Compartilhar via


Auditoria de eventos de segurança

Aplicativos criados com o WCF (Windows Communication Foundation) podem registrar eventos de segurança (êxito, falha ou ambos) com o recurso de auditoria. Os eventos são gravados no log de eventos do sistema Windows e podem ser examinados usando o visualizador de eventos.

A auditoria fornece uma forma de um administrador detectar um ataque que já ocorreu ou que está em andamento. A auditoria ainda pode ajudar um desenvolvedor a depurar problemas relacionados à segurança. Por exemplo, se um erro na configuração da política de autorização ou verificação negar acidentalmente o acesso a um usuário autorizado, um desenvolvedor poderá descobrir e isolar rapidamente a causa desse erro examinando o log de eventos.

Para obter mais informações sobre a segurança do WCF, confira Visão Geral de Segurança. Para obter mais informações sobre programação do WCF, consulte Programação básica do WCF.

Nível e comportamento de auditoria

Existem dois níveis de auditorias de segurança:

  • Nível de autorização de serviço, no qual um chamador está autorizado.

  • Nível de mensagem, no qual o WCF verifica a validade da mensagem e autentica o chamador.

Você pode verificar os dois níveis de auditoria quanto a êxito ou a falha, o que é conhecido como comportamento de auditoria.

Local do log de auditoria

Depois de determinar um nível e um comportamento de auditoria, você (ou um administrador) pode especificar um local para o log de auditoria. As três opções incluem: Padrão, Aplicativo e Segurança. Quando você especifica o padrão, o log real depende de qual sistema você está usando e se o sistema dá suporte à gravação no log de segurança. Para obter mais informações, consulte a seção "Sistema operacional" mais adiante neste tópico.

Gravar no log de segurança requer o SeAuditPrivilege. Por padrão, somente contas do Sistema Local e do Serviço de Rede têm esse privilégio. O gerenciamento das funções de log de segurança read e delete requer o SeSecurityPrivilege. Por padrão, somente os administradores têm esse privilégio.

Por outro lado, os usuários autenticados podem ler e gravar no log do aplicativo. O Windows XP grava eventos de auditoria no log do aplicativo por padrão. O log também pode conter informações pessoais visíveis para todos os usuários autenticados.

Suprimir falhas de auditoria

Outra opção durante a auditoria é suprimir qualquer falha de auditoria. Por padrão, uma falha de auditoria não afeta um aplicativo. Se necessário, no entanto, você pode definir a opção como false, o que faz com que uma exceção seja lançada.

Auditoria de programação

Você pode especificar o comportamento de auditoria programaticamente ou por meio da configuração.

Classes de auditoria

A tabela a seguir descreve as classes e as propriedades usadas para programar o comportamento de auditoria.

Classe Descrição
ServiceSecurityAuditBehavior Habilita as opções de configuração para auditoria como um comportamento de serviço.
AuditLogLocation Enumeração para especificar em qual log gravar. Os valores possíveis são Padrão, Aplicativo e Segurança. Quando você seleciona padrão, o sistema operacional determina o local de log real. Consulte a seção "Escolha do log de eventos de segurança ou aplicativo" mais adiante neste tópico.
MessageAuthenticationAuditLevel Especifica quais tipos de eventos de autenticação de mensagem são auditados no nível da mensagem. As opções são None, Failure, Success e SuccessOrFailure.
ServiceAuthorizationAuditLevel Especifica quais tipos de eventos de autorização de serviço são auditados no nível do serviço. As opções são None, Failure, Success e SuccessOrFailure.
SuppressAuditFailure Especifica o que acontece com a solicitação do cliente quando a auditoria falha. Por exemplo, quando o serviço tenta gravar no log de segurança, mas não tem SeAuditPrivilege. O valor padrão de true indica que as falhas são ignoradas e a solicitação do cliente é processada normalmente.

Para obter um exemplo de como configurar um aplicativo para registrar eventos de auditoria em log, consulte Como auditar eventos de segurança.

Configuração

Você também pode usar a configuração para especificar o comportamento de auditoria adicionando um <serviceSecurityAudit> em <behaviors>. Você deve adicionar o elemento a um <comportamento>, conforme mostrado no código a seguir.

<configuration>  
  <system.serviceModel>  
    <behaviors>  
      <behavior>  
        <!-- auditLogLocation="Application" or "Security" -->  
        <serviceSecurityAudit  
                  auditLogLocation="Application"  
                  suppressAuditFailure="true"  
                  serviceAuthorizationAuditLevel="Failure"  
                  messageAuthenticationAuditLevel="SuccessOrFailure" />
      </behavior>  
    </behaviors>  
  </system.serviceModel>  
</configuration>  

Se a auditoria estiver habilitada e um auditLogLocation não for especificado, o nome do log padrão será "Segurança" para a plataforma que dá suporte à gravação no log de segurança; caso contrário, será o log "Aplicativo". Somente os sistemas operacionais Windows Server 2003 e Windows Vista dão suporte à gravação no log de segurança. Para obter mais informações, consulte a seção "Sistema operacional" mais adiante neste tópico.

Considerações de segurança

Se um usuário mal-intencionado souber que a auditoria está habilitada, esse invasor poderá enviar mensagens inválidas que fazem com que as entradas de auditoria sejam gravadas. Se o log de auditoria for preenchido dessa maneira, o sistema de auditoria falhará. Para atenuar isso, defina a propriedade SuppressAuditFailure como true e use as propriedades do visualizador de eventos para controlar o comportamento de auditoria.

Eventos de auditoria gravados no Log de Aplicativos no Windows XP são visíveis para qualquer usuário autenticado.

Escolher entre logs de eventos de Segurança e Aplicativo

As tabelas a seguir fornecem informações para ajudá-lo a escolher se deseja fazer logon no log de evento de Aplicativo ou de Segurança.

Sistema operacional

Sistema Log do aplicativo Log de segurança
Windows XP SP2 ou posterior Com suporte Sem suporte
Windows Server 2003 SP1 e Windows Vista Com suporte O contexto do thread deve possuir SeAuditPrivilege

Outros fatores

Além do sistema operacional, a tabela a seguir descreve outras configurações que controlam a habilitação do registro em log.

Fator Log do aplicativo Log de segurança
Gerenciamento da política de auditoria Não aplicável. Junto com a configuração, o log de Segurança também é controlado pela política de LSA (autoridade de segurança local). A categoria "Acesso ao objeto de auditoria" também deve ser habilitada.
Experiência do usuário padrão Todos os usuários autenticados podem gravar no log de Aplicativo e, portanto, nenhuma etapa de permissão adicional é necessária para processos de aplicativos. O processo de aplicativos (contexto) deve ter SeAuditPrivilege.

Confira também