O que há de novo em auditoria de segurança?

  • Artigo

A auditoria de segurança é uma das ferramentas mais poderosas que você pode usar para manter a integridade do seu sistema. Como parte da sua estratégia de segurança geral, você deve determinar o nível de auditoria que é adequado para o seu ambiente. A auditoria deve identificar os ataques (com êxito ou não) que representam uma ameaça à rede e os ataques contra os recursos que você determinou como valiosos em sua avaliação de risco.

Novos recursos no Windows 10, versão 1511

  • Os provedores de serviços de configuração WindowsSecurityAuditing e Reporting permitem adicionar políticas de auditoria de segurança em dispositivos móveis.

Novos recursos no Windows 10

No Windows 10, a auditoria de segurança adicionou algumas melhorias:

  • Novas subcategorias de auditoria
  • Mais informações adicionadas a eventos de auditoria existentes

Novas subcategorias de auditoria

No Windows 10, duas novas subcategorias de auditoria foram adicionadas à Configuração Avançada de Política de Auditoria para fornecer maior granularidade em eventos de auditoria:

  • Auditar Associação de Grupo Encontrada na categoria de auditoria Logon/Logoff, a subcategoria Auditar Associação de Grupo permite auditar as informações de associação de grupo em um token de logon do usuário. Os eventos nessa subcategoria são gerados quando associações de grupo são enumeradas ou consultadas no computador em que a sessão de logon foi criada. Para um logon interativo, o evento de auditoria de segurança é gerado no computador em que o usuário fez logon. Para um logon de rede, como o acesso a uma pasta compartilhada na rede, o evento de auditoria de segurança é gerado no computador que hospeda o recurso.

    Quando essa definição é configurada, um ou mais eventos de auditoria de segurança são gerados para cada logon bem-sucedido. Você também deve habilitar a configuração Logon de Auditoria em Configuração Avançada de Política de Auditoria\Políticas de Auditoria do Sistema\Logon/Logoff. Vários eventos são gerados caso as informações de associação a um grupo não caibam em um único evento de auditoria de segurança.

  • Auditar Atividade PNP Encontrada na categoria Monitoração Detalhada, a subcategoria Auditar Atividade PNP permite auditar quando o Plug and Play detecta um dispositivo externo.

    Somente auditorias com êxito são registradas para essa categoria. Se você não definir essa configuração de política, nenhum evento de auditoria será gerado quando um dispositivo externo for detectado pelo Plug and Play.

    Um evento de auditoria PnP pode ser usado para rastrear alterações feitas no hardware do sistema e será registrado em log no computador onde ocorreu a mudança. Uma lista de IDs de fornecedores de hardware é incluída no evento.

Mais informações adicionadas a eventos de auditoria existentes

Com o Windows 10, adicionamos mais informações a eventos de auditoria existentes para facilitar que você elabore uma trilha de auditoria completa e tenha as informações necessárias para proteger sua empresa. Houve aperfeiçoamentos nos seguintes eventos de auditoria:

  • Alterada a política de auditoria padrão do kernel

  • Adicionado um processo padrão SACL a LSASS.exe

  • Adicionados novos campos no evento de logon

  • Adicionados novos campos no evento de criação de processo

  • Adicionados novos eventos do Gerenciador de Contas de Segurança

  • Adicionados novos eventos BCD

  • Adicionados novos eventos PNP

Alterada a política de auditoria padrão do kernel

Em versões anteriores, o kernel dependia da LSA (autoridade de segurança local) para recuperar informações em alguns de seus eventos. No Windows 10, a política de auditoria de eventos de criação de processos é habilitada automaticamente até que uma política de auditoria real seja recebida da LSA. Isso resulta em melhor auditoria de serviços que podem ser iniciados antes de a LSA iniciar.

Adicionado um processo padrão SACL a LSASS.exe

No Windows 10, um processo padrão SACL foi adicionado ao LSASS.exe para registrar processos que tentam acessar o LSASS.exe. A SACL é L"S:(AU;SAFA;0x0010;;;WD)". Você pode habilitar isso em Configuração Avançada de Política de Auditoria\Acesso a Objeto\Auditoria de Objeto Kernel.

Isso pode ajudar a identificar ataques que roubam credenciais da memória de um processo.

Novos campos no evento de logon

A ID de evento de logon 4624 foi atualizada para incluir informações mais detalhadas para facilitar a análise. Os campos a seguir foram adicionados ao evento 4624:

  1. Cadeia de caracteres MachineLogon: sim ou não

    Se a conta que fez logon no computador for uma conta do computador, esse campo será Sim. Caso contrário, será Não.

  2. Cadeia de caracteres ElevatedToken: sim ou não

    Se a conta que fez logon no computador for um logon administrativo, esse campo será Sim. Caso contrário, será Não. Além disso, se isso fizer parte de um token decomposto, a ID de logon vinculada (LSAP_LOGON_SESSION) também será mostrada.

  3. Cadeia de caracteres TargetOutboundUserName

    Cadeia de caracteres TargetOutboundUserDomain

    O nome de usuário e o domínio da identidade que foi criada pelo método LogonUser para o tráfego de saída.

  4. Cadeia de caracteres VirtualAccount: sim ou não

    Se a conta que fez logon no computador for uma conta virtual, esse campo será Sim. Caso contrário, será Não.

  5. Cadeia de caracteres GroupMembership

    Uma lista de todos os grupos no token do usuário.

  6. Cadeia de caracteres RestrictedAdminMode: sim ou não

    Se o usuário fizer logon no computador no modo de administrador restrito com a Área de Trabalho Remota, esse campo será Sim.

    Para obter mais informações sobre o modo Administrador restrito, consulte Modo Administrador restrito para RDP.

Novos campos no evento de criação de processo

A ID de evento de logon 4688 foi atualizada para incluir informações mais detalhadas para facilitar a análise. Os campos a seguir foram adicionados ao evento 4688:

  1. Cadeia de caracteres TargetUserSid

    O SID da entidade de segurança de destino.

  2. Cadeia de caracteres TargetUserName

    O nome da conta do usuário de destino.

  3. Cadeia de caracteres TargetDomainName

    O domínio do usuário de destino.

  4. Cadeia de caracteres TargetLogonId

    A ID de logon do usuário de destino.

  5. Cadeia de caracteres ParentProcessName

    O nome do processo criador.

  6. Cadeia de caracteres ParentProcessId

    Um ponteiro para o processo pai real caso ele seja diferente do processo criador.

Novos eventos do Gerenciador de Contas de Segurança

No Windows 10, novos eventos SAM foram adicionados para cobrir APIs SAM que executam operações de leitura/consulta. Em versões anteriores do Windows, somente as operações de gravação eram auditadas. Os novos eventos são os eventos ID 4798 e ID 4799. As seguintes APIs agora são auditadas:

  • SamrEnumerateGroupsInDomain
  • SamrEnumerateUsersInDomain
  • SamrEnumerateAliasesInDomain
  • SamrGetAliasMembership
  • SamrLookupNamesInDomain
  • SamrLookupIdsInDomain
  • SamrQueryInformationUser
  • SamrQueryInformationGroup
  • SamrQueryInformationUserAlias
  • SamrGetMembersInGroup
  • SamrGetMembersInAlias
  • SamrGetUserDomainPasswordInformation

Novos eventos BCD

A ID de evento 4826 foi adicionada para rastrear as seguintes alterações no BCD (Dados de Configuração da Inicialização):

  • Configurações de DEP/NEX
  • Assinatura de teste
  • Simulação de SB PCAT
  • Depuração
  • Depuração da inicialização
  • Serviços de integridade
  • Desabilitar o menu de depuração Winload

Novos eventos PNP

A ID de evento 6416 foi adicionada para acompanhar quando um dispositivo externo é detectado pelo Plug and Play. Um cenário importante é quando um dispositivo externo que contém o malware é inserido em uma máquina de alto valor que não espera esse tipo de ação, como um controlador de domínio.

Saiba como gerenciar suas políticas de auditoria de segurança em sua organização.