Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Introdução
Através do Event Viewer do Windows Server 2008 R2 é possível identificar as tentativas de acesso (logon) no servidor. Nem sempre tentativas sem sucesso de logon são ataques.
As tentativas sem sucesso (Failure) são registradas somente se forem habilitadas através de uma politica de auditoria de logon.
Talvez seja interessante Configurar auditoria dos eventos de logon de conta (pt-BR) e caso esteja habilitando auditoria em servidores com Windows Server Core veja este artigo: Encaminhando eventos de um Windows Server 2008 R2 Server Core (pt-BR)
Habilitando a auditoria de logon em servidores Stand Alone.
Clique em Start / Administrative Tools / Local Security Policy
Ou simplesmente digite: Secpol.msc no RUN.
Expandir: ***Local Policies / Audity Policy
Clique duas vezes em Audit logon events e marque a opção “Failure”
Habilitando a auditoria de logon em servidores membros de um domínio do Active Directory
.
Clique em ***Start / Administrative Tools / Group Policy Management.
***Expanda o nó ***Forest
***Expanda o nó Domains
Expanda o domínio e com o lado direito do mouse em “Default Domain Policy” selecione Edit.
No editor:
Em ***Computer Configuration
***Expanda Policies / Windows Settings / Security Settings / Local Policies / Audit Policy.
Clique duas vezes em Audit logon events e marque a opção “Failure”.
Execute o comando : Gpupdate /Force /target:computer para atualizar a politica no domínio.
Com a politica de auditoria de logon habilitada já serão registrados os eventos no LOG de segurança.
Consultar Logs de Segurança
Para consultar os logs clique em:
***Start / Administrative Tools / Event Viewer.
*** No Event Viewer em Windows Logs/ Security é possível verificar os eventos relacionados e quando houver ocorrência de logon veremos o evento 4625
Os eventos trazem uma serie de informações que descrevem exatamente o que aconteceu, como data, hora, usuário envolvido e muitas outras informações de simples entendimento e outras baseadas em códigos.
A seguir uma lista de códigos importantes para o entendimento correto da auditoria de logon.
Código e Descrição de tipos de logon
| LogonType | Info | Descrição |
| 2 | Interactive | Um usuário fez logon nesse computador |
| 3 | Network | Um usuário ou computador fez logon nesse computador a partir da rede |
| 4 | Batch | O tipo de logon Batch é usado por servidores batch quando podem haver processos sendo executados em nome de um usuário sem a sua intervenção direta. |
| 5 | Service | Um serviço foi iniciado pelo Gerenciador de Controle de Serviços |
| 7 | Unlock | Essa estação de trabalho foi desbloqueada |
| 8 | NetworkCleartext | Um usuário fez logon nesse computador a partir da rede. A senha do usuário foi transmitida ao pacote de autenticação em sua forma sem hash. Todos os pacotes de autenticação internos aplicam hash em credenciais antes de enviá-las pela rede. As credenciais não precisam atravessar a rede em texto simples (também conhecido como texto não criptografado). |
| 9 | NewCredentials | Um chamador clonou seu token atual e especificou novas credenciais para conexões de saída. A nova sessão de logon possui a mesma identidade local, mas usa credenciais diferentes para outras conexões de rede. |
| 10 | RemoteInteractive | Um usuário fez logon nesse computador remotamente usando serviços de terminal ou área de trabalho remota |
| 11 | CachedInteractive | Um usuário fez logon nesse computador com credenciais de rede que estavam armazenadas localmente no computador. O controlador do domínio não foi contatado para verificar as credenciais |
Código e Descrição de tipo de Evento
A seguinte tabela enumera os tipos de eventos de segurança.
| Status e Sub Status | Descrição |
| 0xC0000064 | O usuário não existe |
| 0xC000006A | O nome de usuário existe mas a senha esta errada. |
| 0xC0000234 | O usuário está bloqueado |
| 0xC0000072 | A conta está desabilitada |
| 0xC000006F | Tentou fazer logon com uma conta com restrição de data e hora. |
| 0xC0000070 | Estação com restrição |
| 0xC0000193 | Conta expirada |
| 0xC0000071 | Senha expirada |
| 0xC0000133 | Os horários entre o DC e o outro computadores estão fora de sincronia |
| 0xC0000224 | O usuário deve alterar a senha no proximo logon |
| 0xC0000225 | BUG no sistema (não é um risco) |
| 0xc000015B | O usuário não tem o direito de fazer logon nesse computador. |
| 0xc000006d | Problema causado pelo sistema e não está relacionado a segurança |
Este artigo foi originalmente escrito por: Daniel Donda Leader UGSS Mcsesolution (GITCA) MCITP Enterprise, MCP, MCSA, MCSE, MCT, MCSE Messaging / Security Colaborador do MCPBrasil.com
Donda's site: http://www.mcsesolution.com/
Twitter: http://twitter.com/danieldonda