Descrição geral de auditoria de segurança
Aplica-se a: Windows 7, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 R2, Windows Server 2012, Windows 8
Esta descrição geral técnica profissionais de TI e descreve a segurança auditoria funcionalidades no Windows e como a organização pode beneficiar da utilização destas tecnologias para melhorar a segurança e capacidade de gestão da sua rede.
Quis dizer…
Referência de definições de política de segurança
Descrição da funcionalidade
Auditoria de segurança é uma poderosa ferramenta para ajudar a manter a segurança de uma empresa. Auditoria pode ser utilizada para vários propósitos, incluindo análise forense, a conformidade de regulamentação, monitorizar a atividade do utilizador e a resolução de problemas. Regulamentos da indústria em vários países ou regiões necessitam de empresas a implementação de um conjunto de regras relacionadas com a segurança de dados e privacidade estrito. Auditorias de segurança podem ajudar a implementar essas políticas e provar que estas políticas tem sido implementadas. Além disso, a auditoria de segurança pode ser utilizada para análise forense, para ajudar os administradores a detetar anomalous comportamento, para identificar e mitigar os dados em falta nas políticas de segurança e deter comportamento irresponsible através da monitorização de atividades de utilizador crítico.
Aplicações práticas
Pode utilizar a segurança do Windows e os registos do sistema para criar eventos de sistema, a gravação de controlo de segurança e arquivo de atividades de rede que estão associadas com comportamentos potencialmente nocivos e a atenuar esses riscos. Pode ativar a auditoria com base em categorias de eventos de segurança, tais como:
Alterações às permissões de conta e de recursos do utilizador.
Tentativas falhadas por utilizadores para iniciar sessão.
Tentativas falhadas de aceder aos recursos.
Alterações aos ficheiros de sistema.
No Windows Server 2008 R2 e Windows 7, o número de definições de política de auditoria de segurança foi aumentado de nove para 53 e todas as capacidades de auditoria foram integradas com a política de grupo. Isto permite aos administradores configurar, implementar e gerir uma ampla variedade de definições da consola de gestão de política de grupo (GPMC) ou o snap-in de política de segurança Local de um domínio, site ou unidade organizacional (UO). Isto torna mais fácil para profissionais de TI controlar quando atividades com mais exatidão definidas significativas ter lugar na rede. Para obter mais informações, consulte Definições de política de auditoria de segurança de avançadas.
Funcionalidade nova e alterada
Não foram efetuadas alterações de novo na funcionalidade de auditoria de segurança no Windows Server 2012 R2.
No Windows Server 2012, foram introduzidas as alterações a auditoria de segurança para os seguintes fins:
Reduza o volume de auditorias. Pode filtrar as políticas de auditoria para ficheiros específicos e os utilizadores com base em atributos de recurso e afirmações de utilizador e dispositivo.
Melhorar a capacidade de gestão de políticas de auditoria. A introdução de auditoria de acesso a objetos Global fornece um meio eficiente para impor a aplicação de políticas de auditoria de segurança nos recursos. Combinar Global auditoria de acesso de objeto com afirmações e controlo de acesso dinâmico permite-lhe tirar este mecanismo de imposição global e aplicá-la a um conjunto mais preciso de atividades de interesse potencial.
Melhorar a capacidade para localizar dados de auditoria de segurança importantes. Eventos de acesso de dados existentes podem iniciar informações adicionais sobre afirmações de utilizador, computador e recursos. Isto torna mais fácil para a recolha de eventos e ferramentas de análise de ser configurada para disponibilizar rapidamente os dados do evento mais relevantes.
Ative a auditoria de segurança de dispositivos de armazenamento amovível. A popularidade crescentes de dispositivos de armazenamento amovível faz com que os respetivos tentativa utilizar um problema de segurança significativo que necessita para ser monitorizada.
Dinâmica baseada em afirmações auditoria resulta numa mais exatos e mais fácil de gerir políticas de auditoria. Permite que os cenários que tenham sido impossível ou demasiado difícil de configurar. Para além de nestes melhoramentos, novos eventos de auditoria e categorias para controlar as alterações a elementos de política de controlo de acesso dinâmico (DAC) incluem:
Atributos de recursos em ficheiros
Políticas de acesso centrais associadas ficheiros
Afirmações de utilizador e dispositivo
Definições de propriedade de recursos
Política de acesso centrais e definições de regras de acesso centrais
Seguem-se alguns exemplos de políticas de auditoria que os administradores podem criar:
Qualquer pessoa sem uma liquidação de segurança "Alto" quem tenta aceder a documentos que estão classificados como alta empresas impacto (HBI) — por exemplo, auditar | Todas as pessoas | Acesso de todos os | Resource.BusinessImpact=HBI e User.SecurityClearance!=High.
Todos os fornecedores de auditoria quando este aceder a documentos relacionados com projetos em que estes não estão a funcionar no — por exemplo, auditar | Todas as pessoas | Acesso de todos os | User.EmploymentStatus=Vendor e User Not_AnyOf Project.
Estas políticas ajudam a controlar o volume de eventos de auditoria e a limitá-los apenas aos utilizadores ou dados mais relevantes.
Para fornecer uma visão completa dos eventos em toda a organização, Microsoft está a trabalhar com parceiros para fornecer a recolha de eventos e ferramentas de análise, tais como o Microsoft System Center.
Gerir a segurança de auditoria
Para utilizar a auditoria de segurança, terá de configurar a lista de controlo de acesso (SACL) de sistema para um objeto e aplicar a política de auditoria de segurança apropriados para o utilizador ou computador. Para obter mais informações, consulte o artigo Gerir auditoria de segurança.
Para obter informações sobre a gestão de auditoria de segurança avançada, consulte o artigo Instruções de auditoria de segurança avançada.
Para obter informações sobre auditoria controlo de acesso dinâmico, consulte o artigo Utilizar as opções de auditoria de segurança avançada para monitorizar objetos de controlo de acesso dinâmico.
Recursos relacionados
Tipo de conteúdo |
Recursos |
|---|---|
Avaliação do produto |
Perguntas mais frequentes sobre a auditoria de segurança avançada Instruções de auditoria de segurança avançada O que há de novo na auditoria de segurança para o Windows Server 2012 |
Planeamento e Implementação |
Planear e implementar políticas de auditoria de segurança de avançadas |
Operações |
|
Resolução de Problemas |
Ainda não está disponível |
Ferramentas e definições |
Definições de política de auditoria de segurança de avançadas |
Recursos de comunidade |
Segurança avançada de auditoria no Windows 7 e Windows Server 2008 R2 |
Tecnologias relacionadas |