle granular sobre quais atividades obtêm registrado, ajudando a reduzir o ruído do evento. As configurações avançadas de política de auditoria podem ser encontradas em Computador:
Configuração> Políticas> Configurações do Windows> Configurações de segurança> Configuração de política de auditoria avançada> Política de auditoria.
Com o ADAudit Plus você audita o logon bem-sucedido de cada usuário no computador local, as falhas de logon, exatamente quando o usuário iniciou o logoff, no caso de logon interativo e de área de trabalho remota. Obter acesso como um usuário local é comparável a um lapso crítico de segurança; já que essa porta dos fundos dificilmente é vista durante as auditorias de segurança e, mesmo quando monitorada, seria para olhar para trás na perícia do crime.
Saiba quando um grupo local é criado, alterado ou excluído e é crítico quando os usuários são adicionados / removidos. Para conformidade, terceiros auditam o ambiente de rede do Windows, mas principalmente os grupos / usuários locais não são levados em consideração.
Com ADAudit Plus, garanta o ‘gerenciamento de conta’ de usuários locais / grupos locais para monitorar completamente os servidores membros do Windows e saber todas as mudanças conforme elas acontecem, seja logon do usuário, falha de logon, logoff do usuário, duração do logon, histórico de logon, e muito mais.
Clique no botão abaixo e inicie sua avaliação gratuita de 30 dias, contando sempre com o apoio da equipe ACSoftware.
ACSoftware revenda e distribuidora ManageEngine no Brasil. Fone / WhatsApp (11) 4063 9639.
PodCafé da TI – Podcast, Tecnologia e Cafeína.
