Não há nada mais difícil de se encontrar na web do que um bom artigo que traga as principais práticas de política de auditoria para Windows Server. Sempre que precisei de algo relacionado era uma luta para encontrar um bom artigo e quando encontrava tinha que pegar informações de vários blogs até chegar em uma conclusão. Como o meu intuito sempre foi facilitar a vida dos meus leitores e sempre trazer bons conteúdos em português, criei este artigo para servir como um guia – e, claro, não teria como não compartilhar com a comunidade.
Essas recomendações devem ser apenas um guia de linha de base inicial para os administradores. Cada organização deve tomar as suas próprias decisões sobre as ameaças que enfrentam, suas tolerâncias de risco aceitáveis e quais categorias ou subcategorias de diretiva de auditoria para Windows Server eles devem habilitar.
Políticas de auditoria recomendadas por sistema operacional
Esta seção contém tabelas que listam as recomendações de configuração de auditoria para Windows Server ou não, que se aplicam aos seguintes sistemas operacionais:
- Windows Server 2016
- Windows Server 2012
- Windows Server 2012 R2
- Windows Server 2008
- Windows 10
- Windows 8.1
- Windows 7
Essas tabelas contêm a configuração padrão do Windows, as recomendações de linha de base e as recomendações mais fortes para esses sistemas operacionais.
Legenda das tabelas de política de auditoria para Windows Server
| Categoria ou subcategoria da política de auditoria | Padrão do WindowsFalha de êxito | Recomendação de linha de baseFalha de êxito | Recomendação mais forteFalha de êxito |
|---|---|---|---|
| Logon da conta | |||
| Validação de Credenciais de Auditoria | Não | Sim não | Sim Sim |
| Auditoria do serviço de autenticação Kerberos | Sim Sim | ||
| Auditoria das operações do tíquete de serviço Kerberos | Sim Sim | ||
| Auditoria de outros eventos de logon de conta | Sim Sim | ||
| Gerenciamento de contas | |||
| Auditoria do gerenciamento de grupo de aplicativos | |||
| Auditoria de Gerenciamento de Conta de Computador | Sim não | Sim Sim | |
| Auditoria de Gerenciamento de Grupo de Distribuição | |||
| Auditoria de Outros Eventos de Gerenciamento de Contas | Sim não | Sim Sim | |
| Auditoria de Gerenciamento de Grupo de Segurança | Sim não | Sim Sim | |
| Auditoria de Gerenciamento de Conta de Usuário | Sim não | Sim não | Sim Sim |
| Acompanhamento detalhado | |||
| Auditoria de Atividade DPAPI | Sim Sim | ||
| Auditoria de Criação de Processo | Sim não | Sim Sim | |
| Auditoria de Terminação de Processo | |||
| Auditoria de Eventos de RPC | |||
| Acesso ao DS | |||
| Auditoria de Replicação Detalhada do Serviço de Diretório | |||
| Auditoria do acesso ao serviço de diretório | |||
| Auditoria de Alterações no Serviço de Diretório | |||
| Auditoria de Replicação do Serviço de Diretório | |||
| Logon e logoff | |||
| Auditoria de Bloqueio de Conta | Sim não | Sim não | |
| Auditoria das declarações de dispositivo/usuário | |||
| Auditoria de Modo Estendido do IPsec | |||
| Auditoria de Modo Principal do IPsec | SE FOR | ||
| Auditoria de Modo Rápido do IPsec | |||
| Logoff de Auditoria | Sim não | Sim não | Sim não |
| Logon de auditoria 1 | Sim Sim | Sim Sim | Sim Sim |
| Auditoria de Servidor de Política de Rede | Sim Sim | ||
| Auditoria de outros eventos de logon/logoff | |||
| Auditoria de Logon Especial | Sim não | Sim não | Sim Sim |
| Acesso a objeto | |||
| Auditoria de Aplicativo Gerado | |||
| Auditoria de serviços de certificação | |||
| Compartilhamento de Arquivos de Auditoria Detalhado | |||
| Auditoria de Compartilhamento de Arquivos | |||
| Auditoria de Sistema de Arquivos | |||
| Auditoria de Conexão de Plataforma de Filtragem | |||
| Auditoria de Descarte de Pacote de Plataforma de Filtragem | |||
| Auditoria de Manipulação de Identificador | |||
| Auditoria de Objeto Kernel | |||
| Auditoria de Outros Eventos de Acesso a Objetos | |||
| Auditoria de Registro | |||
| Auditoria do armazenamento removível | |||
| Auditoria de SAM | |||
| Auditoria do preparo da política de acesso central | |||
| Alteração de política | |||
| Auditoria de Alteração de Políticas de Auditoria | Sim não | Sim Sim | Sim Sim |
| Auditoria de Alteração de Políticas de Autenticação | Sim não | Sim não | Sim Sim |
| Auditoria de Alteração de Políticas de Autorização | |||
| Auditoria de Alteração na Política da Plataforma de Filtragem | |||
| Auditoria de Alteração na Política de Nível de Regra MPSSVC | Sim | ||
| Auditoria de Outros Eventos de Alteração de Políticas | |||
| Uso de privilégios | |||
| Auditoria de Uso de Privilégio Não Importante | |||
| Auditoria de outros eventos de uso de privilégios | |||
| Auditoria de Uso de Privilégio Importante | |||
| Sistema | |||
| Auditoria do driver IPsec | Sim Sim | Sim Sim | |
| Auditoria de outros eventos do sistema | Sim Sim | ||
| Auditoria de Alteração no Estado de Segurança | Sim não | Sim Sim | Sim Sim |
| Auditoria de Extensão do Sistema de Segurança | Sim Sim | Sim Sim | |
| Auditoria da integridade do sistema | Sim Sim | Sim Sim | Sim Sim |
| Auditoria de acesso a objetos globais | |||
| Auditoria do driver IPsec | |||
| Auditoria de outros eventos do sistema | |||
| Auditoria de Alteração no Estado de Segurança | |||
| Auditoria de Extensão do Sistema de Segurança | |||
| Auditoria da integridade do sistema |
Recomendações de configurações de auditoria do Windows 10, do Windows 8 e do Windows 7.
1 a partir do Windows 10 versão 1809, o logon de auditoria é habilitado por padrão para êxito e falha. Nas versões anteriores do Windows, apenas êxito é habilitado por padrão.
Recomendações de configurações de auditoria para Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 R2 e Windows Server 2008.
| Categoria ou subcategoria da política de auditoria para Windows Server | Padrão do WindowsFalha de êxito | Recomendação de linha de baseFalha de êxito | Recomendação mais forteFalha de êxito |
|---|---|---|---|
| Logon da conta | |||
| Validação de Credenciais de Auditoria | Não | Sim Sim | Sim Sim |
| Auditoria do serviço de autenticação Kerberos | Sim Sim | ||
| Auditoria das operações do tíquete de serviço Kerberos | Sim Sim | ||
| Auditoria de outros eventos de logon de conta | Sim Sim | ||
| Gerenciamento de contas | |||
| Auditoria do gerenciamento de grupo de aplicativos | |||
| Auditoria de Gerenciamento de Conta de Computador | Sim DC | Sim Sim | |
| Auditoria de Gerenciamento de Grupo de Distribuição | |||
| Auditoria de Outros Eventos de Gerenciamento de Contas | Sim Sim | Sim Sim | |
| Auditoria de Gerenciamento de Grupo de Segurança | Sim Sim | Sim Sim | |
| Auditoria de Gerenciamento de Conta de Usuário | Sim não | Sim Sim | Sim Sim |
| Acompanhamento detalhado | |||
| Auditoria de Atividade DPAPI | Sim Sim | ||
| Auditoria de Criação de Processo | Sim não | Sim Sim | |
| Auditoria de Terminação de Processo | |||
| Auditoria de Eventos de RPC | |||
| Acesso ao DS | |||
| Auditoria de Replicação Detalhada do Serviço de Diretório | |||
| Auditoria do acesso ao serviço de diretório | CONTROLADOR DE DOMÍNIO DC | CONTROLADOR DE DOMÍNIO DC | |
| Auditoria de Alterações no Serviço de Diretório | CONTROLADOR DE DOMÍNIO DC | CONTROLADOR DE DOMÍNIO DC | |
| Auditoria de Replicação do Serviço de Diretório | |||
| Logon e logoff | |||
| Auditoria de Bloqueio de Conta | Sim não | Sim não | |
| Auditoria das declarações de dispositivo/usuário | |||
| Auditoria de Modo Estendido do IPsec | |||
| Auditoria de Modo Principal do IPsec | SE FOR | ||
| Auditoria de Modo Rápido do IPsec | |||
| Logoff de Auditoria | Sim não | Sim não | Sim não |
| Logon de Auditoria | Sim Sim | Sim Sim | Sim Sim |
| Auditoria de Servidor de Política de Rede | Sim Sim | ||
| Auditoria de outros eventos de logon/logoff | Sim Sim | ||
| Auditoria de Logon Especial | Sim não | Sim não | Sim Sim |
| Acesso a objeto | |||
| Auditoria de Aplicativo Gerado | |||
| Auditoria de serviços de certificação | |||
| Compartilhamento de Arquivos de Auditoria Detalhado | |||
| Auditoria de Compartilhamento de Arquivos | |||
| Auditoria de Sistema de Arquivos | |||
| Auditoria de Conexão de Plataforma de Filtragem | |||
| Auditoria de Descarte de Pacote de Plataforma de Filtragem | |||
| Auditoria de Manipulação de Identificador | |||
| Auditoria de Objeto Kernel | |||
| Auditoria de Outros Eventos de Acesso a Objetos | |||
| Auditoria de Registro | |||
| Auditoria do armazenamento removível | |||
| Auditoria de SAM | |||
| Auditoria do preparo da política de acesso central | |||
| Alteração de política | |||
| Auditoria de Alteração de Políticas de Auditoria | Sim não | Sim Sim | Sim Sim |
| Auditoria de Alteração de Políticas de Autenticação | Sim não | Sim não | Sim Sim |
| Auditoria de Alteração de Políticas de Autorização | |||
| Auditoria de Alteração na Política da Plataforma de Filtragem | |||
| Auditoria de Alteração na Política de Nível de Regra MPSSVC | Sim | ||
| Auditoria de Outros Eventos de Alteração de Políticas | |||
| Uso de privilégios | |||
| Auditoria de Uso de Privilégio Não Importante | |||
| Auditoria de outros eventos de uso de privilégios | |||
| Auditoria de Uso de Privilégio Importante | |||
| Sistema | |||
| Auditoria do driver IPsec | Sim Sim | Sim Sim | |
| Auditoria de outros eventos do sistema | Sim Sim | ||
| Auditoria de Alteração no Estado de Segurança | Sim não | Sim Sim | Sim Sim |
| Auditoria de Extensão do Sistema de Segurança | Sim Sim | Sim Sim | |
| Auditoria da integridade do sistema | Sim Sim | Sim Sim | Sim Sim |
| Auditoria de acesso a objetos globais | |||
| Auditoria do driver IPsec | |||
| Auditoria de outros eventos do sistema | |||
| Auditoria de Alteração no Estado de Segurança | |||
| Auditoria de Extensão do Sistema de Segurança | |||
| Auditoria da integridade do sistema |