Partilhar via

Auditoria

  • Artigo

A Plataforma de Filtragem do Windows (WFP) fornece auditoria de eventos relacionados a firewall e IPsec. Esses eventos são armazenados no log de segurança do sistema.

Os eventos auditados são os seguintes.

Categoria de auditoria Subcategoria de auditoria Eventos auditados
Mudança de política
{6997984D-797A-11D9-BED3-505054503030}
 Alteração da política da plataforma de filtragem
{0CCE9233-69AE-11D9-BED3-505054503030}
 Nota: Os números representam os IDs de Evento conforme exibidos pelo Visualizador de Eventos (eventvwr.exe).
Adição e remoção de objetos WFP:
- 5440 Texto explicativo persistente adicionado
- 5441 Filtro persistente ou de inicialização adicionado
- 5442 Provedor persistente adicionado
- 5443 Contexto de provedor persistente adicionado
- 5444 Subcamada persistente adicionada
- 5446 Texto explicativo em tempo de execução adicionado ou removido
- 5447 Filtro de tempo de execução adicionado ou removido
- 5448 Provedor de tempo de execução adicionado ou removido
- 5449 Contexto do provedor de tempo de execução adicionado ou removido
- 5450 Subcamada de tempo de execução adicionada ou removida
Acesso a objetos
{6997984A-797A-11D9-BED3-505054503030}
 Plataforma de filtragem de queda de pacotes
{0CCE9225-69AE-11D9-BED3-505054503030}
 Pacotes descartados pelo WFP:
  • 5152 Pacote descartado
  • 5153 Pacote vetado
Acesso a objetos
 Conexão da plataforma de filtragem
{0CCE9226-69AE-11D9-BED3-505054503030}
 Ligações permitidas e bloqueadas:
- 5154 Escuta permitida
- 5155 Ouvir bloqueado
- 5156 Ligação permitida
- 5157 Conexão bloqueada
- 5158 Encadernação permitida
- 5159 Ligação bloqueada
Nota: As ligações permitidas nem sempre auditam o ID do filtro associado. O FilterID para TCP será 0, a menos que um subconjunto dessas condições de filtragem seja usado: UserID, AppID, Protocol, Remote Port.
Acesso a objetos
 Outros eventos de acesso a objetos
{0CCE9227-69AE-11D9-BED3-505054503030}
 Nota: Esta subcategoria permite muitas auditorias. As auditorias específicas do PAM estão listadas abaixo.
Estado de prevenção da negação de serviço:
- 5148 WFP DoS modo de prevenção iniciado
- 5149 Modo de prevenção DoS do PAM interrompido
Logon/Logoff
{69979849-797A-11D9-BED3-505054503030}
 Modo Principal IPsec
{0CCE9218-69AE-11D9-BED3-505054503030}
 Negociação do Modo Principal IKE e AuthIP:
  • 4650, 4651 Associação de segurança criada
  • 4652, 4653 Falha na negociação
  • 4655 Associação de segurança encerrada
Logon/Logoff
 Modo Rápido IPsec
{0CCE9219-69AE-11D9-BED3-505054503030}
 Negociação do Modo Rápido IKE e AuthIP:
  • 5451 Criação de uma associação de segurança
  • 5452 Associação de segurança encerrada
  • 4654 Falha na negociação
Logon/Logoff
Modo estendido IPsec
{0CCE921A-69AE-11D9-BED3-505054503030}
 Negociação do Modo Estendido AuthIP:
  • 4978 Pacote de negociação inválido
  • 4979, 4980, 4981, 4982 Associação de segurança criada
  • 4983, 4984 Falha na negociação
Sistema
{69979848-797A-11D9-BED3-505054503030}
 IPsec Driver
{0CCE9213-69AE-11D9-BED3-505054503030}
 Pacotes descartados pelo driver IPsec:
  • 4963 Pacote de texto não criptografado de entrada descartado

Por padrão, a auditoria para WFP está desabilitada.

A auditoria pode ser habilitada por categoria por meio do snap-in MMC do Editor de Objeto de Diretiva de Grupo, do snap-in MMC da Diretiva de Segurança Local ou do comando auditpol.exe.

Por exemplo, para habilitar a auditoria de eventos de Alteração de Política, você pode:

  • Usar o Editor de Objeto de Diretiva de Grupo

    1. Execute gpedit.msc.
    2. Expanda Diretiva do computador local.
    3. Expanda Configuração do computador.
    4. Expanda Configurações do Windows.
    5. Expanda Configurações de segurança.
    6. Expanda Políticas Locais.
    7. Clique em Política de Auditoria.
    8. Clique duas vezes em Alterar a política de auditoria para iniciar a caixa de diálogo Propriedades.
    9. Marque as caixas de seleção Sucesso e Fracasso.

  • Usar a Política de Segurança Local

    1. Execute secpol.msc.
    2. Expanda Políticas Locais.
    3. Clique em Política de Auditoria.
    4. Clique duas vezes em Alterar a política de auditoria para iniciar a caixa de diálogo Propriedades.
    5. Marque as caixas de seleção Sucesso e Fracasso.

  • Use o comando auditpol.exe

    • auditpol /set /category:"Policy Change" /success:enable /failure:enable

A auditoria pode ser habilitada por subcategoria somente por meio do comando auditpol.exe.

Os nomes das categorias e subcategorias de auditoria estão localizados. Para evitar a localização para scripts de auditoria, os GUIDs correspondentes podem ser usados no lugar dos nomes.

Por exemplo, para habilitar a auditoria de eventos de Alteração de Política da Plataforma de Filtragem, você pode usar um dos seguintes comandos:

  • auditpol /set /subcategory:"Filtering Platform Policy Change" /success:enable /failure:enable
  • auditpol /set /subcategory:"{0CCE9233-69AE-11D9-BED3-505054503030}" /success:enable /failure:enable

Auditpol

do registo de eventos

de Diretiva de Grupo