Auditoria de logon no Windows Server 2008 R2 (pt-BR)

Auditoria de logon no Windows Server 2008 R2 (pt-BR)


Introdução

Através do Event Viewer do Windows Server 2008 R2 é possível identificar as tentativas de acesso (logon) no servidor. Nem sempre tentativas sem sucesso de logon são ataques.
As tentativas sem sucesso (Failure) são registradas somente se forem habilitadas através de uma politica de auditoria de logon. 
Talvez seja interessante  Configurar auditoria dos eventos de logon de conta (pt-BR) e caso esteja habilitando auditoria em servidores com Windows Server Core veja este artigo: Encaminhando eventos de um Windows Server 2008 R2 Server Core (pt-BR)

Habilitando a auditoria de logon em servidores Stand Alone.

 

Clique em Start / Administrative Tools / Local Security Policy
Ou simplesmente digite: Secpol.msc no RUN.

Expandir: Local Policies / Audity Policy

Clique duas vezes em Audit logon events e marque a opção “Failure

 

Habilitando a auditoria de logon em servidores membros de um domínio do Active Directory

.

Clique em Start / Administrative Tools / Group Policy Management.
Expanda o nó Forest
Expanda o nó Domains

Expanda o domínio e com o lado direito do mouse em “Default Domain Policy” selecione Edit. 

No editor:
Em Computer Configuration
Expanda Policies / Windows Settings / Security Settings / Local Policies / Audit Policy.

Clique duas vezes em Audit logon events e marque a opção “Failure”.

 

Execute o comando : Gpupdate /Force  /target:computer para atualizar a politica no domínio.
Com a politica de auditoria de logon habilitada já serão registrados os eventos no LOG de segurança.

Consultar Logs de Segurança

Para consultar os logs clique em:
Start / Administrative Tools / Event Viewer.
 
No Event Viewer em Windows Logs/ Security é possível verificar os eventos relacionados e quando houver ocorrência de logon veremos o evento 4625

 

 

Os eventos trazem uma serie de informações que descrevem exatamente o que aconteceu, como data, hora, usuário envolvido e muitas outras informações de simples entendimento e outras baseadas em códigos.
A seguir uma lista de códigos importantes para o entendimento correto da auditoria de logon.

 

Código e Descrição de tipos de logon 

 LogonType Info      Descrição 
 2  Interactive Um usuário fez logon nesse computador
 3  Network Um usuário ou computador fez logon nesse computador a partir da rede
 4  Batch     O tipo de logon Batch é usado por servidores batch quando podem haver processos sendo executados em nome de um usuário sem a sua intervenção direta.
 5  Service Um serviço foi iniciado pelo Gerenciador de Controle de Serviços
 7  Unlock    Essa estação de trabalho foi desbloqueada
 8  NetworkCleartext    Um usuário fez logon nesse computador a partir da rede. A senha do usuário foi transmitida ao pacote de autenticação em sua forma sem hash. Todos os pacotes de autenticação internos aplicam hash em credenciais antes de enviá-las pela rede. As credenciais não precisam atravessar a rede em texto simples (também conhecido como texto não criptografado).
 9  NewCredentials Um chamador clonou seu token atual e especificou novas credenciais para conexões de saída. A nova sessão de logon possui a mesma identidade local, mas usa credenciais diferentes para outras conexões de rede.
 10  RemoteInteractive Um usuário fez logon nesse computador remotamente usando serviços de terminal ou área de trabalho remota
 11  CachedInteractive    Um usuário fez logon nesse computador com credenciais de rede que estavam armazenadas localmente no computador. O controlador do domínio não foi contatado para verificar as credenciais
     

 

Código e Descrição de tipo de Evento


A seguinte tabela enumera os tipos de eventos de segurança.

 

Status e Sub Status  Descrição 
 0xC0000064  O usuário não existe
 0xC000006A  O nome de usuário existe mas a senha esta errada.
 0xC0000234  O usuário está bloqueado
 0xC0000072  A conta está desabilitada
 0xC000006F  Tentou fazer logon com uma conta com restrição de data e hora.
 0xC0000070  Estação com restrição
 0xC0000193  Conta expirada
 0xC0000071  Senha expirada
 0xC0000133  Os horários entre o DC e o outro computadores estão fora de sincronia
 0xC0000224  O usuário deve alterar a senha no proximo logon
 0xC0000225  BUG no sistema (não é um risco)            
 0xc000015B  O usuário não tem o direito de fazer logon nesse computador.
 0xc000006d  Problema causado pelo sistema e não está relacionado a segurança

 

 
Este artigo foi originalmente escrito por:
Daniel Donda
Leader UGSS Mcsesolution (GITCA) 
MCITP Enterprise, MCP, MCSA, MCSE, MCT, MCSE Messaging / Security
Colaborador do MCPBrasil.com
--------
Donda's site: http://www.mcsesolution.com/
Twitter: http://twitter.com/danieldonda

Leave a Comment
  • Please add 4 and 6 and type the answer here:
  • Post
Wiki - Revision Comment List(Revision Comment)
Sort by: Published Date | Most Recent | Most Useful
Comments
  • Thiago Cardoso Luiz edited Revision 6. Comment: alteração do texto e espaços vazios...

  • Daniel Donda edited Revision 4. Comment: Adicionado nova TAG e links relacionados no artigo.

Page 1 of 1 (2 items)
Wikis - Comment List
Sort by: Published Date | Most Recent | Most Useful
Posting comments is temporarily disabled until 10:00am PST on Saturday, December 14th. Thank you for your patience.
Comments
  • Excelente artigo donda. ;)

  • Daniel Donda edited Revision 4. Comment: Adicionado nova TAG e links relacionados no artigo.

  • Thiago Cardoso Luiz edited Revision 6. Comment: alteração do texto e espaços vazios...

  • Muito bom, obrigado.

Page 1 of 1 (4 items)