Monitorando falhas no login de usuários no Windows
Este guia é um exemplo de como criar agentes que monitorem as falhas e outros aspectos da segurança em uma rede Windows.
Pré-requisitos:
- O serviço INM deve ter uma conta com permissão para ler o log da máquina monitorada.
- Auditoria dos seguintes parâmetros deve ser efetuada (para domínios ou computadores locais):
- eventos de login, ajustados para log de erro
- políticas ajustadas para log de erro e de sucesso
- Listas de ação devidamente configuradas
Configurando um agente de log
Ao se criar um agente de log do objeto que você deseja monitorar, mantenha todos os parâmetros com os valores padrão, exceto os seguintes (mostramos abaixo as tabelas em inglês e português assim você poderá escolher a que melhor lhe convém):
Origem do evento |
Vazio |
Computador |
Vazio |
ID do Evento |
529 |
Inclusão de filtro |
Erro |
Exclusão de filtro |
Vazio |
Tipo de Evento |
Erro na Auditoria |
Inclusão de mensagem |
Verificado |
Log do Evento |
Segurança |
Event source |
Empty |
Computer |
Empty |
Event ID |
529 |
Filter including |
Failure |
Filter excluding |
Empty |
Event type |
Audit failure |
Include message |
Checked |
Event log |
Security |
Desta forma, este agente irá acionar um alarme a cada vez que descobrir uma nova falha no log.
Após a criação do primeiro agente, será extremamente fácil adicionar mais agentes que irão monitorar outros aspectos de segurança.
A lista abaixo trata somente de algumas das identificações de eventos mais importantes. Certifique-se que a auditoria esteja ligada para cada categoria. Caso contrário, o Windows não irá registrar estes eventos no log.
OBS.: A tabela abaixo foi traduzida para facilitar seu entendimento. Entretanto, os logs se encontram em inglês, e por isso apresentamos abaixo as tabelas em inglês e português.
Falha de Login |
ID do Evento |
Messagem de texto |
529 |
Nome de usuário ou senha desconhecidos |
530 |
Violação da restrição de tempo de login da conta |
531 |
Conta atualmente desativada |
532 |
A conta está vencida |
533 |
O usuário não pode fazer o login neste computador |
534 |
O login do usuário não foi solicitado nesta máquina |
535 |
A senha desta conta está vencida |
536 |
O NetLogon não está ativado |
537 |
Um erro inesperado ocorreu durante o login |
539 |
Conta bloqueada |
Acompanhamento do IP Sec |
ID do
Evento |
Mensagem de texto |
541 |
Associação de segurança IPSec estabelecida |
542 |
Associação IPSec encerrada.
Modo: Proteção de Dados (Modo Rápido) |
543 |
Associação IPSec encerrada.
Modo: Troca de Chave (Modo Principal) |
544 |
Estabelecimento da associação IPSec falhou, pois o outro lado não conseguiu autenticação. |
545 |
Outra autenticação do IPSec falhou. |
546 |
A associação de segurança do IPSec falhou porque o outro lado enviou proposta inválida. |
547 |
Negociação de associação de segurança IPSec falhou. |
Mudanças de Políticas |
ID do
Evento |
Mensagem de texto |
608 |
Direitos do Usuário definidos |
609 |
Direitos do Usuário removidos |
610 |
Novo Domínio Confiável |
611 |
Removendo Domínio Confiável |
612 |
Mudança na Política de Auditoria |
613 |
Politica do Agente IPSec iniciada |
614 |
Política do Agente IPSec desativada |
615 |
Mudança na Política do IPSec |
616 |
Agente IPSec encontrou séria falha em potencial |
617 |
Mudança na política Kerberos |
618 |
Mudança na política de recuperação de dados codificados |
619 |
Mudança na política de Qualidade de Serviço |
620 |
Informações sobre Domínio Confiável modificadas |
Logon failures |
Event ID |
Message text |
529 |
Unknown user name or bad password |
530 |
Account logon time restriction violation |
531 |
Account currently disabled |
532 |
The specified user account has expired |
533 |
User not allowed to logon at this computer |
534 |
The user has not been granted the requested logon type at this machine |
535 |
The specified account's password has expired |
536 |
The NetLogon component is not active |
537 |
An unexpected error occurred during logon |
539 |
Account locked out |
IP Sec auditing |
Event ID |
Message text |
541 |
IPSec security association established. |
542 |
IPSec security association ended.Mode: Data Protection (Quick mode) |
543 |
IPSec security association ended.Mode: Key Exchange (Main mode) |
544 |
IPSec security association establishment failed because peer could not authenticate. |
545 |
IPSec peer authentication failed. |
546 |
IPSec security association establishment failed because peer sent invalid proposal. |
547 |
IPSec security association negotiation failed. |
Policy Changes |
Event ID |
Message text |
608 |
User Right Assigned |
609 |
User Right Removed |
610 |
New Trusted Domain |
611 |
Removing Trusted Domain |
612 |
Audit Policy Change |
613 |
IPSec policy agent started |
614 |
IPSec policy agent disabled |
615 |
IPSec Policy Changed |
616 |
IPSec policy agent encountered a potentially serious failure |
617 |
Kerberos Policy Changed |
618 |
Encrypted Data Recovery Policy Changed |
619 |
Quality of Service Policy Changed |
620 |
Trusted Domain Information Modified |
Resumo
Monitorar os logs pode ser muito importante, por razões de segurança e como um serviço para os usuários.
Você pode rapidamente detectar se algum usuário travou seu acesso ao colocar uma senha incorreta, e também detectar tentativas de quebra de senha em qualquer conta.
Antes de ativar a auditoria, você deve analisar a necessidade deste serviço em sua empresa. A auditoria pode gerar um grande número de registros de eventos, então talvez você tenha que agendar uma limpeza nos logs para poder administrar seu tamanho.
O INM possui uma ação chamada “Clear event log” que pode ser utilizada para este propósito.
|