Auditoria

  • Artigo

O WFP (Plataforma de Filtragem do Windows) fornece auditoria de eventos relacionados ao firewall e ao IPsec. Esses eventos são armazenados no log de segurança do sistema.

Os eventos auditados são os seguintes.

Categoria de auditoria Subcategoria de auditoria Eventos auditados
Alteração da Política
{6997984D-797A-11D9-BED3-505054503030}
 Alteração da política da plataforma de filtragem
{0CCE9233-69AE-11D9-BED3-505054503030}
 Nota: Os números representam as IDs de Evento, conforme exibido por Visualizador de Eventos (eventvwr.exe).
Adição e remoção de objeto WFP:
– 5440 Texto explicativo persistente adicionado
– 5441 Tempo de inicialização ou filtro persistente adicionado
– 5442 Provedor persistente adicionado
– 5443 Contexto de provedor persistente adicionado
- 5444 Subcaminho persistente adicionado
- 5446 Texto explicativo em tempo de execução adicionado ou removido
- 5447 Filtro de tempo de execução adicionado ou removido
– 5448 Provedor de tempo de execução adicionado ou removido
– 5449 Contexto do provedor em tempo de execução adicionado ou removido
- 5450 Subcaminho em tempo de execução adicionado ou removido
Acesso a objetos
{6997984A-797A-11D9-BED3-505054503030}
 Remoção de pacotes da plataforma de filtragem
{0CCE9225-69AE-11D9-BED3-505054503030}
 Pacotes descartados pelo WFP:
  • 5152 Pacote descartado
  • 5153 Pacote vetado
Acesso a objetos
 Conexão da plataforma de filtragem
{0CCE9226-69AE-11D9-BED3-505054503030}
 Conexões permitidas e bloqueadas:
- 5154 Escuta permitida
- 5155 Escuta bloqueada
- 5156 Conexão permitida
- 5157 Conexão bloqueada
- 5158 Associação permitida
- 5159 Associação bloqueada
Nota: As conexões permitidas nem sempre auditam a ID do filtro associado. A FilterID para TCP será 0, a menos que um subconjunto dessas condições de filtragem seja usado: UserID, AppID, Protocol, Remote Port.
Acesso a objetos
 Outros eventos de acesso a objetos
{0CCE9227-69AE-11D9-BED3-505054503030}
 Nota: Essa subcategoria permite muitas auditorias. As auditorias específicas do WFP estão listadas abaixo.
Status de prevenção contra negação de serviço:
– 5148 O modo de prevenção do DoS do WFP foi iniciado
- 5149 Modo de prevenção de DoS do WFP interrompido
Logon/Logoff
{69979849-797A-11D9-BED3-505054503030}
 Modo Principal do IPsec
{0CCE9218-69AE-11D9-BED3-505054503030}
 Negociação do modo principal IKE e AuthIP:
  • 4650, 4651 Associação de segurança estabelecida
  • 4652, 4653 Falha na negociação
  • 4655 Associação de segurança encerrada
Logon/Logoff
 Modo Rápido do IPsec
{0CCE9219-69AE-11D9-BED3-505054503030}
 Negociação de modo rápido IKE e AuthIP:
  • 5451 Associação de segurança estabelecida
  • 5452 Associação de segurança encerrada
  • 4654 Falha na negociação
Logon/Logoff
 Modo Estendido do IPsec
{0CCE921A-69AE-11D9-BED3-505054503030}
 Negociação do Modo Estendido AuthIP:
  • 4978 Pacote de negociação inválido
  • 4979, 4980, 4981, 4982 Associação de segurança estabelecida
  • 4983, 4984 Negociação falhou
Sistema
{69979848-797A-11D9-BED3-505054503030}
 Driver do IPSec
{0CCE9213-69AE-11D9-BED3-505054503030}
 Pacotes descartados pelo driver IPsec:
  • 4963 Pacote de texto não criptografado de entrada removido

Por padrão, a auditoria do WFP está desabilitada.

A auditoria pode ser habilitada por categoria por meio do snap-in do MMC do Editor de Objetos do Política de Grupo, do snap-in MMC da Política de Segurança Local ou do comando auditpol.exe.

Por exemplo, para habilitar a auditoria de eventos de Alteração de Política, você pode:

  • Usar o Editor de Objetos Política de Grupo

    1. Execute gpedit.msc.
    2. Expanda Política de Computador Local.
    3. Expanda Configuração do Computador.
    4. Expanda Configurações do Windows.
    5. Expanda Configurações de Segurança.
    6. Expanda Políticas Locais.
    7. Clique em Política de Auditoria.
    8. Clique duas vezes em Alterar política de auditoria para iniciar a caixa de diálogo Propriedades.
    9. Marque as caixas de marcar Êxito e Falha.

  • Usar a Política de Segurança Local

    1. Execute secpol.msc.
    2. Expanda Políticas Locais.
    3. Clique em Política de Auditoria.
    4. Clique duas vezes em Alterar política de auditoria para iniciar a caixa de diálogo Propriedades.
    5. Marque as caixas de marcar Êxito e Falha.

  • Usar o comando auditpol.exe

    • auditpol /set /category:"Policy Change" /success:enable /failure:enable

A auditoria só pode ser habilitada por subcategoria por meio do comando auditpol.exe.

Os nomes de categoria e subcategoria de auditoria são localizados. Para evitar a localização de scripts de auditoria, os GUIDs correspondentes podem ser usados no lugar dos nomes.

Por exemplo, para habilitar a auditoria de eventos de alteração de política de plataforma de filtragem, você pode usar um dos seguintes comandos:

  • auditpol /set /subcategory:"Filtering Platform Policy Change" /success:enable /failure:enable
  • auditpol /set /subcategory:"{0CCE9233-69AE-11D9-BED3-505054503030}" /success:enable /failure:enable

Auditpol

Log de Eventos

Política de Grupo