Cenário: Auditoria de Acesso a Ficheiros

 

Aplica-se a: Windows Server 2012

A Auditoria de Segurança é uma das ferramentas mais poderosas para ajudar a manter a segurança de uma empresa. Um dos principais objetivos das auditorias de segurança é a conformidade regulamentar. As normas do sector, como as leis Sarbanes Oxley, HIPAA (Health Insurance Portability and Accountability Act) e PCI (Payment Card Industry), exigem que as empresas cumpram um conjunto rigoroso de regras relacionadas com a privacidade e segurança dos dados. As auditorias de segurança ajudam a estabelecer a presença dessas políticas e a demonstrar o cumprimento dessas normas. Além disso, as auditorias de segurança ajudam a detetar comportamentos anómalos, identificar e mitigar lacunas nas políticas de segurança e dissuadir comportamentos irresponsáveis ao criarem um registo de atividade do utilizador que pode ser utilizado para análise forense.

Regra geral, a necessidade de políticas de auditoria é sentida nos seguintes níveis:

• Segurança das informações. Os registos de auditoria de acesso a ficheiros são frequentemente utilizados para efeitos de análise forense e deteção de intrusões. Ser capaz de obter eventos específicos sobre o acesso a informações de alto valor permite às organizações melhorar substancialmente o tempo de resposta e a exatidão da investigação.

• Política organizacional. Por exemplo, as organizações reguladas por normas PCI podem ter uma política central para monitorizar o acesso a todos os ficheiros que estão marcados como contendo informações de cartão de crédito e informações de identificação pessoal (PII).

• Política departamental. Por exemplo, o departamento financeiro pode exigir que a capacidade de modificar certos documentos financeiros (como um relatório de resultados trimestrais) seja limitada ao departamento financeiro, pelo que o departamento iria querer monitorizar todas as outras tentativas de alteração desses documentos.

• Política comercial. Por exemplo, os proprietários de empresas podem querer monitorizar todas as tentativas não autorizadas de visualização de dados pertencentes aos seus projetos.

Além disso, o departamento de conformidade pode querer monitorizar todas as alterações nas políticas de autorização central e construções de políticas, como atributos de recurso, de computador e de utilizador.

Uma das maiores considerações sobre as auditorias de segurança é o custo da recolha, armazenamento e análise de eventos de auditoria. Se as políticas de auditoria forem demasiado abrangentes, o volume de eventos de auditoria recolhidos aumenta e isto aumenta os custos. Se as políticas de auditoria forem demasiado restritas, corre o risco de perder eventos importantes.

Com o Windows Server 2012, pode criar políticas de auditoria utilizando propriedades de recurso e afirmações. Isto leva a políticas de auditoria mais completas, mais direcionadas e mais fáceis de gerir. Permite cenários que, até agora, eram impossíveis ou demasiado difíceis de executar. Seguem-se alguns exemplos de políticas de auditoria que os administradores podem criar:

• Auditar todas as pessoas que não tenham um elevado nível de credenciação de segurança e tentem aceder a um documento de elevado impacto comercial (HBI). Por exemplo, Auditar | Todos | Acesso Completo | Resource.BusinessImpact=HBI AND User.SecurityClearance!=High.

• Auditar todos os fornecedores quando tentarem aceder a documentos relacionados com projetos nos quais não estão a trabalhar. Por exemplo, Auditar | Todos | Acesso Completo | User.EmploymentStatus=Vendor AND User.Project Not_AnyOf Resource.Project.

Estas políticas ajudam a controlar o volume de eventos de auditoria e a limitá-los apenas aos utilizadores ou dados mais relevantes.

Depois de os administradores terem criado e aplicado as políticas de auditoria, o próximo passo é a extração de informações importantes dos eventos de auditoria que recolheram. Os eventos de auditoria baseados em expressões ajudam a reduzir o volume de auditorias. No entanto, os utilizadores precisam de uma forma de consultar informações importantes desses eventos e de fazer perguntas como “Quem está a aceder aos meus dados HBI?” ou “Houve uma tentativa não autorizada de aceder a dados confidenciais?”

O Windows Server 2012 melhora os eventos de acesso a dados existentes com afirmações de recurso, de utilizador e de computador. Esses eventos são gerados por cada servidor. Para proporcionar uma visão completa dos eventos em toda a empresa, a Microsoft está a trabalhar com parceiros para fornecer ferramentas de recolha e análise de eventos, como os Serviços de Recolha de Auditorias no System Center Operation Manager.

A Figura 4 mostra uma descrição geral de uma política de auditoria central.

Figura 4 Experiências de auditorias centrais

A configuração e o consumo de auditorias de segurança envolvem normalmente os seguintes passos gerais:

1. Identificar o conjunto correto de dados e utilizadores a monitorizar

2. Criar e aplicar políticas de auditoria apropriadas

3. Recolher e analisar eventos de auditoria

4. Gerir e monitorizar as políticas criadas

Neste cenário

Os tópicos que se seguem proporcionam orientação adicional para este cenário:

• Planear a Auditoria de Acesso a Ficheiros

• Implementar Auditoria de Segurança com Políticas de Auditoria Centrais (Passos de Demonstração)

Funções e funcionalidades incluídas neste cenário

A tabela seguinte apresenta as funções e funcionalidades incluídas neste cenário e descreve o modo como o suportam.

Função/funcionalidade	Como suporta este cenário
Função Serviços de Domínio do Active Directory	Os AD DS no Windows Server 2012 introduzem uma plataforma de autorização baseada em afirmações que permite a criação de afirmações de utilizador e afirmações de dispositivo, identidade composta (afirmações de utilizador e de dispositivo), novo modelo de políticas de acesso central (CAP) e a utilização informações de classificação de ficheiros em decisões de autorização.
Função Serviços de Ficheiros e Armazenamento	Os servidores de ficheiros no Windows Server 2012 proporcionam uma interface de utilizador onde os administradores podem ver as permissões efetivas dos utilizadores em relação a um ficheiro ou pasta e resolver problemas de acesso e conceder acesso conforme necessário.