1 Monitoramento de segurança e detecção de ataques Introdução Bem-vindo a este documento da coleção Orientações de segurança para empresas de médio porte. A Microsoft espera que as informações a seguir ajudem a criar um ambiente de computação mais seguro e produtivo. Sinopse O elevado número de incidentes e ameaças de software mal-intencionado que dominaram as reportagens da mídia por anos serviu para aumentar a conscientização e estimular a maioria das empresas a investir tempo e recursos na defesa contra este sério problema de segurança. Entretanto, a maior ameaça à infra-estrutura das empresas pode não estar sob a forma de um ataque externo, como vírus, mas pode se encontrar dentro da própria rede interna. Os ataques lançados de dentro da rede da empresa têm um alto poder de destruição, especialmente se efetuados por pessoas em cargos de confiança e que têm acesso a todos os recursos da rede dentro da empresa. Quando os riscos apresentados por ameaças tanto externas quanto internas são analisados, muitas empresas decidem pesquisar sistemas que podem monitorar redes e detectar ataques de qualquer lugar de onde partam. As práticas de monitoramento de segurança não estão abertas a considerações para as empresas que são governadas por restrições normativas; são uma exigência. Essas mesmas normas podem até controlar por quanto tempo e como os registros de monitoramento de segurança devem ser mantidos e arquivados. O ambiente de regulamentação sempre em alteração e as sempre crescentes necessidades que as empresas regulamentadas têm para proteger suas redes, acompanhar a identificação de pessoas que acessam recursos e proteger informações privadas exercem pressões maiores sobre as empresas em todo o mundo para que elas instituam soluções efetivas para o monitoramento de segurança. Há várias razões por que o monitoramento de segurança e a detecção de ataques devem ser uma questão importante para empresas de médio porte que não precisam obedecer a requisitos de regulamentação. Elas incluem as conseqüências que qualquer empresa poderia enfrentar se um ataque à sua infra-estrutura tivesse êxito. Não apenas as operações da empresa poderiam ser afetadas, resultando em perda de produtividade e, até, monetária. Ela poderia, inclusive, sofrer a perda de sua reputação, o que, em geral, leva muito mais tempo para recuperar do que qualquer das perdas impostas por um ataque. Os recursos de log de segurança do Microsoft® Windows® podem ser o ponto de partida para uma solução de monitoramento de segurança. Porém, os logs de segurança sozinhos não fornecem informações suficientes para o planejamento de respostas a incidentes. Esses logs de segurança podem ser combinados com outras tecnologias que coletam e consultam informações para compor uma parte central de uma solução abrangente para monitoramento de segurança e detecção de ataques. O primeiro objetivo de um sistema de monitoramento de segurança e detecção de ataques é ajudar a identificar eventos suspeitos em uma rede que podem indicar atividade mal- intencionada ou erros de procedimentos. Este artigo descreve como desenvolver um plano para ajudar a atender à necessidade de um sistema como esse em redes baseadas no Windows. Ele também fornece instruções sobre como implementar, gerenciar e validar esse sistema. Visão geral Este documento consiste em quatro seções principais que enfocam conceitos e questões essenciais para o projeto e a implementação de uma solução eficiente para monitoramento de segurança e detecção de ataques. A primeira seção é a "Introdução" que você está lendo agora. As demais seções são:
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
1
Monitoramento de segurança e detecção de ataques
Introdução Bem-vindo a este documento da coleção Orientações de segurança para empresas de médio
porte. A Microsoft espera que as informações a seguir ajudem a criar um ambiente de
computação mais seguro e produtivo.
Sinopse
O elevado número de incidentes e ameaças de software mal-intencionado que dominaram as
reportagens da mídia por anos serviu para aumentar a conscientização e estimular a maioria das
empresas a investir tempo e recursos na defesa contra este sério problema de segurança.
Entretanto, a maior ameaça à infra-estrutura das empresas pode não estar sob a forma de um
ataque externo, como vírus, mas pode se encontrar dentro da própria rede interna.
Os ataques lançados de dentro da rede da empresa têm um alto poder de destruição,
especialmente se efetuados por pessoas em cargos de confiança e que têm acesso a todos os
recursos da rede dentro da empresa. Quando os riscos apresentados por ameaças tanto
externas quanto internas são analisados, muitas empresas decidem pesquisar sistemas que
podem monitorar redes e detectar ataques de qualquer lugar de onde partam.
As práticas de monitoramento de segurança não estão abertas a considerações para as
empresas que são governadas por restrições normativas; são uma exigência. Essas mesmas
normas podem até controlar por quanto tempo e como os registros de monitoramento de
segurança devem ser mantidos e arquivados. O ambiente de regulamentação sempre em
alteração e as sempre crescentes necessidades que as empresas regulamentadas têm para
proteger suas redes, acompanhar a identificação de pessoas que acessam recursos e proteger
informações privadas exercem pressões maiores sobre as empresas em todo o mundo para que
elas instituam soluções efetivas para o monitoramento de segurança.
Há várias razões por que o monitoramento de segurança e a detecção de ataques devem ser
uma questão importante para empresas de médio porte que não precisam obedecer a
requisitos de regulamentação. Elas incluem as conseqüências que qualquer empresa poderia
enfrentar se um ataque à sua infra-estrutura tivesse êxito. Não apenas as operações da empresa
poderiam ser afetadas, resultando em perda de produtividade e, até, monetária. Ela poderia,
inclusive, sofrer a perda de sua reputação, o que, em geral, leva muito mais tempo para
recuperar do que qualquer das perdas impostas por um ataque.
Os recursos de log de segurança do Microsoft® Windows® podem ser o ponto de partida para
uma solução de monitoramento de segurança. Porém, os logs de segurança sozinhos não
fornecem informações suficientes para o planejamento de respostas a incidentes. Esses logs de
segurança podem ser combinados com outras tecnologias que coletam e consultam
informações para compor uma parte central de uma solução abrangente para monitoramento
de segurança e detecção de ataques.
O primeiro objetivo de um sistema de monitoramento de segurança e detecção de ataques é
ajudar a identificar eventos suspeitos em uma rede que podem indicar atividade mal-
intencionada ou erros de procedimentos. Este artigo descreve como desenvolver um plano para
ajudar a atender à necessidade de um sistema como esse em redes baseadas no Windows. Ele
também fornece instruções sobre como implementar, gerenciar e validar esse sistema.
Visão geral
Este documento consiste em quatro seções principais que enfocam conceitos e questões
essenciais para o projeto e a implementação de uma solução eficiente para monitoramento de
segurança e detecção de ataques. A primeira seção é a "Introdução" que você está lendo agora.
As demais seções são:
2
Definição Esta seção fornece informações que são úteis para a compreensão de processos envolvidos com
a geração e a aplicação da solução apresentada neste artigo.
O desafio das empresas de médio porte Esta seção descreve muitos dos desafios comuns enfrentados pelas empresas de médio porte
em relação a um sistema de monitoramento de segurança e detecção de ataques.
Soluções Esta seção fornece informações detalhadas sobre como desenvolver, implementar, gerenciar e
validar a solução apresentada neste artigo. Ela está dividida em duas subseções.
"Desenvolvendo a solução" discute as atividades que são pré-requisito e cria as etapas do
planejamento. "Implantando e gerenciando a solução" fornece informações que ajudarão nos
esforços para implantar, gerenciar e validar um sistema de monitoramento de segurança e
detecção de ataques.
Quem deve ler este documento
Este documento aborda problemas de privacidade e segurança de empresas de médio porte,
especialmente aquelas que exigem proteção de identidade e controle do acesso a dados por
força de restrições reguladoras. Por conseguinte, o público-alvo deste documento varia de
gerentes técnicos e responsáveis pelas decisões até profissionais de TI e implementadores de
tecnologia que são responsáveis pelo planejamento, pela implantação, pela operação ou,
especialmente, pela segurança da rede da empresa.
Embora partes deste documento devam ser úteis à maioria dos responsáveis pelas decisões, os
leitores devem estar familiarizados com problemas de segurança e risco em seus próprios
ambientes de rede e ter conhecimento dos conceitos de serviços de log de eventos para aplicar
todo o conteúdo aqui apresentado.
Início da página
Definição Este artigo usa o modelo de processo MOF (Microsoft Operations Framework), além da
Administração de Segurança MOF e das funções de gerenciamento de serviços (SMFs) do
Gerenciamento de Incidentes.
Em especial, a solução apresentada neste artigo recomenda o uso de um método de processo
contínuo, no lugar de um método de implantação linear para monitoramento de segurança e
detecção de ataques. Especificamente, esta solução deve envolver as etapas mostradas na figura
que devem também ser avaliados de acordo com a relação econômica que eles
apresentam. Finalmente, pode haver várias formas de atenuar riscos específicos, e
algumas podem resolver outras vulnerabilidades que, assim, tornam tais esforços de
segurança ainda mais eficazes.
Mesmo após um plano de correção ser escolhido, o método de modelagem de ameaças é um
processo repetitivo que deve ser executado regularmente com ações constantes de reavaliação
para assegurar que os esforços de segurança sejam os mais abrangentes possíveis.
Investigações e exames do histórico
A maioria das empresas já realiza algum tipo de verificação de histórico dos funcionários em
potencial como uma condição para sua contratação, mas não realizam novas verificações
depois. As empresas devem considerar a realização de verificações de histórico regularmente
durante o vínculo empregatício, especialmente dos funcionários em cargos críticos com acesso
a informações restritas.
Contratos de diretivas para uso de computador
Os contratos de utilização de computador e rede são importantes não apenas para informar os
funcionários sobre como eles podem usar os ativos da empresa mas também para informá-los
sobre as diretivas para monitoramento da atividade da rede e para o uso do computador, além
das possíveis conseqüências de qualquer tentativa de violação das diretivas.
As declarações das diretivas de utilização também atuam como documentos legais quando
definem essas questões em termos explícitos e requerem a assinatura do funcionário como
indicação de acordo. Sem uma prova de que o funcionário está plenamente ciente das diretivas
internas de monitoramento de segurança e de que se espera dele o uso aceitável dos ativos da
empresa, torna-se cada vez mais difícil processar violadores em caso de transgressão.
Também é importante emitir um aviso de uso e acesso não autorizados em qualquer ponto de
acesso na rede corporativa informando qualquer pessoa que tente acessá-la de que se trata de
uma rede privada e de que o acesso não autorizado a ela é proibido e poderá resultar em
processo judicial. Por exemplo, os sistemas operacionais Windows têm capacidade de exibir um
aviso durante um evento de tentativa de logon que pode ser usado para informar os usuários
de que estão prestes a tentar um acesso a um recurso corporativo protegido e que o acesso não
autorizado é proibido.
Embora esteja fora do escopo deste artigo tratar das questões legais envolvidas no teor e uso
exatos desse tipo de documento, é importante mencionar que os documentos e as diretivas
devem existir. Há na Internet muitos exemplos de declarações sobre uso e acesso, mas elas
devem ser preparadas com o suporte de consultores legais porque existem diversas questões
internacionais e locais exclusivas que exigem uma avaliação criteriosa.
Separação de tarefas
Assim como as diferentes funcionalidades do sistema são segmentadas pela rede para fins de
segurança, desempenho e disponibilidade, também é importante providenciar a duplicação e a
separação de tarefas quando se elaboram os requisitos da equipe para um departamento de
segurança de TI.
Funções importantes que envolvem acesso ou controle de dados e sistemas confidenciais
devem ser redundantes, sempre que possível e razoável, não apenas para proteção contra
problemas relativos a perda de informações, se o único membro da equipe que as detém for
embora, mas também para fornecer uma função de segurança em casos de sabotagem interna.
Por exemplo, seria difícil recuperar senhas de administrador se apenas um membro da equipe as
conhecesse e saísse da empresa sem fornecê-las a mais ninguém.
Além da redundância de funções, também é importante separar funções críticas, especialmente
para monitoramento de segurança. Quem gerencia a rede não deve ser também responsável
pelo exame das informações de auditoria de segurança, e a equipe de segurança não deve ter
direitos administrativos iguais aos dos administradores. Às vezes, também é importante
salvaguardar informações departamentais da equipe administrativa para depois aplicar a
13
separação de tarefas. Por exemplo, algumas empresas têm unidades organizacionais com seus
próprios sistemas ou contas administrativas, como o financeiro e os recursos humanos.
Observação Embora possa não ser possível impedir que detentores de conta de administrador
descubram soluções alternativas para a separação de tarefas, é importante pelo menos
estabelecer diretivas de conjunto para o uso autorizado pela autoridade administrativa que
adota o princípio de separação de tarefas.
Validar a funcionalidade de monitoramento de segurança
Os testes regulares de uma solução de monitoramento de segurança devem ser planejados
cuidadosamente antes da implementação de um tal programa. Embora os testes iniciais sejam
importantes para validar uma solução de monitoramento de segurança, é também importante
ter uma programação de testes que ocorram regularmente devido às constantes mudanças no
ambiente de segurança.
Os testes podem incluir tentativas de invasão e uso de privilégios administrativos para
determinar se a solução é eficaz na localização dessas atividades. Entretanto, também é
importante pesquisar as últimas alterações nas técnicas de segurança e perfis de ataque para
determinar se precisam ser feitas alterações. As ameaças a redes corporativas mudam
constantemente à medida que os hackers se ajustam às implementações de segurança, por isso
as defesas e técnicas de monitoramento devem estar sempre em evolução para que
permaneçam eficazes.
Estabelecer processos
Para separar eventos autorizados de não autorizados, é necessário criar um plano para o
controle de alterações obrigatórias e de processos de gerenciamento de problemas
estabelecidos. Esse plano pode fornecer uma trilha detalhada impressa que pode ter suas
informações cruzadas com as do log de segurança. Embora o acompanhamento de problemas
seja corriqueiro na maioria das empresas, por meio de pedidos do suporte técnico ou de outros
processos de acompanhamento de problemas, o controle de alterações é freqüentemente
negligenciado. O controle de alterações é um mecanismo necessário e pode ser usado não
somente para acompanhar tendências para descobrir sistemas ou aplicativos problemáticos,
mas também como um mecanismo de segurança fundamental.
Os processos de controle de alterações devem ocorrer como um procedimento proativo, e as
alterações reativas devem ser limitadas ao uso de um processo de gerenciamento de
problemas. Um processo de controle de alterações deve exigir envio e aprovação antes de
qualquer alteração e deve incluir os detalhes a seguir:
Nome do aprovador
Nome do implementador
Cronograma da alteração
Razões da alteração
Alterações a serem feitas
Sistemas afetados pela alteração
Impacto na empresa
Resultados reais da alteração
Um outro processo que deve ser estabelecido é o de configuração de usuário via um
procedimento para adicionar/alterar/excluir usuário que também cria uma trilha de auditoria
para a proteção contra alterações de conta não autorizadas. Antes de se estabelecer tal
processo, é importante executar uma auditoria de segurança das contas de usuário existentes
para verificar a validade delas e periodicamente validar a lista, já que ela muda.
O uso de configuração de usuário automática e de soluções de gerenciamento de identidades,
como o Microsoft Identity Integration Server (MIIS) 2003, pode ser útil também, pois automatiza
alterações em conta e os processos que estão por trás dessas atividades. Ao adotar tais
soluções, é importante lembrar-se de que as contas de administrador ainda retêm a capacidade
de criar novas contas mas que não precisam fazer isso, porque as contas seriam criadas pelos
14
processos estabelecidos. Portanto, todos os eventos associados com a criação de contas, como
o evento 624, devem ser correlacionados apenas ao MIIS 2003 ou outra conta de serviço
estabelecida que seja usada para configuração automática.
Embora ameaças externas a redes corporativas sejam constantemente divulgadas pela mídia, a
experiência mostra que redes e dados corporativos são muito mais vulneráveis a perdas ou
comprometimentos decorrentes de configurações incorretas ou de erros em etapas de
procedimentos. É importante se proteger de todas as ameaças externas e internas, e existem
muitos fornecedores que ajudam a proteger sua empresa contra ameaças externas, mas
nenhum deles consegue vender um pacote que impeça erros cometidos pelos responsáveis por
sua rede e sua segurança. A melhor forma de atenuar esses riscos é implementar e impor
processos e procedimentos seguros com relação a alterações executadas na rede.
Definir respostas da segurança
Para limitar os danos que uma violação de segurança pode causar, é importante desenvolver um
plano de resposta adequado predefinido e estabelecer processos para responder a incidentes.
Relatórios de incidentes, a formação de uma equipe de resposta rápida e um protocolo de
resposta de emergência são bons exemplos. A velocidade e a eficácia de respostas a incidentes
aperfeiçoarão o perfil de segurança de uma organização e limitarão os danos reais e percebidos
que uma tentativa de invasão pode causar.
A formação de um processo de resposta de segurança estabelecido não apenas ajuda a limitar
os danos que um incidente real pode causar, como também atua como um impedimento
porque notifica a equipe e outras pessoas de que um incidente provocará uma resposta,
coordenada e imediata, a qualquer violação de segurança.
Recursos humanos
De acordo com estudos feitos pelo CERT e pelo serviço secreto dos EUA, muitos ataques de
fontes internas poderiam ser evitados se as empresas estivessem mais conscientes e adotassem
medidas em resposta a alterações de comportamento ou ameaças de um funcionário.
Provavelmente, os recursos de segurança mais valiosos são os próprios funcionários, porque
eles sabem quando um membro da equipe se torna descontente ou alertam o pessoal
apropriado quando um visitante está agindo de forma suspeita. De fato, uma das primeiras
medidas de um grupo externo de auditoria de segurança será “dar um passeio” numa tentativa
de encontrar informações de senha escritas em papel, descobrir dispositivos inseguros ou tentar
invasões conectando-se diretamente à rede interna.
A equipe da empresa pode servir como uma camada importante de proteção contra ameaças
internas e externas. Encorajar diretivas de porta aberta para discutir comportamentos
preocupantes com os colegas e treinar o pessoal de suporte para emitir relatórios de atividade
incomum dos computadores com a equipe são medidas que podem realmente ajudar a atenuar
tentativas de invasão ou incidentes de malware. O treinamento interno é também importante
como um método de ensinar aos funcionários como descobrir tipos de comportamento de
computador que devem ser relatados. O treinamento também serve como medida preventiva
com respeito a evitar ataques de engenharia social.
Correlacionar violações de diretivas de segurança com eventos de auditoria Correlacionar informações de eventos de segurança envolve a coleta de eventos de segurança
de vários sistemas e a colocação desses dados em um local central seguro. Depois que as
informações de segurança forem correlacionadas, os responsáveis podem analisar o repositório
central para identificar violações ou ataques externos. O repositório é importante não apenas
para análise forense mas também como uma ferramenta para detectar ataques e solucionar
vulnerabilidades. Embora haja várias soluções de terceiros com essa finalidade, os seguintes
produtos e ferramentas da Microsoft podem ajudar a tratar essas necessidades, correlacionando
logs de eventos de segurança e outras informações de monitoramento de segurança em um
repositório central.
15
EventCombMT
EventCombMT (com vários segmentos) é um componente do Guia de Segurança do Windows
Server 2003, que está disponível em
http://www.microsoft.com/brasil/security/guidance/prodtech/win2003/secmod117.mspx. Essa
ferramenta pode analisar e coletar eventos dos respectivos logs em vários computadores. Ele é
executado como um aplicativo com várias camadas que permite ao usuário especificar qualquer
número de parâmetros na busca por logs de eventos, como:
Identificações de evento (individuais ou várias identificações)
Intervalos de identificações de evento
Origens de evento
Texto específico do evento
Duração do evento em minutos, horas ou dias
Figura 4. EventCombMT
Certas categorias de pesquisa específicas estão incorporadas no EventCombMT, como
bloqueios de contas (mostrados na figura anterior), que fornecem a funcionalidade de pesquisa
dos eventos a seguir:
529. Falha de logon (nome ou senha de usuário incorreto(a))
644. Conta de usuário bloqueada automaticamente
675. Falha de pré-autenticação no controlador de domínio (senha incorreta)
676. Falha no pedido de permissão de autenticação
681. Falha de logon
Outro evento relacionado à segurança que não reside no arquivo de log do sistema é o evento
12294, que vem do arquivo de log do sistema. É importante adicionar esse evento a todas as
pesquisas, porque ele pode ser usado para detectar tentativas de ataque contra a conta do
administrador que não tem um limite de bloqueio e é, portanto, um alvo vulnerável e tentador
Os parâmetros a seguir podem ser usados na linha de comando:
/is – adiciona ou altera uma entrada incluir-êxito
/if – adiciona ou altera uma entrada incluir-falha
/es – adiciona ou altera uma entrada excluir-êxito
/ef – adiciona ou altera uma entrada excluir-falha
/r – remove entradas de auditoria por usuário de uma conta de usuário específica
/r – remove todas as entradas de auditoria por usuário de todas as contas de usuário
/e – exporta configurações para um nome de arquivo especificado
/i – importa configurações de um nome de arquivo especificado
Um arquivo de configurações de auditoria por usuário é um arquivo de texto sem formatação e
usa o formato mostrado na figura a seguir.
23
Figura 6. Exemplo de arquivo de importação Auditusr.exe
Observação O arquivo de importação deve iniciar com a linha “Auditusr 1.0” como mostrado
para a importação com êxito.
Portanto, para importar o arquivo de configurações de auditoria mostrado na figura anterior,
seria usado o seguinte comando:
Audituser /i path\audit.txt
Você pode usar esse utilitário para ajudar a estabelecer limites para informações de log de
auditoria, o que pode reduzir os requisitos de armazenamento e aumentar a probabilidade de
que as tentativas de invasão sejam percebidas.
Violação de diretivas de segurança e correlação de eventos de auditoria Embora esta seção não faça distinção entre violações de diretivas causadas por fontes internas
ou externas, é importante notar que as internas podem ser tão desastrosas para a empresa
quando as externas. Como observado anteriormente neste documento, um percentual
significativo de ataques mal-intencionados é perpetrado por fontes internas, e esse percentual
inclui danos acidentais causados pelo uso indevido de privilégios elevados fora do escopo dos
procedimentos estabelecidos.
Por causa do risco de abuso, acidental ou intencional, de privilégios elevados por fontes
internas, é importante estabelecer diretivas e procedimentos relativos ao uso apropriado desses
privilégios e estabelecer trilhas de auditoria para correlação cruzada. Após se instituir uma
diretiva de processo e documentação de gerenciamento de alterações, pode ser desenvolvida
uma correlação entre informações de auditoria e eventos aprovados e reprovados, facilitando,
assim, a capacidade de detecção de comportamentos incomuns dentro da empresa. Esta seção
ajudará nessa correlação, descrevendo os tipos diferentes de eventos que podem ser rastreados
e como podem se aplicar a diretivas e processos.
Acessando computadores não autorizados
Cada vez mais as equipes administrativa e de suporte usam recursos de gerenciamento remoto,
como Serviços de terminal, para se conectarem aos sistemas remotos e os gerenciarem. Esses
sistemas devem ser monitorados quanto a tentativas de logon interativas, e cada tentativa de
conexão deve ter a validade verificada. Essas verificações devem executar as seguintes ações:
Identificar logons de contas de serviço.
Registrar tentativas de acesso por contas não autorizadas.
Investigar tentativas provenientes de áreas geográficas incomuns.
Listar tentativas provenientes de intervalos de endereços IP externos.
24
É preciso dar atenção especial ao monitoramento de ativos de alto valor. Esses recursos críticos
residem em servidores específicos configurados com parâmetros rígidos de controle de acesso
e de monitoramento de auditoria.
A tabela a seguir lista eventos de auditoria de logon que devem ser comparados com eventos
de contas autorizadas quando vistos em sistemas de ativos de alto valor.
Tabela 3. Eventos de utilização de computadores não autorizados
Tabela 3. Eventos de utilização de computadores não autorizados
Identificação
do evento Ocorrência Comentários
528 Logon com
êxito
Verifique o nome da estação de trabalho e o
nome da conta de usuário. Verifique se o
endereço da rede de origem reside dentro de uma
rede.
529 Falha de logon
– nome de
usuário
desconhecido
ou senha
inválida
Verifique as tentativas onde o Nome da conta de
destino é igual a Administrador ou à conta padrão
do administrador renomeada. Verifique também
várias falhas de logon que estejam abaixo do
limite de bloqueio de conta.
530 Falha de logon
– Restrições de
tempo
Indica uma tentativa de logon fora do intervalo de
tempo permitido. Verifique o nome da conta de
usuário e o nome da estação de trabalho.
531 Falha de logon
– Conta
atualmente
desativada
Verifique o nome da conta de destino e o nome
da estação de trabalho. Esse evento pode indicar
tentativas de invasão por ex-usuários e requer
investigação.
532 Falha de logon
– A conta de
usuário
especificada
expirou
Verifique o nome da conta de destino e o nome
da estação de trabalho. Esse evento pode indicar
tentativas feitas por funcionários contratados ou
temporários e requerem investigação.
533 Falha de logon
– O usuário não
tem permissão
para efetuar
logon no
computador
Indica que o usuário pode estar tentando efetuar
logon em estações de trabalho restritas.
534 Falha de logon
– Tipo de logon
não permitido
Verifique o nome da conta de destino, o nome da
estação de trabalho e o tipo de logon. Esse evento
indica falha na tentativa de logon interativo com
25
credenciais de conta de serviço quando as
configurações da Diretiva de Grupo impedem
logons interativos nessas contas.
535 Falha de logon
– A senha da
conta de
especificada
expirou
Indica que o usuário está tentando fazer logon em
uma conta cuja senha expirou. Pode exigir
investigação caso se repita sem a respectiva
alteração de senha ou chamada de suporte.
536 Falha de logon
– O
componente
NetLogon não
está ativo
Verifique se o serviço NetLogon está em
operação. Do contrário, esse evento pode
requerer investigação.
540 Logon com
êxito
Esse evento equivale ao Evento 528 da rede.
Cavalos de Tróia, rootkits e malware
A identificação do evento 592 é muito útil para detectar ocorrências de cavalos de Tróia, rootkits
e outros tipos de malware, porque ela é criada sempre que um novo processo se inicia.
Qualquer ocorrência desse evento deve requerer investigação imediata sempre que o Nome do
arquivo de imagem não corresponder a um processo listado em uma lista de programas
aprovados.
Embora os cavalos de Tróia e os programas de registro de teclas sejam relativamente fáceis de
identificar, os rootkits têm uma capacidade de camuflagem especial. Eles podem ser detectados
localizando-se programas desconhecidos que iniciam e param em rápida sucessão. Entretanto,
quando um rootkit é iniciado, o sistema operacional não tem como detectá-lo e, assim, não
gera novos eventos.
Outras tentativas de malware podem tomar a forma de anexos de email ou sites infectados, e
podem tentar aumentar privilégios quando a conta de execução não tem os direitos para iniciar
novos programas. Nesses casos, o software não autorizado deve criar um evento de falha a ser
investigado, especialmente quando os seguintes eventos ocorrerem:
Processos gerados como LocalSystem. Os processos que são executados como
LocalSystem devem ser bem definidos em uma lista de programas aprovados e podem
incluir processos como Services.exe.
Processos gerados em horários inesperados. Se o sistema monitorado não usa
processos em lotes programados, certas atividades (como backups, CGI ou scripts)
devem ser investigadas quando ocorrerem. Em outros casos, deve ser feita uma
investigação quando tais eventos ocorrerem fora dos horários de lotes programados
regularmente.
26
Tabela 4. Evento 592
Tabela 4. Evento 592
Identificação
do evento Ocorrência Comentários
592 Criando
um novo
processo
Verifique as entradas Nome do arquivo de imagem e
Nome de usuário em busca de processos não
aprovados, horários de início inesperados ou
programas desconhecidos que iniciam e param em
rápida sucessão.
Acessar recursos alterando permissões de arquivo
É possível usar privilégios administrativos para acessar arquivos cujo acesso seria normalmente
negado alterando-se a propriedade dos dados e, depois, adicionando-se as contas à lista de
permissões de leitura para aqueles dados. Também é possível disfarçar essa atividade no
Windows Server 2003 alterando-se a propriedade e as permissões de volta às configurações
originais.
Nesse sentido, a identificação de dados e ativos de alto valor é importante, porque seria
contraproducente implementar uma auditoria de acesso a objetos para cada arquivo em uma
rede corporativa de empresa de médio porte, em vista do grande volume de eventos de acesso
que ocorre normalmente todos os dias. A auditoria de acesso a objetos deve ser ativada para
arquivos e pastas confidenciais; as entradas de ACL não são suficientes para a defesa apropriada
contra tentativas de acesso não autorizadas.
Para detectar atividades ilícitas de forma eficaz, os seguintes fatores devem ser facilmente
identificáveis para arquivos de alto valor:
Qual objeto foi alvo de uma tentativa de acesso?
Que conta foi usada para solicitar o acesso?
Que conta autorizou o acesso?
Qual foi o tipo de acesso tentado?
O evento teve êxito ou não?
Qual sistema foi usado para iniciar a tentativa?
O recurso de visualização de eventos incorporado não teve configurações de filtro suficientes
para identificar essas informações. Por isso, o EventCombMT ou algum outro mecanismo deve
ser usado para executar a análise.
Os eventos de auditoria de acesso a objetos na tabela a seguir indicam tentativas dessa
natureza.
Tabela 5. Eventos de alteração de permissões de arquivo
Identificação
do evento Ocorrência Comentários
560 Acesso
concedido a
objeto
existente
Indica uma solicitação de acesso a um objeto
concedida com êxito. Verifique ID de logon primário,
Nome de usuário cliente e Nome de usuário principal
para detectar o acesso não autorizado. Verifique o
27
campo Acessos para determinar o tipo de operação.
Esse evento detecta apenas solicitações de acesso; ela
não detecta se o acesso ocorreu.
567 Uma
permissão
associada a
um
identificador
utilizado
Indica a primeira ocorrência de um tipo de acesso a
um objeto e indica que as permissões foram alteradas
se o campo Acesso incluir “WRITE_DAC.” Correlacione
com o evento 560 comparando os campos de
identificação de identificador.
Acessar recursos redefinindo senhas
Alterações de senha somente devem ocorrer dentro de uma estrutura aprovada de
procedimentos estabelecidos. Níveis de auditoria configurados corretamente devem registrar os
eventos de gerenciamento de contas mostrados na tabela a seguir e correlacionar esses eventos
com os procedimentos registrados para identificar atividades que não obedeçam aos
procedimentos.
Tabela 6. Eventos de redefinição de senha
Identificação
do evento Ocorrência Comentários
627 Tentativa de
alteração de
senha
Indica uma solicitação de alteração de senha na qual
o solicitante forneceu a senha original. Compare o
Nome de conta principal com o Nome de conta de
destino para determinar se a conta solicitante é a
conta alterada.
628 Definição ou
redefinição
de senha de
conta de
usuário
Indica uma redefinição de senha proveniente de uma
interface administrativa, e não de um processo de
alteração de senha. O solicitante deve ser uma conta
autorizada, como a do suporte técnico, ou uma
conta que solicite uma redefinição de senha via
auto-atendimento.
698 Alteração de
senha do
modo de
restauração
dos serviços
de diretório
Indica uma tentativa de alteração de senha do modo
de restauração dos serviços de diretório em um
controlador de domínio. Verifique o IP da estação de
trabalho e o nome da conta. Esse evento exige uma
investigação imediata.
Modificação de conta de usuário
Qualquer modificação de conta, seja adicionar, excluir ou alterar, deve corresponder a um
processo estabelecido que envolve um processo de lógica comercial de várias etapas iniciado
por uma solicitação oficial proveniente de um funcionário com nível de gerenciamento. Todos
os eventos na tabela a seguir devem corresponder a uma solicitação de modificação de conta
oficial; do contrário, é exigida uma investigação imediata.
28
Tabela 7. Eventos de alteração de conta de usuário
Identificação
do evento Ocorrência Comentários
624 Criando uma
conta de usuário
Indica uma ocorrência de criação de conta na
rede.
630 Excluindo uma
conta de usuário
Indica uma ocorrência de exclusão de conta da
rede.
642 Alterando uma
conta de usuário
Indica alterações de conta de usuário relativas à
segurança que não estão incluídas nos eventos
627-630.
685 Alterando um
nome de conta
de usuário
Indica uma alteração de nome de conta de
usuário.
Para identificar de forma eficaz problemas de gerenciamento de contas, devem ser configuradas
consultas para se obter o seguinte:
Localizar atividades de conta irregulares ou incomuns.
Identificar contas de nível administrativo que abusem de privilégios para criar ou
modificar contas.
Detectar padrões de atividades de conta que ocorrem fora da diretiva de segurança da
organização.
Também é importante confirmar o intervalo entre a criação de uma conta, o logon inicial e a
alteração de senha. Se uma nova conta não for utilizada dentro de um período de tempo
predefinido (normalmente, um processo de criação de conta registra a data de início prevista
para um novo usuário), a conta deverá ser desativada e uma investigação deverá ser iniciada
para se descobrir o motivo do atraso.
Alterações em associações de grupo
Uma boa prática de segurança envolve o princípio do privilégio mínimo, que significa conceder
às contas o nível mínimo de acesso requerido para que elas possam executar suas funções
adequadamente. Quando essa prática é aplicada, a maioria das contas será membro do grupo
Usuários do domínio padrão com associação adicional a grupos de segurança específicos da
empresa.
Alterações em associações do grupo de segurança somente devem ocorrer de acordo com
diretrizes de diretiva estabelecidas, especialmente quando estiverem envolvidas contas com
privilégios elevados. Essas alterações em associações de grupo apenas devem ser executadas
por contas estabelecidas, utilizadas para gerenciamento de contas, e esses eventos devem ser
correlacionados a um processo estabelecido para essas alterações. Todas as alterações fora
desse processo exigem uma investigação imediata.
Na tabela a seguir, os eventos de auditoria de gerenciamento de contas detalham alterações em
associações de grupo.
Tabela 8. Eventos de alterações em associações de grupo
Tabela 8. Eventos de alterações em associações de grupo
29
Identificação
do evento Ocorrência Comentários
631, 632,
633, 634
Alteração de
grupo global
de
segurança
ativada
Examine o campo Nome da conta de destino para
determinar se o grupo alterado era global ou tinha
amplos privilégios de acesso.
635, 636,
637, 638
Alteração de
grupo local
de
segurança
ativada
Examine o campo Nome da conta de destino para
determinar se o grupo alterado era Administradores,
Operadores de servidor ou Operadores de cópia.
639, 641,
668
Alteração de
grupo de
segurança
ativada
Indica uma alteração em um grupo que não é
exclusão, criação ou alteração de associação. Examine
o Nome da conta de destino para se certificar de que
um grupo com privilégio alto não foi alterado.
659, 660, 661,
662
Alteração de
grupo
universal de
segurança
ativada
Examine o campo Nome da conta de destino para se
certificar de que um grupo com privilégio alto, como
Administradores de empresa, não foi alterado.
Observação A associação em grupos de distribuição não fornece acesso a recursos de rede,
pois os grupos de distribuição não são princípios de segurança. Entretanto, a associação em
certos grupos de distribuição pode criar problemas de segurança, dependendo do grupo. Por
exemplo, a inclusão de contas de usuário em um grupo de distribuição executivo ou de
gerenciamento pode fazer com que os usuários recebam mensagens de emails inapropriadas
para seus cargos.
Tentativas de utilização de contas não autorizadas
A promoção do primeiro controlador de domínio do Active Directory em uma floresta cria uma
conta de administrador que é membro de ambos os grupos: Administradores de domínio e
Administradores de empresa. Essa conta requer proteção especial porque ela é a única que não
é afetada por configurações de bloqueio de conta. Portanto, mesmo quando uma diretiva de
bloqueio de conta está vigorando, essa conta está especialmente vulnerável a ataques de
dicionário.
O monitoramento de segurança eficaz deve ser capaz de identificar todas as tentativas de logon
nessa conta de administrador, mesmo que ela tenha sido renomeada. Para obter mais
informações sobre o aumento de segurança em contas administrativas, consulte o Guia de
Planejamento de Segurança de Contas de Administrador em