Magic Quadrant™ para gerenciamento de acesso privilegiado 2025: Netwrix reconhecida pelo quarto ano consecutivo. Baixe o relatório.

Fale conoscoSuporteCommunity
English Español Italiano Français Deutsch Português
Plataforma
Soluções

Data Security Posture Management

Descubra e classifique dados em ambientes híbridos. Avalie, priorize e mitigue riscos aos dados sensíveis.

Directory Management

Simplifique e proteja a administração de diretórios reduzindo a complexidade, o risco e o esforço manual.

Endpoint Management

Proteja endpoints e previna a perda de dados enquanto mantém as equipes produtivas — não importa onde trabalhem.

Identity Management

Proteja cada identidade, simplifique cada processo e mantenha-se à frente da conformidade — sem adicionar complexidade.

Identity Threat Detection & Response

Mantenha-se à frente de ameaças baseadas em identidade — remediação proativa de riscos, bloqueio de ataques e garantia de recuperação rápida.

Privileged Access Management

Reduza sua superfície de ataque eliminando privilégios permanentes, protegendo credenciais e monitorando sessões privilegiadas.
Produtos em destaque Ver todos os produtos
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

A plataforma Netwrix 1Secure™

Explore
Netwrix AI Ambientes que protegemos Integrações MSPs Riscos de segurança do Active Directory Conformidade Preços
Resource Center Ver Todos
BlogAttack CatalogConformidadeHistórias de ClientesFrameworks de CibersegurançaGlossário de CibersegurançaEventsFreewareGuiasIdeas PortalNotíciasPodcastsPublicaçõesAnúncios de ProdutosPesquisaWebinars
Asset not found

História em Destaque de Cliente

A DXC Technology possibilita que clientes alcancem a conformidade com PCI DSS e se concentrem em iniciativas estratégicas
Parceiros
Programa de ParceirosTorne-se um ParceiroMSPsLocalizador de parceirosWebinars
Asset not found

História em Destaque de Cliente

AppRiver aprimora o controle sobre o Active Directory enquanto reduz significativamente o tempo de auditoria
Asset not found

História em Destaque de Cliente

MSP Ajuda Cliente a Recuperar de Ransomware em 6 Horas
Por que a Netwrix
Sobre NósLiderançaNetwrix AIHistórias de clientesReconhecimentoNoticiasCarreiras
Asset not found

História em Destaque de Cliente

Horizon Leisure Centres acelera a classificação de dados para cumprir o RGPD e economiza £80.000 por ano
Asset not found

História em Destaque de Cliente

Samsung R&D Institute garante a segurança dos dados com uso multiplataforma e implantação rápida no macOS usando Netwrix Endpoint Protector
Centro de recursosGuia
Melhores práticas de Política de Auditoria do Windows

Melhores práticas de Política de Auditoria do Windows

Como implementar política de auditoria

Existem dois métodos para configurar sua política de auditoria:

  • A política básica de auditoria de segurança no Windows (também conhecida como configurações de segurança local do Windows) permite que você configure a auditoria por tipo de evento. As políticas básicas podem ser encontradas em Configuração do Computador -> Configurações do Windows -> Configurações de Segurança -> Políticas Locais -> Política de Auditoria.
  • Política avançada de auditoria de segurança aborda os mesmos problemas que as políticas básicas de auditoria, mas permitem configurar a auditoria de forma granular dentro de cada categoria de evento. Essas configurações são encontradas em Configuração do Computador -> Políticas -> Configurações de Segurança do Windows -> Configuração da Política de Auditoria Avançada -> Políticas de Auditoria do Sistema. Elas parecem se sobrepor (não substituir) às políticas básicas de auditoria de segurança.

A Microsoft aconselha as organizações a não usarem as configurações de política de auditoria básica e as configurações avançadas simultaneamente para a mesma categoria, porque quando a política de auditoria avançada está configurada, ela sempre substituirá as políticas de auditoria básicas, o que pode resultar em “resultados inesperados nos relatórios de auditoria”.

Você pode visualizar o log de Segurança com o Visualizador de Eventos.

Antes de alterar quaisquer configurações, você deve:

  • Determine quais tipos de eventos você deseja auditar a partir da lista abaixo e especifique as configurações para cada um. As configurações que você especificar constituem sua política de auditoria. Note que alguns tipos de eventos são auditados por padrão.
  • Decida como você irá coletar, armazenar e analisar os dados. Há pouco valor em acumular grandes volumes de dados de auditoria se não houver um plano subjacente para gerenciar e utilizá-los.
  • Especifique o tamanho máximo e outros atributos do log de Segurança usando as configurações de política de Registro de Eventos. Uma consideração importante é a quantidade de espaço de armazenamento que você pode alocar para armazenar os dados coletados pela auditoria. Dependendo da configuração escolhida, os dados de auditoria podem rapidamente ocupar o espaço disponível em disco.
  • Lembre-se de que as configurações de auditoria podem afetar o desempenho do computador. Portanto, você deve realizar testes de desempenho antes de implementar novas configurações de auditoria no seu ambiente de produção.
  • Se você deseja auditar o acesso ao serviço de diretório ou o acesso a objetos, configure as configurações de política de Audit directory service access e Audit object access.

Tipos de eventos que você pode auditar

Aqui estão as categorias básicas de política de auditoria de segurança:

  • Audite eventos de logon de contas. A auditoria de logon de usuários é a única maneira de detectar todas as tentativas não autorizadas de entrar em um domínio. É vital auditar eventos de logon — tanto bem-sucedidos quanto fracassados — para detectar tentativas de intrusão. Eventos de logoff não são rastreados em controladores de domínio.
  • Auditoria de gerenciamento de contas. Monitorar cuidadosamente todas as alterações nas contas de usuário ajuda a minimizar o risco de interrupção dos negócios e indisponibilidade do sistema.
  • Audite o acesso ao serviço de diretório. Monitore isso apenas quando precisar ver quando alguém acessa um objeto AD que possui sua própria lista de controle de acesso do sistema (por exemplo, uma OU).
  • Audite eventos de logon. Ver tentativas bem-sucedidas e falhas de logon ou logoff em um computador local é útil para detecção de intrusos e análise forense pós-incidente.
  • Auditar acesso a objetos. Audite isso apenas quando precisar ver quando alguém usou privilégios para acessar, copiar, distribuir, modificar ou excluir arquivos em servidores de arquivos.
  • Alteração da política de auditoria. Mudanças impróprias em um GPO podem prejudicar grandemente a segurança do seu ambiente. Monitore todas as modificações de GPO para reduzir o risco de exposição de dados.
  • Audite o uso de privilégios.Ative esta política quando quiser rastrear cada instância de uso de privilégios dos usuários. É recomendável configurar essa função de forma granular no Uso de Privilégios Sensíveis das políticas de auditoria avançadas.
  • Rastreamento do processo de auditoria. Auditar eventos relacionados a processos, como criação de processos, término de processos, duplicação de identificadores e acesso indireto a objetos, pode ser útil para investigações de incidentes.
  • Auditar eventos do sistema. Configurar a política de auditoria do sistema para registrar inicializações, desligamentos e reinicializações do computador, e tentativas de um processo ou programa fazer algo que não tem permissão, é valioso porque todos esses eventos são muito significativos. Por exemplo, se um software malicioso tentar alterar uma configuração no seu computador sem a sua permissão, a auditoria de eventos do sistema registraria essa ação.

Configurações Recomendadas de Auditoria do Windows

As seguintes configurações de política de auditoria de segurança avançada são recomendadas:

Logon de Conta

  • Auditoria de Validação de Credenciais: Sucesso e Falha

Gestão de Contas

  • Auditoria de Gerenciamento de Contas de Computador: Sucesso e Falha
  • Auditar outros eventos de gerenciamento de contas: Sucesso e Falha
  • Auditoria de Gerenciamento de Grupo de Segurança: Sucesso e Falha
  • Auditoria de Gerenciamento de Contas de Usuário: Sucesso e Falha

Acesso DS (Directory Service Access)

  • Auditoria de Acesso ao DirectoryService: Sucesso e Falha no DC
  • Auditar alterações no Serviço de Diretório: Sucesso e Falha no DC

Logon/Logoff

  • Auditoria de Bloqueio de Conta: Sucesso
  • Auditoria de Logoff: Sucesso
  • Auditoria de Logon: Sucesso e Falha
  • Auditoria de Logon Especial: Sucesso e Falha

Acesso a Objetos

  • Ative essas configurações apenas se você tiver um uso específico para os dados que serão registrados, pois eles podem causar um grande volume de entradas a serem geradas nos seus logs de Segurança.

Mudança de Política

  • Auditar Mudança de Política de Auditoria: Sucesso e Falha
  • Auditar Política de Autenticação de Mudança: Sucesso e Falha

Uso de Privilegios

  • Ative essas configurações apenas se você tiver um uso específico para os dados que serão registrados, pois eles podem gerar um grande volume de entradas nos seus logs de Segurança.

Rastreamento de Processo

  • Processo de Auditoria: Sucesso
    Habilite essas configurações apenas se você tiver um uso específico para as informações que serão registradas, pois elas podem causar um grande volume de entradas a serem geradas nos seus logs de Segurança.

Sistema

  • Auditar Mudança de Estado de Segurança: Sucesso e Falha
  • Auditar Outros Eventos do Sistema: Sucesso e Falha
  • Auditoria da Integridade do Sistema: Sucesso e Falha

O que é política de auditoria no Windows?


A política de auditoria do Windows define quais tipos de eventos são registrados nos logs de Segurança dos seus servidores Windows. Estabelecer uma política de auditoria eficaz ajuda você a identificar possíveis problemas de segurança, garantir a responsabilidade dos usuários e fornecer provas em caso de violação de segurança.

As configurações de política de auditoria recomendadas fornecidas aqui destinam-se como uma linha de base para administradores de sistema que começam a definir políticas de auditoria de AD. Você deve ter certeza de considerar os riscos de cibersegurança e os requisitos de conformidade da sua organização. Além disso, teste e refine suas políticas antes de implementá-las no seu ambiente de produção.

Compartilhar em

Recursos Relacionados

Aprofunde-se com nossos recursos relacionados

Resource Center
eBook

Facilitando a Prevenção de Perda de Dados com as Soluções Netwrix

Prevenção de Perda de Dados
eBook

Instalando Software no Windows: Doloroso, mas não precisa ser

Endpoint Management