Cenário: Auditoria de Acesso a Ficheiros
Aplica-se a: Windows Server 2012
A Auditoria de Segurança é uma das ferramentas mais poderosas para ajudar a manter a segurança de uma empresa. Um dos principais objetivos das auditorias de segurança é a conformidade regulamentar. As normas do sector, como as leis Sarbanes Oxley, HIPAA (Health Insurance Portability and Accountability Act) e PCI (Payment Card Industry), exigem que as empresas cumpram um conjunto rigoroso de regras relacionadas com a privacidade e segurança dos dados. As auditorias de segurança ajudam a estabelecer a presença dessas políticas e a demonstrar o cumprimento dessas normas. Além disso, as auditorias de segurança ajudam a detetar comportamentos anómalos, identificar e mitigar lacunas nas políticas de segurança e dissuadir comportamentos irresponsáveis ao criarem um registo de atividade do utilizador que pode ser utilizado para análise forense.
Regra geral, a necessidade de políticas de auditoria é sentida nos seguintes níveis:
Segurança das informações. Os registos de auditoria de acesso a ficheiros são frequentemente utilizados para efeitos de análise forense e deteção de intrusões. Ser capaz de obter eventos específicos sobre o acesso a informações de alto valor permite às organizações melhorar substancialmente o tempo de resposta e a exatidão da investigação.
Política organizacional. Por exemplo, as organizações reguladas por normas PCI podem ter uma política central para monitorizar o acesso a todos os ficheiros que estão marcados como contendo informações de cartão de crédito e informações de identificação pessoal (PII).
Política departamental. Por exemplo, o departamento financeiro pode exigir que a capacidade de modificar certos documentos financeiros (como um relatório de resultados trimestrais) seja limitada ao departamento financeiro, pelo que o departamento iria querer monitorizar todas as outras tentativas de alteração desses documentos.
Política comercial. Por exemplo, os proprietários de empresas podem querer monitorizar todas as tentativas não autorizadas de visualização de dados pertencentes aos seus projetos.
Além disso, o departamento de conformidade pode querer monitorizar todas as alterações nas políticas de autorização central e construções de políticas, como atributos de recurso, de computador e de utilizador.
Uma das maiores considerações sobre as auditorias de segurança é o custo da recolha, armazenamento e análise de eventos de auditoria. Se as políticas de auditoria forem demasiado abrangentes, o volume de eventos de auditoria recolhidos aumenta e isto aumenta os custos. Se as políticas de auditoria forem demasiado restritas, corre o risco de perder eventos importantes.
Com o Windows Server 2012, pode criar políticas de auditoria utilizando propriedades de recurso e afirmações. Isto leva a políticas de auditoria mais completas, mais direcionadas e mais fáceis de gerir. Permite cenários que, até agora, eram impossíveis ou demasiado difíceis de executar. Seguem-se alguns exemplos de políticas de auditoria que os administradores podem criar:
Auditar todas as pessoas que não tenham um elevado nível de credenciação de segurança e tentem aceder a um documento de elevado impacto comercial (HBI). Por exemplo, Auditar | Todos | Acesso Completo | Resource.BusinessImpact=HBI AND User.SecurityClearance!=High.
Auditar todos os fornecedores quando tentarem aceder a documentos relacionados com projetos nos quais não estão a trabalhar. Por exemplo, Auditar | Todos | Acesso Completo | User.EmploymentStatus=Vendor AND User.Project Not_AnyOf Resource.Project.
Estas políticas ajudam a controlar o volume de eventos de auditoria e a limitá-los apenas aos utilizadores ou dados mais relevantes.
Depois de os administradores terem criado e aplicado as políticas de auditoria, o próximo passo é a extração de informações importantes dos eventos de auditoria que recolheram. Os eventos de auditoria baseados em expressões ajudam a reduzir o volume de auditorias. No entanto, os utilizadores precisam de uma forma de consultar informações importantes desses eventos e de fazer perguntas como “Quem está a aceder aos meus dados HBI?” ou “Houve uma tentativa não autorizada de aceder a dados confidenciais?”
O Windows Server 2012 melhora os eventos de acesso a dados existentes com afirmações de recurso, de utilizador e de computador. Esses eventos são gerados por cada servidor. Para proporcionar uma visão completa dos eventos em toda a empresa, a Microsoft está a trabalhar com parceiros para fornecer ferramentas de recolha e análise de eventos, como os Serviços de Recolha de Auditorias no System Center Operation Manager.
A Figura 4 mostra uma descrição geral de uma política de auditoria central.
Figura 4 Experiências de auditorias centrais
A configuração e o consumo de auditorias de segurança envolvem normalmente os seguintes passos gerais:
Identificar o conjunto correto de dados e utilizadores a monitorizar
Criar e aplicar políticas de auditoria apropriadas
Recolher e analisar eventos de auditoria
Gerir e monitorizar as políticas criadas
Neste cenário
Os tópicos que se seguem proporcionam orientação adicional para este cenário:
Funções e funcionalidades incluídas neste cenário
A tabela seguinte apresenta as funções e funcionalidades incluídas neste cenário e descreve o modo como o suportam.
Função/funcionalidade |
Como suporta este cenário |
---|---|
Função Serviços de Domínio do Active Directory |
Os AD DS no Windows Server 2012 introduzem uma plataforma de autorização baseada em afirmações que permite a criação de afirmações de utilizador e afirmações de dispositivo, identidade composta (afirmações de utilizador e de dispositivo), novo modelo de políticas de acesso central (CAP) e a utilização informações de classificação de ficheiros em decisões de autorização. |
Função Serviços de Ficheiros e Armazenamento |
Os servidores de ficheiros no Windows Server 2012 proporcionam uma interface de utilizador onde os administradores podem ver as permissões efetivas dos utilizadores em relação a um ficheiro ou pasta e resolver problemas de acesso e conceder acesso conforme necessário. |