Conforme foi descrito no item anterior, o Windows XP é configurado, por padrão, para não habilitar eventos no log de segurança. Para que sejam auditadas determinadas ações ligadas com a segurança – tais como tentativas de logon e acesso a arquivos e pastas –, precisamos habilitar algumas opções. As opções de segurança são habilitadas através de diretivas de segurança.

Se você estiver em um Controlador de Domínio, com o Windows 2000 Server ou com o Windows Server 2003 instalado, você tem duas opções. Pode ser utilizada a opção Diretivas de segurança de controlador de domínio, do menu Ferramentas administrativas. Com esta opção você irá configurar diretivas válidas somente para o controlador de domínio no qual você está logado. Também pode ser utilizada a opção Diretivas de segurança de domínio, do menu Ferramentas administrativas. Com esta opção você irá configurar diretivas válidas para todo o domínio.

Em um computador com o Windows XP Professional deve ser utilizado o console Diretiva de segurança local, acessada através da opção Ferramentas administrativas, do Painel de controle.

Neste item utilizaremos a opção Diretiva de segurança local,  e habilitaremos a auditoria para o logon dos usuários, tanto para sucesso no logon, quanto para falha no logon. Depois faremos uma tentativa de logon com uma senha errada e iremos observar se foi gerado um evento no log de segurança. Então mãos à obra.

Exemplo: Para habilitar a auditoria de eventos de segurança, siga os passos indicados a seguir:

1.       Faça o logon como Administrador ou com uma conta do tipo Administrador do computador.

2.       Abra o Painel de controle: Iniciar -> Painel de controle.

3.       Abra a opção Ferramentas administrativas. Na janela Ferramentas administrativas abra a opção Diretiva de segurança local. Surgirá a janela indicada na Figura 12.21.

Figura 12.21 O console Diretiva de segurança local.

4.       Se a opção Diretivas locais estiver fechada, dê um clique no sinal de + ao lado dela para abri-la.

5.       Nas opções que surgem, dê um clique na opção Diretiva de auditoria. No painel da direita são exibidas as várias diretivas de auditoria disponíveis, as quais são indicadas na Figura 12.22 e explicadas logo a seguir. Observe, ao lado do nome de cada diretiva, o status Sem auditoria, indicando que não existe definição para esta diretiva, isto é, não está sendo logado nenhum evento relacionado à diretiva.

Figura 12.22 Opções para configuração das Diretivas de auditoria.

Descrição das diretivas de auditoria disponíveis:

• Auditoria de acesso a objetos: Determina se deve ser feita a auditoria do acesso de um usuário a um objeto — por exemplo, um arquivo, uma pasta, uma chave do Registro, uma impressora etc. — que tenha a sua própria lista de controle de acesso do sistema especificada. Por exemplo, uma pasta em uma partição NTFS, onde são definidas permissões de acesso e, além disso, esteja configurada esta pasta para registrar eventos de acesso no log de auditoria. Se você definir esta configuração de diretiva, poderá especificar se haverá auditoria de acessos com êxito, acessos sem êxito ou se não ocorrerá auditoria desse tipo de evento. As auditorias com êxito geram uma entrada de auditoria quando um usuário acessa com êxito um objeto. As auditorias sem êxito geram uma entrada de auditoria quando um usuário tenta acessar sem êxito um objeto, como, por exemplo, tentar imprimir em uma impressora para a qual ele não tem permissão ou tentar alterar um arquivo para o qual ele tem somente permissão de leitura. É interessante observar que a definição de Auditoria de acesso a objetos ocorre em duas etapas. Primeiro habilitamos esta diretiva, para acessos com sucesso, com falha ou ambos. Em seguida, em cada objeto (pasta, impressora, arquivo, etc.) a ser auditado, temos que configurar quais grupos e usuários serão monitorados. Apenas habilitar a diretiva não fará com que o acesso aos objetos seja auditado. Por padrão esta diretiva está desabilitada.
• Auditoria de acesso ao serviço de diretório (Active Directory): Define se serão auditadas tentativas de acesso com sucesso, com falha ou ambas, a objetos do Active Directory, para os quais tenha sido habilitada a auditoria dos acessos. O Active Directory, conforme explicado no Capítulo 11, é uma base de dados na qual temos uma série de objetos, como por exemplo: contas de usuários, grupos de usuários, Unidades organizacionais, domínios, sites, etc. Por exemplo, podemos implementar uma política para detectar tentativas de alteração sem sucesso, nas contas que fazem parte do grupo Administradores. Por padrão esta política está desabilitada para controladores de domínio e indefinida para os demais computadores. Um cuidado que devemos ter é de habilitar somente as auditorias realmente necessárias, de acordo com a política de segurança da empresa, pois se habilitarmos auditoria em um grande número de objetos, podemos ter uma queda de desempenho, além de um crescimento exagerado no tamanho do log de segurança.
• Auditoria de alteração de diretivas: Determina se deve ser feita a auditoria de todas as instâncias de alteração em diretivas de atribuição de direitos do usuário, diretivas de auditoria ou diretivas de confiança.
• Auditoria de controle de processos: Determina se deve ser feita a auditoria de informações de controle de eventos detalhadas, como ativação de programas, término de processo, duplicação de identificador e acesso indireto a objeto. Esta diretiva é utilizada para fazer uma auditoria dos programas que estão rodando no computador, na tentativa de detectar usuários que estão tentando utilizar programas para os quais eles não têm permissão.
• Auditoria de eventos de logon: Esta diretiva é a que será configurada no exemplo que estamos apresentando. Determina se deve ser feita a auditoria de cada instância de logon ou logoff de usuário, bem como de conexão de rede no computador. Se você estiver registrando no log os eventos da auditoria de eventos de logon de conta com êxito em um controlador de domínio, as tentativas de logon de estação de trabalho não gerarão auditorias de logon. Somente tentativas de logon de rede e interativas no próprio controlador de domínio gerarão eventos de logon. Resumindo, “eventos de logon de conta” são gerados no local onde reside a conta; “eventos de logon” são gerados no local onde ocorre a tentativa de logon. Você pode configurar para que sejam auditadas tentativas de logon com sucesso, com falha ou ambas. No caso de um computador com o Windows XP, as tentativas de logon são consideradas as tentativas locais ou tentativas feitas via Terminal Service Client, conforme veremos no Capítulo 17, no item: Configurando a administração remota.
• Auditoria de eventos de sistema: Determina se deve ser feita a auditoria quando um usuário reiniciar ou desligar o computador, ou quando ocorrer um evento que afete a segurança do sistema ou o log de segurança.
• Auditoria de gerenciamento de contas: Determina se deve ser feita a auditoria de cada evento de gerenciamento de conta em um computador. Os exemplos de eventos de gerenciamento de conta incluem: Um grupo ou conta de usuário ser criado, alterado ou excluído, uma conta de usuário ser renomeada, desativada ou ativada, uma senha ser definida ou alterada.
• Auditoria de uso de privilégios: Determina se deve ser feita a auditoria de cada instância do uso de um direito do usuário. Direitos (rights) são permissões especiais, como por exemplo incluir um computador como membro de um domínio, que podem ser configuradas pelo Administrador, o qual pode “dar” estes direitos para determinados usuários.
• Eventos de logon de conta de auditoria: Determina se deve ser feita a auditoria de cada instância em que um usuário faz logon ou logoff em outro computador do qual seja necessário fazer a validação da conta.

Feita a descrição das várias diretivas, vamos continuar o nosso exemplo.

6.       No painel da direita, localize uma diretiva chamada Auditoria de eventos de logon e dê um clique duplo para abri-la. Será exibida a janela com as configurações atuais para esta diretiva.

7.       Marque as opções conforme indicado na Figura 12.23 e dê um clique em OK para habilitar a auditoria de eventos de logon. Observe que estamos pedindo que sejam auditados os eventos tanto para sucesso quanto para a falha no logon.

Figura 12.23 Habilitando a auditoria de eventos de logon.

Você deve ter voltado para o console Configurações locais de segurança. Observe que ao lado da diretiva Auditoria de eventos de logon o status agora aparece  “Sucesso,Falha”, diferente do status anterior que era Sem auditoria. Isso indica que esta auditoria está habilitada tanto para eventos de sucesso quanto falha de logon.

8.       Feche o console Diretivas de segurança do controlador de domínio.

Agora vamos testar se o Windows XP está fazendo a auditoria de eventos de logon. Vamos fazer o logon como usuário user2 (criado no Capítulo 6) e vamos fornecer uma senha errada (lembrando que a senha correta, cadastrada no Capítulo 6 é senha123), para simular uma falha na tentativa de logon. O Windows XP vai dizer que não pode efetuar o logon. Depois vamos fazer o logon como Administrador e verificar no log de segurança se existe um evento para a tentativa de logon sem sucesso.

Exemplo: Para gerar um evento de falha de logon e verificar se o evento foi gravado no log de segurança do Windows XP, siga os passos indicados a seguir:

1.       Se estiver logado como Administrador faça o logoff.

2.       Tente fazer o logon como usuário user2, mas digite uma senha incorreta. O Windows XP informa  que o logon não pode ser feito.

3.       Agora faça o logon como Administrador (desta vez digite a senha correta).

4.       Abra o Painel de controle. Dentro do Painel de controle abra a opção Ferramentas administrativas e dê um clique duplo no console Visualizar eventos.

5.       Dê um clique na opção Segurança.

6.       Na listagem de eventos, procure o primeiro evento do tipo Auditoria sem êxito. Dê  um clique duplo sobre o evento para exibir os seus detalhes. Este evento descreve a tentativa de logon, sem sucesso, do usuário user2, conforme pode ser visto na Figura 12.24.

Figura 12.24 Falha na tentativa de logon do usuário user2.

7.       Para ver uma descrição completa do evento, você pode copiar o texto do evento para a área de transferência do Windows XP. Para isso clique no botão Copiar (botão com o desenho de duas folhas sobrepostas, logo abaixo do botão com uma seta para baixo). Depois abra o Bloco de notas (Iniciar -> Programas -> Acessórios -> Bloco de notas) e selecione o comando Editar -> Colar. Para o nosso exemplo, obteremos o texto indicado a seguir:

Tipo de evento: Auditoria sem êxito
Fonte de evento: Security
Categoria do evento: Logon/logoff
Id. do evento: 529
Data: 14/4/2002
Hora: 14:00:38
Usuário: AUTORIDADE NT\SYSTEM
Computador: MICROXP01
Descrição:
Falha de logon:
            Razão: Nome de usuário desconhecido ou senha incorreta
Nome de usuário: user2
Domínio: MICROXP01
Tipo de logon: 10
Processo de logon: User32
Pacote de autenticação: Negotiate
Nome da estação de trabalho: MICROXP01

Para obter mais informações, visite o Centro de ajuda e suporte em http://go.microsoft.com/fwlink/events.asp.

Observe o seguinte trecho do texto:

Razão: Nome de usuário desconhecido ou senha incorreta

Este trecho indica, com precisão, o motivo que gerou o evento: uma falha de logon devido a um nome de usuário desconhecido ou senha incorreta. No nosso exemplo o problema foi devido a uma senha digitada incorretamente.

8.       Dê um clique em OK para fechar a janela com os detalhes do evento.

9.       Feche o Visualizador de eventos.