Auditando compartilhamentos de arquivos com o log de segurança do Windows

Ao longo dos anos, os administradores de segurança me perguntaram repetidamente como auditar compartilhamentos de arquivos no Windows. Até o Windows Server 2008, não havia eventos específicos para compartilhamentos de arquivos. O melhor que pudemos fazer foi permitir a auditoria da chave de registro onde os compartilhamentos são definidos. Mas no Windows Server 2008 e versões posteriores, há duas novas subcategorias para eventos relacionados ao compartilhamento:

• Compartilhamento de arquivo
• Compartilhamento detalhado de arquivos

Eventos de compartilhamento de arquivos

Esta subcategoria permite rastrear a criação, modificação e exclusão de pastas compartilhadas (veja tabela abaixo). Você tem um ID de evento diferente para cada uma dessas três operações. Os eventos indicam quem fez a alteração nos campos Assunto e fornecem o nome que os usuários do compartilhamento veem ao navegar na rede e o patch para a pasta do sistema de arquivos disponibilizada pelo compartilhamento. Veja o exemplo do ID do evento 5142 abaixo.

Um objeto de compartilhamento de rede foi adicionado.

Assunto:
ID de segurança: W8R2wsmith
Nome da conta: wsmith
Domínio da conta: W8R2
ID de logon: 0x475b7

Informações do compartilhamento:
Nome do compartilhamento: \*AcmeAccounting
Caminho do compartilhamento: C:AcmeAccounting

A má notícia é que a subcategoria também produz o ID de evento 5140 sempre que um usuário se conecta a um compartilhamento. Os dados registrados, incluindo quem os acessou e o endereço IP do cliente são bons, mas o evento é registrado com muita frequência. Como o Windows não mantém as sessões de logon de rede ativas se nenhum arquivo for mantido aberto, você tenderá a ver esse evento com frequência se ativar a subcategoria de auditoria “Compartilhamento de arquivos”. Não há como configurar o Windows para produzir apenas os eventos de alteração de compartilhamento e não esse evento de acesso também. Claro, esse é o objetivo de uma plataforma SIEM e de gerenciamento de log que está no coração do Netsurion Open XDR, que filtra o ruído.

5140

Um objeto de compartilhamento de rede foi acessado

5142

Um objeto de compartilhamento de rede foi adicionado.

5143

Um objeto de compartilhamento de rede foi modificado

5144

Um objeto de compartilhamento de rede foi excluído.

Eventos detalhados de compartilhamento de arquivos

O ID do evento 5140, conforme discutido acima, tem como objetivo documentar cada conexão a um compartilhamento de rede e, como tal, não registra os nomes dos arquivos acessados por meio dessa conexão de compartilhamento. A subcategoria de auditoria “Compartilhamento detalhado de arquivos” fornece esse nível inferior de informações com apenas um ID de evento - 5145 - que é mostrado abaixo.

Um objeto de compartilhamento de rede foi verificado para ver se o cliente pode receber o acesso desejado.

Assunto:
ID de segurança: SISTEMA
Nome da conta: WIN-KOSWZXC03L0$
Domínio da conta: W8R2
ID de logon: 0x86d584

Informações de rede:
Tipo de objeto: Arquivo
Endereço de origem: fe80::507a:5bf7:2a72:c046
Porta de origem: 55490

Informações de compartilhamento:
Nome do compartilhamento: \*SYSVOL
Caminho do compartilhamento: ??C:WindowsSYSVOLsysvol
Nome de destino relativo: w8r2.comPolicies{6AC1786C-016F-11D2-945F-00C04fB984F9}MachineMicrosoftWindows NTAuditaudit.csv

Informações de solicitação de acesso:
Máscara de acesso: 0x120089
Acessos: READ_CONTROL
SYNCHRONIZE
ReadData (ou ListDirectory)
ReadEA
ReadAttributes

Resultados da verificação de acesso:
READ_CONTROL: concedido por propriedade
SYNCHRONIZE: concedido por D:(A;;0x1200a9;;;WD)
ReadData (ou ListDirectory): concedido por D:(A;;0x1200a9; ;;WD)
ReadEA: concedido por D:(A;;0x1200a9;;;WD)
ReadAttributes: concedido por D:(A;;0x1200a9;;;WD)

Este evento identifica o usuário (campos Assunto), o endereço IP do usuário (Informações de rede), o compartilhamento e o arquivo real acessado por meio do compartilhamento (Informações de compartilhamento) e, em seguida, fornece as permissões solicitadas e os resultados da solicitação de acesso. Na verdade, esse evento registra a tentativa de acesso e permite ver versões de falha do evento, bem como eventos de sucesso.

Tenha cuidado ao ativar esta subcategoria de auditoria porque você receberá um evento para cada arquivo acessado por meio de compartilhamentos de rede sempre que o aplicativo abrir o arquivo. Isso pode ser mais frequente do que se imagina para alguns aplicativos como o Microsoft Office. Por outro lado, lembre-se de que esta categoria não detectará tentativas de acesso nos mesmos arquivos se um aplicativo em execução local acessar o arquivo por meio do patch local (por exemplo, c:docsfile.txt) em vez de por meio de um patch.

Você também pode considerar ativar a auditoria em pastas individuais que contêm arquivos críticos e usar a subcategoria Sistema de arquivos. Este método permite que você seja muito mais seletivo sobre quem, quais arquivos e quais tipos de acesso serão auditados.

Para a maioria das organizações, ative a subcategoria Compartilhamento de arquivos se for importante para você saber quando novas pastas são compartilhadas. Você provavelmente desejará filtrar as 5.140 ocorrências. Então, se você tiver necessidades de auditoria em nível de arquivo, ative a subcategoria Acesso a arquivos, identifique as pastas exatas que contêm os arquivos relevantes e ative a auditoria nessas pastas para as operações específicas (por exemplo, leitura, gravação, exclusão) necessárias para atender aos seus requisitos de auditoria. Não habilite a subcategoria de auditoria de compartilhamento detalhado de arquivos, a menos que você realmente queira eventos para cada acesso a cada arquivo por meio de compartilhamentos de rede.