A principal diferença entre eventos de logon de conta e logoff de logon no log de segurança do Windows

Uma área do log de auditoria que costuma ser confusa é a diferença entre duas categorias no log de segurança do Windows: eventos de logon de conta e eventos de logon/logoff. Estas duas categorias estão relacionadas, mas são distintas, e a semelhança na convenção de nomenclatura contribui para a confusão. Dito isto, qual é a diferença entre autenticação e logon? No Windows, ao acessar o computador à sua frente ou qualquer outro computador Windows na rede, você deve primeiro autenticar e obter uma sessão de logon para esse computador. Uma sessão de logon tem começo e fim. Um evento de logon de conta é simplesmente um evento de autenticação e é um evento pontual. Os eventos de autenticação são duplicados dos eventos de logon? Não: o motivo é porque a autenticação pode ocorrer em um computador diferente daquele em que você está fazendo login.

Logins em estações de trabalho

Vamos começar com o caso mais simples. Você está fazendo login no console (também conhecido como “logon interativo”) de uma estação de trabalho independente (o que significa que ela não é membro de nenhum domínio). O único tipo de conta com a qual você pode fazer logon neste caso é uma conta de usuário local definida em Usuários e grupos locais de gerenciamento de computadores. Você não ouve mais o termo, mas contas locais e contas SAM são a mesma coisa. Nesse caso, tanto a autenticação quanto o logon ocorrem no mesmo computador porque você efetuou logon no computador local usando uma conta local. Portanto, você verá um evento de logon de conta (680/4776) e um evento de logon/logoff (528/4624) em seu log de segurança.

Se a estação de trabalho for membro de um domínio, neste momento será possível autenticar neste computador usando uma conta local ou de domínio, ou uma conta de domínio de qualquer domínio em que este domínio confie. Quando o usuário faz logon com uma conta de domínio, como o usuário especifica uma conta de domínio, a estação de trabalho local não pode realizar a autenticação porque a conta e seu hash de senha não são armazenados localmente. Portanto, a estação de trabalho deve solicitar autenticação de um controlador de domínio via Kerberos. Um evento de autenticação (672/4768) é registrado em qualquer controlador de domínio que lide com a solicitação de autenticação da estação de trabalho. Depois que o controlador de domínio informa à estação de trabalho que o usuário está autenticado, a estação de trabalho prossegue com a criação da sessão de logon e registra um evento de logon (528/4624) em seu log de segurança.

E se fizermos logon na estação de trabalho com uma conta de um domínio confiável? Nesse caso, um dos controladores de domínio no domínio confiável tratará da autenticação e registrará 672/4768 lá, com a estação de trabalho registrando 528/4624 da mesma forma que acima.

Em todos esses “logons interativos”, durante o logoff, a estação de trabalho registrará um evento de “logoff iniciado” (551/4647) seguido pelo evento de logoff real (538/4634). Você pode correlacionar eventos de logon e logoff por ID de logon, que é um código hexadecimal que identifica aquela sessão de logon específica.

Acessando Servidores Membros

Depois de fazer logon em uma estação de trabalho, normalmente você poderá reconectar-se a pastas compartilhadas em um servidor de arquivos. O que é registrado neste caso? Lembre-se, sempre que você acessar um computador Windows você deverá obter uma sessão de logon - neste caso, uma sessão de “logon de rede”. Você pode presumir que a sessão de logon começa quando você se conecta ao compartilhamento e termina quando você se desconecta dele - geralmente ao fazer logoff da estação de trabalho local. Infelizmente, esse não é o caso: os servidores Windows apenas mantêm as sessões de logon na rede ativas enquanto você tiver um arquivo aberto no servidor. Isso contabiliza eventos repetidos de logon/logoff em servidores de arquivos do Windows pelo mesmo usuário ao longo do dia. Com logons de rede, o Windows 2003 registra 540 em vez de 528, enquanto o Windows 2008 registra 4.624 para todos os tipos de logons.

Quando você faz logon no console do servidor, os eventos registrados são os mesmos dos logons interativos na estação de trabalho, conforme descrito acima. Porém, com mais frequência, você faz logon em um servidor membro por meio da Área de Trabalho Remota. Neste caso, o mesmo evento 528/4624 é registrado, mas o tipo de logon indica um logon “remoto interativo” (também conhecido como Área de Trabalho Remota). Explicarei os tipos de logon a seguir.

Ao observar os eventos de logon, precisamos considerar com que tipo de logon estamos lidando: é um logon interativo no console do servidor, indicando que o usuário estava fisicamente presente, ou é um logon de área de trabalho remota? Nesse caso, o logon pode estar associado ao início de um serviço ou ao início de uma tarefa agendada. Em todos esses casos, você precisará verificar o tipo de logon especificado no evento de logon 528/540/4624. Uma lista completa de tipos de logon é fornecida nos links fornecidos para esses eventos, mas resumidamente:

Logon Type

Descrição

2

Interativo (logon no teclado e tela do sistema)

3

Rede (ou seja, conexão a uma pasta compartilhada neste computador de outro local da rede)

4

Lote (ou seja, tarefa agendada)

5

Serviço (inicialização do serviço)

10

RemoteInteractive (Serviços de Terminal, Área de Trabalho Remota ou Assistência Remota)

Eventos no controlador de domínio

Ao fazer login em sua estação de trabalho ou acessar uma pasta compartilhada em um servidor de arquivos, você não está “efetuando login no domínio”. Cada computador Windows é responsável por manter seu próprio conjunto de sessões de logon ativas e não há nenhuma entidade central ciente de todos que estão conectados em algum lugar do domínio. Depois de atender a uma solicitação de autenticação, o controlador de domínio não mantém informações sobre como você estava registrando (console, área de trabalho remota, rede, etc.) ou quando você fez logoff.

Em controladores de domínio, você geralmente vê um ou mais pares de logon/logoff imediatamente após eventos de autenticação para o mesmo usuário. Mas esses eventos de logon/logoff são gerados pelo cliente de política de grupo no computador local, recuperando os objetos de política de grupo aplicáveis do controlador de domínio para que a política possa ser aplicada a esse usuário. Em seguida, aproximadamente a cada 90 minutos, o Windows atualiza a política de grupo e você vê novamente um logon e um logoff de rede no controlador de domínio. Esses eventos de logon/logoff na rede são pouco mais que ruído. Em situações forenses, eles fornecem uma estimativa de quanto tempo o usuário esteve conectado (enquanto o usuário permanecer conectado, a política de grupo será atualizada a cada 90 minutos) e podem ajudar a inferir que os eventos de autenticação anteriores para o mesmo usuário foram em conjunto com um logon de área de trabalho interativa ou remota, em oposição a um logon de serviço ou tarefa agendada.

E quanto aos outros eventos relacionados ao tíquete de serviço vistos no controlador de domínio? Basicamente, após sua autenticação inicial no controlador de domínio que registra o log 672/4768, você também obtém um tíquete de serviço (673, 4769) para cada computador em que faz logon, incluindo sua estação de trabalho, o próprio controlador de domínio para fins de política de grupo e qualquer membro servidores, como em conexão com o acesso a pastas compartilhadas. Então, à medida que os computadores permanecem funcionando e os usuários permanecem conectados, os tickets expiram e precisam ser renovados, o que gera mais eventos de logon de conta no controlador de domínio.

Os fatos: bons, ruins e feios

As categorias Logon da conta e Logon/Logoff fornecem informações necessárias e não são fungíveis: ambas são distintas e necessárias. Aqui estão alguns fatos importantes para entender e aceitar sobre autenticação e eventos de logon/logoff.

1. Para determinar definitivamente como um usuário efetuou logon, encontre o evento de logon no computador onde a conta efetuou logon. Você só pode fazer algumas inferências tênues sobre o tipo de logon observando o controlador de domínio e isso requer a análise de vários eventos.
2. Para determinar quando um usuário efetuou logoff, você deve ir até a estação de trabalho e encontrar o evento “logoff iniciado pelo usuário” (551/4647).
3. Para correlacionar eventos de autenticação em um controlador de domínio com os eventos de logon correspondentes em uma estação de trabalho ou servidor membro, não há código de correlação “hard” compartilhado entre os eventos. O pessoal da Microsoft sugeriu que o campo Logon GUID nesses eventos forneceria isso, mas minhas pesquisas e experimentos indicam que, infelizmente, os GUIDs não são fornecidos ou não correspondem. Então, para fazer essa correlação, você basicamente precisa calcular com base no tempo, nos nomes dos computadores e nos nomes das contas de usuários.
4. Os eventos de logon de conta em controladores de domínio são ótimos porque permitem que você veja todas as atividades de autenticação (bem-sucedidas ou com falha) para todas as contas de domínio. Lembre-se de que você precisa analisar os logs de segurança de todos os seus controladores de domínio - os logs de segurança não são replicados entre DCs.
5. Os eventos de logon de conta em estações de trabalho e servidores membros são ótimos porque permitem detectar facilmente o uso ou ataques contra contas locais nesses computadores. Você deve estar interessado nisso porque usar contas locais é uma má prática e os bandidos sabem que tendem a ser mais vulneráveis do que contas de domínio. Porém, você não precisa usar o logon da conta para detectar tentativas de logon em contas locais; você pode usar eventos de Logon/Logoff se souber o que está fazendo. Ao visualizar um evento de Logon/Logoff, compare o nome de domínio nos detalhes do evento com o nome do computador que gerou o evento; se eles corresponderem, você está procurando uma tentativa de logon de conta local - caso contrário, o campo do nome de domínio refletirá algum domínio. Então, você consegue sobreviver ativando apenas eventos de logon/logoff em servidores membros e estações de trabalho? Eu suponho que sim.
6. Os eventos de logon/logoff são uma grande fonte de ruído nos controladores de domínio porque cada computador e cada usuário devem atualizar frequentemente a política de grupo. Se você desabilitar esta categoria em controladores de domínio, o que perderá? Você perderá alguma visibilidade dos logons no próprio controlador de domínio, como quando um administrador faz logon no console, por meio da área de trabalho remota ou quando um serviço ou tarefa agendada é inicializado. Em todos os casos, os eventos de logon da conta ainda serão registrados, mas consulte os pontos 1 e 2 acima.
7. Eventos bem-sucedidos de logon e logoff na rede são pouco mais que “ruído” em controladores de domínio e servidores membros devido à quantidade de informações registradas e rastreadas. Infelizmente, você não pode simplesmente desativar eventos de logon/logoff de rede bem-sucedidos sem perder também outros eventos de logon/logoff para área de trabalho interativa, remota, etc. O ruído não pode ser configurado fora do registro de segurança do Windows; esse é o trabalho da sua solução de gerenciamento de log/SIEM.

Logon da conta (ou seja, autenticação) e eventos de logon/logoff. Considerando tudo isso, gostaria de ver ambas as categorias habilitadas em todos os computadores, de preferência. Não vi esses eventos criarem um impacto perceptível no servidor, mas a quantidade de dados de log pode exceder a capacidade atual da sua solução de gerenciamento de log/SIEM. Se você não puder coletar logs de estações de trabalho, ainda sugiro ativar essas 2 categorias em estações de trabalho e deixar o log agrupar automaticamente após atingir 100 MB ou mais. Provavelmente, os dados estarão lá se você precisar deles para fins forenses.