Luiz Henrique Lima Campos – Microsoft MVP

1 de dezembro de 2023
por luizhenriquelima
0 comentários

Identificando Logs Úteis para Investigação de Incidentes de Segurança no Windows Server 2022

Investigar incidentes de segurança é uma tarefa crítica para profissionais de TI e especialistas em segurança da informação. O Windows Server 2022 fornece diversos logs que podem ser essenciais para essa investigação. Este artigo detalha os tipos de logs disponíveis e os IDs de eventos específicos que são particularmente úteis para a investigação de incidentes de segurança.

Tipos de Logs Relevantes e IDs de Eventos

Logs de Segurança

Essenciais para qualquer investigação de segurança, esses logs registram eventos como tentativas de login, alterações de política e atividades de conta.

  • 4624: Sucesso de logon
  • 4625: Falha de logon
  • 4648: Tentativa de logon com credenciais explícitas
  • 4672: Atribuição de privilégios especiais durante o logon
  • 4720: Criação de uma conta de usuário
  • 4722: Ativação de uma conta de usuário
  • 4728: Membro adicionado a um grupo de segurança global
  • 4732: Membro adicionado a um grupo de segurança local
  • 4740: Conta de usuário bloqueada
  • 4756: Membro adicionado a um grupo de segurança universal
  • 4771: Falha na solicitação de ticket Kerberos

Logs de Aplicativos

Registram eventos relacionados a aplicativos, úteis para identificar mal funcionamentos ou atividades maliciosas.

  • 1000: Falha de aplicativo
  • 1002: Aplicativo que parou de responder
  • 11707: Instalação de aplicativo bem-sucedida
  • 11708: Falha na instalação do aplicativo

Logs do Sistema

Contêm eventos do sistema operacional, importantes para identificar mudanças anormais ou falhas do sistema.

  • 104: Falha de instalação de atualização do Windows
  • 1074: Desligamento/reinicialização do sistema iniciado pelo usuário
  • 6008: Registro de desligamento inesperado

Logs do PowerShell

Com o aumento do uso do PowerShell em ataques, o monitoramento destes logs tornou-se crucial.

  • 400: Início da execução do motor do PowerShell
  • 403: Parada da execução do motor do PowerShell
  • 600: Provedor de logs do PowerShell carregado
  • 800: Execução de Pipeline iniciada

Ferramentas e Comandos para Acesso aos Logs

Para acessar e analisar esses logs, utilize o Visualizador de Eventos (eventvwr.msc) ou ferramentas de linha de comando como PowerShell, com comandos como Get-EventLog e Get-WinEvent.

Conclusão

A capacidade de identificar rapidamente e analisar os logs corretos é vital na resposta a incidentes de segurança. Este artigo forneceu uma visão geral dos logs úteis no Windows Server 2022 para investigações de segurança, incluindo os IDs de eventos específicos. Utilizando estas informações, profissionais de segurança podem efetivamente monitorar, investigar e responder a incidentes de segurança, fortalecendo a postura de segurança da organização.

29 de novembro de 2023
por luizhenriquelima
0 comentários

Implementando Just Enough Administration (JEA) no Windows Server: Um Guia Prático

Just Enough Administration (JEA) é uma tecnologia de segurança poderosa no Windows Server que permite limitar os privilégios administrativos, fornecendo aos usuários apenas as permissões necessárias para executar tarefas específicas. Isso minimiza os riscos associados a direitos administrativos amplos e melhora a segurança geral da infraestrutura de TI. Este artigo orientará você através do processo de configuração do JEA no Windows Server.

Introdução ao JEA

JEA ajuda a reduzir a superfície de ataque em seus servidores ao conceder aos usuários a capacidade de executar tarefas administrativas sem fornecer-lhes direitos administrativos completos. Ele é implementado através do Windows PowerShell e configurações de sessão, permitindo um controle detalhado sobre as ações que os usuários podem executar.

Pré-requisitos

  • Windows Server 2016 ou posterior instalado.
  • Windows PowerShell 5.0 ou superior.
  • Conhecimento básico do PowerShell e da administração do Windows Server.

Passo 1: Instalar o Módulo do PowerShell para JEA

O primeiro passo é garantir que você tenha o módulo PowerShell necessário para JEA instalado. Abra o PowerShell como administrador e execute o seguinte comando para verificar se o módulo ‘PSDesiredStateConfiguration’ está instalado:

Get-Module -ListAvailable PSDesiredStateConfiguration

Se não estiver instalado, você pode instalar o módulo via PowerShell Gallery usando:

Install-Module -Name PSDesiredStateConfiguration

Passo 2: Criar um Arquivo de Configuração de Sessão do PowerShell

Você precisará criar um arquivo de configuração de sessão do PowerShell (.pssc) para definir as capacidades do usuário na sessão JEA. Este arquivo especifica quais comandos os usuários podem executar, quais módulos eles podem acessar, e outras configurações importantes.

  1. Crie o Arquivo PSSC: Use um editor de texto para criar um novo arquivo chamado MyJeaEndpoint.pssc com o seguinte conteúdo de exemplo:
@{
    SessionType = 'RestrictedRemoteServer'
    TranscriptDirectory = 'C:\Transcripts\JEA'
    RunAsVirtualAccount = $true
    RoleDefinitions = @{
        'CONTOSO\Domain Admins' = @{
            RoleCapabilities = 'Everything'
        }
        'CONTOSO\JEAUsers' = @{
            RoleCapabilities = 'BasicNetworking', 'ReadOnly'
        }
    }
}
  1. Salve o arquivo: Escolha um local seguro para salvar o arquivo .pssc.

Passo 3: Criar Arquivos de Capacidade de Função

Os arquivos de capacidade de função (.psrc) definem o que um usuário pode fazer em uma sessão JEA. Você pode criar múltiplos arquivos .psrc para diferentes funções de usuário.

  1. Crie o Arquivo PSRC: Crie um arquivo chamado BasicNetworking.psrc com definições que permitam ao usuário executar comandos de rede básicos. Salve este arquivo em um diretório conhecido como RoleCapabilities.
@{
    VisibleCmdlets = 'Get-NetIPAddress', 'Get-NetAdapter'
}
  1. Repita para Outras Capacidades: Crie outros arquivos .psrc conforme necessário para diferentes grupos de usuários e capacidades.

Passo 4: Registrar o Ponto de Extremidade JEA

Após criar os arquivos .pssc e .psrc, você precisa registrar o ponto de extremidade JEA no servidor.

Register-PSSessionConfiguration -Name 'MyJeaEndpoint' -Path '.\MyJeaEndpoint.pssc'

Passo 5: Testar a Configuração JEA

Finalmente, teste sua configuração JEA para garantir que ela funcione conforme esperado. Use o comando Enter-PSSession para conectar ao ponto de extremidade JEA com um usuário que tenha permissão para usar o JEA.

Enter-PSSession -ComputerName localhost -ConfigurationName MyJeaEndpoint -Credential (Get-Credential)

Conclusão

O Just Enough Administration (JEA) é uma ferramenta essencial para melhorar a segurança dos seus servidores Windows, minimizando os riscos associados a privilégios administrativos excessivos. Seguindo os passos acima, você pode configurar o JEA para fornecer aos usuários apenas as permissões necessárias para realizar suas tarefas, reforçando a postura de segurança da sua infraestrutura de TI.

17 de novembro de 2023
por luizhenriquelima
0 comentários

Microsoft fez a correção da VM do Windows Server afetadas por atualização prévia

Microsoft corrigiu um problema conhecido causado pelas atualizações de outubro, que levava a telas azuis e falhas de inicialização em máquinas virtuais (VM) do Windows Server 2022 implantadas nos hosts VMware ESXi.

Após a implementação da atualização cumulativa KB5031364 do mês passado, os administradores do Windows reportaram pela primeira vez problemas de início de VM (1, 2, 3, 4, 5). Dias depois, a empresa confirmou o problema e afirmou que este afetava apenas VM convidadas por host VMware ESXi com um processador físico AMD Epyc, com a opção “Expose IOMMU to guest OS” da VMware ligada, bem como com a Virtualization Based Security e System Guard Secure Launch ativadas no Windows Servidor 2022.

No Patch Tuesday deste mês, a Microsoft revelou que a raiz do problema foi resolvida com o lançamento da atualização cumulativa KB5032198 do Windows Server 2022. “Esta atualização aborda um problema conhecido que afeta máquinas virtuais (VM) executadas em hosts VMware ESXi”, afirma a empresa. “O Windows Server 2022 pode falhar na inicialização. As VM afetadas receberão um erro com uma tela azul e um código de parada: PNP DETECTED FATAL ERROR”.

Os administradores Windows que não conseguem instalar imediatamente as atualizações do Patch Tuesday de novembro de 2023 têm soluções temporárias para contornar o problema. Uma abordagem é a desativação do “Expose IOMMU to guest OS” nas configurações das máquinas virtuais afetadas. Esta solução é apenas viável para um conjunto restrito de sistemas, uma vez que existem ambientes específicos que exigem que esta opção esteja ativivada por padrão.

Como último recurso, desinstalar a atualização problemática KB5031364 pode resolver os problemas de inicialização da VM. No entanto, esta alternativa tem uma desvantagem significativa, que é a remoção de todos os patches de segurança implantados com a atualização.

2 de novembro de 2023
por luizhenriquelima
0 comentários

Como Gerar Logs de Segurança de Autenticação com Falha no Windows Server 2022 Usando PowerShell

A segurança da informação é um aspecto crítico da gestão de TI, especialmente em ambientes corporativos. Monitorar tentativas de autenticação com falha pode ajudar a identificar possíveis ataques ou vulnerabilidades na segurança. Este artigo guiará você através do processo de criação de um script PowerShell para gerar todos os logs de segurança relacionados a autenticações com falha no Windows Server 2022.

Pré-requisitos

Antes de iniciar, certifique-se de que você tem os seguintes pré-requisitos:

  • Acesso administrativo ao Windows Server 2022.
  • Conhecimento básico de PowerShell.

Passo a Passo

1. Abrir o PowerShell com Privilegios de Administrador

Inicie o PowerShell com privilégios elevados clicando com o botão direito no menu Iniciar e selecionando “Windows PowerShell (Admin)”.

2. Script para Coletar Logs de Autenticação com Falha

Insira o seguinte script no PowerShell. Este script usa o cmdlet Get-WinEvent para filtrar e coletar logs de segurança específicos de tentativas de autenticação com falha.

powershell
# Define o filtro para eventos de segurança de autenticação com falha
$filterHashtable = @{
    LogName='Security'
    ID=4625 # ID de evento para uma tentativa de logon falhada
}

# Coleta os eventos de segurança com base no filtro
$failedAuthLogs = Get-WinEvent -FilterHashtable $filterHashtable

# Exibe os logs coletados
foreach ($log in $failedAuthLogs) {
    Write-Output $log
}

3. Análise e Armazenamento dos Logs

O script acima coletará e exibirá os eventos de logon com falha. Para análises mais aprofundadas ou para armazenar esses logs para auditorias futuras, você pode redirecioná-los para um arquivo. Modifique a última parte do script para:

powershell
# Caminho do arquivo onde os logs serão salvos
$filePath = "C:\Logs\FailedAuthLogs.txt"

# Salva os logs no arquivo especificado
$failedAuthLogs | Out-File -FilePath $filePath

4. Agendamento do Script para Execução Automática

Para monitoramento contínuo, você pode agendar o script para executar automaticamente em intervalos regulares usando o Agendador de Tarefas do Windows ou o próprio PowerShell.

Conclusão

Monitorar tentativas de autenticação com falha é vital para a segurança da sua infraestrutura de TI. Com este script PowerShell, você pode facilmente coletar e analisar esses eventos no Windows Server 2022, ajudando a identificar e mitigar possíveis ameaças de segurança.