Introdução
Habilitando a auditoria de logon em servidores Stand Alone.
Habilitando a auditoria de logon em servidores membros de um domínio do Active Directory
Consultar Logs de Segurança
Código e Descrição de tipos de logon
Código e Descrição de tipo de Evento

Introdução

Através do Event Viewer do Windows Server 2008 R2 é possível identificar as tentativas de acesso (logon) no servidor. Nem sempre tentativas sem sucesso de logon são ataques.
As tentativas sem sucesso (Failure) são registradas somente se forem habilitadas através de uma politica de auditoria de logon.
Talvez seja interessante Configurar auditoria dos eventos de logon de conta (pt-BR) e caso esteja habilitando auditoria em servidores com Windows Server Core veja este artigo: Encaminhando eventos de um Windows Server 2008 R2 Server Core (pt-BR)

Habilitando a auditoria de logon em servidores Stand Alone.

Clique em Start / Administrative Tools / Local Security Policy
Ou simplesmente digite: Secpol.msc no RUN.

Expandir: Local Policies / Audity Policy

Clique duas vezes em Audit logon events e marque a opção “Failure”

Habilitando a auditoria de logon em servidores membros de um domínio do Active Directory

Clique em Start / Administrative Tools / Group Policy Management.
Expanda o nó Forest
Expanda o nó Domains

Expanda o domínio e com o lado direito do mouse em “Default Domain Policy” selecione Edit.

No editor:
Em Computer Configuration
Expanda Policies / Windows Settings / Security Settings / Local Policies / Audit Policy.

Clique duas vezes em Audit logon events e marque a opção “Failure”.

Execute o comando : Gpupdate /Force /target:computer para atualizar a politica no domínio.
Com a politica de auditoria de logon habilitada já serão registrados os eventos no LOG de segurança.

Consultar Logs de Segurança

Para consultar os logs clique em:
Start / Administrative Tools / Event Viewer.
No Event Viewer em Windows Logs/ Security é possível verificar os eventos relacionados e quando houver ocorrência de logon veremos o evento 4625

Os eventos trazem uma serie de informações que descrevem exatamente o que aconteceu, como data, hora, usuário envolvido e muitas outras informações de simples entendimento e outras baseadas em códigos.
A seguir uma lista de códigos importantes para o entendimento correto da auditoria de logon.

Código e Descrição de tipos de logon

LogonType	Info	Descrição
2	Interactive	Um usuário fez logon nesse computador
3	Network	Um usuário ou computador fez logon nesse computador a partir da rede
4	Batch	O tipo de logon Batch é usado por servidores batch quando podem haver processos sendo executados em nome de um usuário sem a sua intervenção direta.
5	Service	Um serviço foi iniciado pelo Gerenciador de Controle de Serviços
7	Unlock	Essa estação de trabalho foi desbloqueada
8	NetworkCleartext	Um usuário fez logon nesse computador a partir da rede. A senha do usuário foi transmitida ao pacote de autenticação em sua forma sem hash. Todos os pacotes de autenticação internos aplicam hash em credenciais antes de enviá-las pela rede. As credenciais não precisam atravessar a rede em texto simples (também conhecido como texto não criptografado).
9	NewCredentials	Um chamador clonou seu token atual e especificou novas credenciais para conexões de saída. A nova sessão de logon possui a mesma identidade local, mas usa credenciais diferentes para outras conexões de rede.
10	RemoteInteractive	Um usuário fez logon nesse computador remotamente usando serviços de terminal ou área de trabalho remota
11	CachedInteractive	Um usuário fez logon nesse computador com credenciais de rede que estavam armazenadas localmente no computador. O controlador do domínio não foi contatado para verificar as credenciais

Código e Descrição de tipo de Evento

A seguinte tabela enumera os tipos de eventos de segurança.

Status e Sub Status	Descrição
0xC0000064	O usuário não existe
0xC000006A	O nome de usuário existe mas a senha esta errada.
0xC0000234	O usuário está bloqueado
0xC0000072	A conta está desabilitada
0xC000006F	Tentou fazer logon com uma conta com restrição de data e hora.
0xC0000070	Estação com restrição
0xC0000193	Conta expirada
0xC0000071	Senha expirada
0xC0000133	Os horários entre o DC e o outro computadores estão fora de sincronia
0xC0000224	O usuário deve alterar a senha no proximo logon
0xC0000225	BUG no sistema (não é um risco)
0xc000015B	O usuário não tem o direito de fazer logon nesse computador.
0xc000006d	Problema causado pelo sistema e não está relacionado a segurança

Este artigo foi originalmente escrito por:
Daniel Donda
Leader UGSS Mcsesolution (GITCA)
MCITP Enterprise, MCP, MCSA, MCSE, MCT, MCSE Messaging / Security
Colaborador do MCPBrasil.com
--------
Donda's site: http://www.mcsesolution.com/
Twitter: http://twitter.com/danieldonda

Wiki - Revision Comment List(Revision Comment)

| |

Comments

Thiago Cardoso Luiz

22 Aug 2011 8:50 PM

Thiago Cardoso Luiz edited Revision 6. Comment: alteração do texto e espaços vazios...
- Edit
Daniel Donda

22 Aug 2011 12:12 PM

Daniel Donda edited Revision 4. Comment: Adicionado nova TAG e links relacionados no artigo.
- Edit

Wikis - Comment List

Posting comments is temporarily disabled until 10:00am PST on Saturday, December 14th. Thank you for your patience.

Posted by Eduardo Sena [MSP]

on 21 Aug 2011 4:59 AM

Excelente artigo donda. ;)
Edit
Posted by Daniel Donda

on 22 Aug 2011 12:12 PM

Daniel Donda edited Revision 4. Comment: Adicionado nova TAG e links relacionados no artigo.
Edit
Posted by Thiago Cardoso Luiz

on 22 Aug 2011 8:50 PM

Thiago Cardoso Luiz edited Revision 6. Comment: alteração do texto e espaços vazios...
Edit
Posted by Daividdi Morais

on 14 Mar 2012 7:14 AM

Muito bom, obrigado.
Edit

Products

Resources

Solutions

Updates

Trials

Related Sites

Training

Certifications

Other resources

Support options

More support

Not an IT pro?

Auditoria de logon no Windows Server 2008 R2 (pt-BR)