Por que a Política de Auditoria de Login Inunda o Log de Eventos de Segurança no Windows 11
🔍 WiseChecker

Por que a Política de Auditoria de Login Inunda o Log de Eventos de Segurança no Windows 11

Você abre o Visualizador de Eventos no Windows 11 e encontra o log de Segurança repleto de milhares de eventos de login a cada hora. Essa inundação torna quase impossível encontrar uma falha de login específica ou entrada suspeita. A causa é uma política de auditoria de login muito ampla que registra toda tentativa de autenticação, incluindo logins de serviços em segundo plano e conexões de rede. Este artigo explica quais subcategorias de auditoria causam a inundação, como identificar os eventos ruidosos e como restringir o escopo da auditoria sem perder visibilidade de segurança.

Principais Conclusões: Domando a Inundação de Auditoria de Login no Windows 11

  • ID do Evento 4624 (logon bem-sucedido) e 4625 (logon com falha): Esses dois IDs de evento geram a maior parte das entradas do log de Segurança quando a auditoria de login está configurada para registrar todos os logons.
  • Configurações de Segurança > Política de Auditoria Avançada > Logon/Logoff > Auditar Logon: A configuração padrão de política de grupo controla se eventos de sucesso e falha são registrados para logons interativos, de rede e de serviço.
  • Filtro personalizado do Visualizador de Eventos usando XPath 1.0: Você pode excluir tipos de logon ruidosos, como 5 (serviço) e 3 (rede), da sua visualização sem desabilitar completamente a política de auditoria.

ADVERTISEMENT

Por que o Log de Segurança Enche Tão Rápido

O log de Segurança no Windows 11 registra eventos de segurança auditados. Quando você habilita políticas de auditoria de login por meio da Política de Grupo ou da Política de Segurança Local, o Windows escreve um evento para cada tentativa de autenticação que corresponde à política. A política padrão em muitos ambientes corporativos, Auditar Logon para sucesso e falha, captura toda tentativa de logon, independentemente do tipo de logon.

O Windows 11 define vários tipos de logon. Os mais comuns são logon interativo tipo 2, logon de rede tipo 3, logon em lote tipo 4, logon de serviço tipo 5 e logon interativo remoto tipo 10. Eventos do tipo 5 ocorrem toda vez que um serviço do Windows é iniciado sob uma conta de domínio ou uma conta de serviço local. Em um PC empresarial típico com 30 a 50 serviços, cada reinicialização de serviço gera um ID de Evento 4624 separado. Um único dia pode produzir milhares desses eventos.

Eventos de logon de rede tipo 3 vêm de compartilhamentos de arquivos, conexões de impressora e unidades mapeadas. Se um usuário tem várias unidades mapeadas que reconectam no login, cada unidade aciona um evento de logon separado. Combinados com logons de serviço, esses dois tipos representam 80 a 90 por cento de todas as entradas do log de Segurança em uma estação de trabalho movimentada.

Como as Configurações de Política de Auditoria Funcionam

O Windows 11 usa duas categorias de política de auditoria: configurações básicas de segurança em Configurações de Segurança > Políticas Locais > Política de Auditoria, e política de auditoria avançada em Configurações de Segurança > Configuração de Política de Auditoria Avançada. A política básica é mais simples, mas menos precisa. A política avançada oferece subcategorias como Auditar Logon, Auditar Logon de Conta e Auditar Outros Eventos de Logon/Logoff. Cada subcategoria pode ser configurada para registrar apenas sucesso, apenas falha, ambos ou nenhum.

A política avançada padrão para Auditar Logon registra tanto sucesso quanto falha para todos os tipos de logon. Essa configuração cria a inundação. Para reduzir o volume, você deve desabilitar o registro para tipos de logon específicos ou mudar para registrar apenas falhas.

Passos para Reduzir a Inundação de Auditoria de Login

Você tem dois métodos para reduzir o volume de eventos. O primeiro método altera a política de auditoria para registrar apenas falhas. O segundo método mantém o registro de sucesso, mas usa um filtro do Visualizador de Eventos para ocultar tipos de logon ruidosos. Cada método tem suas vantagens e desvantagens.

Método 1: Alterar a Política de Auditoria para Registrar Apenas Falhas

  1. Abra a Política de Segurança Local
    Pressione Win + R, digite secpol.msc e pressione Enter. Se o Controle de Conta de Usuário solicitar, selecione Sim.
  2. Navegue até a política de auditoria avançada
    No painel esquerdo, expanda Configurações de Segurança, expanda Configuração de Política de Auditoria Avançada e selecione Políticas de Auditoria do Sistema – Objeto de Política de Grupo Local.
  3. Abra a categoria Logon/Logoff
    Clique duas vezes em Auditar Logon no painel direito. Isso abre a caixa de diálogo de propriedades de Auditar Logon.
  4. Defina a política para registrar apenas falhas
    Desmarque a caixa Configurar os seguintes eventos de auditoria se estiver marcada. Em Eventos de Auditoria de Logon, marque a caixa Falha e desmarque a caixa Sucesso. Clique em OK.
  5. Aplique a alteração
    Feche a janela da Política de Segurança Local. A alteração entra em vigor imediatamente. Novos eventos de login aparecerão no log de Segurança apenas quando uma tentativa de logon falhar.

Este método interrompe todos os eventos de logon bem-sucedidos. Você não verá mais o ID do Evento 4624 para logons interativos, de rede ou de serviço. Você ainda verá o ID do Evento 4625 para tentativas de logon com falha. Esta é a maneira mais eficaz de parar a inundação, mas também remove a visibilidade de logins bem-sucedidos de usuários desconhecidos ou horários inesperados.

Método 2: Filtrar o Log de Segurança Sem Alterar a Política

Se você precisa manter o registro de sucesso por razões de segurança, pode criar um filtro personalizado no Visualizador de Eventos que exclui tipos de logon ruidosos. O filtro não reduz o número de eventos gravados no log, mas ajuda a focar nos eventos relevantes.

  1. Abra o Visualizador de Eventos
    Pressione Win + R, digite eventvwr.msc e pressione Enter.
  2. Selecione o log de Segurança
    No painel esquerdo, expanda Logs do Windows e clique em Segurança.
  3. Crie um filtro personalizado
    No painel direito, clique em Filtrar Log Atual. Na guia Filtro, mude para a guia XML e marque Editar consulta manualmente. Clique em Sim para confirmar.
  4. Cole o filtro XML
    Substitua o XML existente pelo código a seguir, que exclui logons de serviço tipo 5 e logons de rede tipo 3:
    <QueryList>
    <Query Id="0" Path="Security">
    <Select Path="Security">[System[(EventID=4624 or EventID=4625)]] and [EventData[Data[@Name='LogonType'] != '5' and Data[@Name='LogonType'] != '3']]</Select>
    </Query>
    </QueryList>
  5. Aplique o filtro
    Clique em OK. O Visualizador de Eventos agora mostra apenas eventos de login com tipos de logon diferentes de 3 e 5. Você pode ajustar o filtro para incluir outros tipos de logon adicionando ou removendo condições.

Este método mantém a política de auditoria original intacta. Todos os eventos ainda são gravados no log, então o tamanho do arquivo de log pode crescer rapidamente. Para evitar que o log encha o disco, aumente o tamanho máximo do log no Visualizador de Eventos. Clique com o botão direito em Segurança em Logs do Windows, selecione Propriedades e defina o tamanho máximo do log para um valor maior, como 20 MB a 100 MB, dependendo do espaço em disco disponível.

ADVERTISEMENT

Problemas Comuns Após Alterar a Política de Auditoria

Requisitos de Conformidade de Segurança Ainda Exigem Registro de Sucesso

Algumas organizações exigem o registro de sucesso para todos os eventos de login para atender a padrões de conformidade como PCI DSS ou HIPAA. Se você não pode desabilitar o registro de sucesso, use o método de filtro do Visualizador de Eventos. Você também pode criar uma tarefa agendada que exporta eventos filtrados para um arquivo de log separado para análise, mantendo o log completo para conformidade.

Log de Eventos Atinge o Tamanho Máximo e Para de Gravar

Quando o log de Segurança atinge seu tamanho máximo, o Windows para de gravar novos eventos. O tamanho máximo padrão é 20 MB. Em um sistema com auditoria de login intensa, isso enche em horas. Aumente o tamanho do log para um valor que corresponda à sua política de retenção, como 100 MB ou 200 MB. Configure também o log para sobrescrever eventos conforme necessário, em vez de arquivar, a menos que sua política de conformidade exija arquivamento.

Ferramentas de Segurança de Terceiros Dependem de Eventos de Sucesso

Ferramentas de gerenciamento de eventos e informações de segurança (SIEM) frequentemente ingerem o ID do Evento 4624 para construir linhas de base de atividade do usuário. Se você desabilitar o registro de sucesso, o SIEM pode parar de detectar padrões de logon anômalos. Nesse caso, use o método de filtro do Visualizador de Eventos para reduzir o ruído em sua visualização local, mas continue enviando todos os eventos para o SIEM. Configure o SIEM para filtrar os tipos de logon 3 e 5 no lado do servidor.

Comparação de Políticas de Auditoria: Básica vs Avançada vs Desabilitada

Item Política de Auditoria Básica Política de Auditoria Avançada Nenhuma Política de Auditoria
Local de configuração Configurações de Segurança > Políticas Locais > Política de Auditoria Configurações de Segurança > Configuração de Política de Auditoria Avançada Não configurada
Granularidade Apenas eventos de logon Subcategorias de Logon, Logon de Conta e Outros Eventos de Logon/Logoff Nenhum
Volume de eventos padrão por dia 500 a 2.000 eventos 1.000 a 5.000 eventos 0 eventos
Capacidade de filtrar por tipo de logon Não Não (a política se aplica a todos os tipos de logon) N/A
Suporte a conformidade Parcial Completo Nenhum

A política de auditoria avançada oferece mais subcategorias, mas ainda não consegue excluir seletivamente os tipos de logon 3 e 5. Para obter registro seletivo, você deve usar uma ferramenta de terceiros ou um script do PowerShell que escuta eventos e grava apenas os desejados em um log personalizado. A política básica é mais simples, mas registra o mesmo volume de eventos que a política avançada quando configurada para registrar todos os eventos de logon.

Agora você pode identificar qual subcategoria de auditoria causa a inundação e escolher o método certo para reduzi-la. Se você precisa manter o registro de sucesso, aplique o filtro XML do Visualizador de Eventos para ocultar eventos de logon de serviço e rede. Se você pode desabilitar o registro de sucesso, altere a política de auditoria avançada para registrar apenas falhas. Para ambientes que exigem registro completo, aumente o tamanho máximo do log de Segurança para 100 MB ou mais e agende exportações regulares do log.

Uma dica avançada concreta: use o PowerShell para criar uma tarefa agendada que executa a cada hora e exporta apenas o ID do Evento 4624 com logon interativo tipo 2 para um arquivo evtx separado. Isso mantém o log de Segurança principal pequeno enquanto preserva registros de logon interativo para análise forense. Execute wevtutil epl Security C:\Logs\InteractiveLogons.evtx /q:"[System[(EventID=4624)]] and [EventData[Data[@Name='LogonType']='2']]" na ação da tarefa para conseguir isso.

ADVERTISEMENT