Auditoria en Windows Server
2008 R2Carlos iberico
Introducción a auditoria
Objetivo:Es recomendable utilizarla, ella nos puede ayudar
a diagnosticar los problemas y determinar la causa, y por supuesto con la protección de nuestros servidores y nuestra red.
Obviamente el abuso de este tipo de herramientas no es recomendable y puede ser contraproducente, ya que estaríamos teniendo gran cantidad de eventos con información que si no la utilizamos no sirve de nada, y encontrar los eventos que necesitemos será muy difícil y llevara mucho tiempo.
Auditoria
Una auditoria hace un registro del seguimiento de los sucesos correctos y erróneos dentro de un dominio. Por ejemplo la modificación de un archivo o una directiva. Todo esto se registra en un registro de auditoria. Esta muestra la acción que se ha llevado a cabo, la cuenta del usuario la cual ha hecho el suceso y demás datos como la fecha y la hora en que se llevó a cabo el suceso.
La auditoría también identifica el uso no autorizado de recursos dentro de una red y por eso es importante dentro de un esquema de seguridad.
Descripción :
Tipos de auditoria
Here comes your footer Page 5
Auditoría Interna
Es aquella que se hace con el personal de una misma empresa. Es decir no vienen personas de otra entidad para hacer el control.
Auditoría Externa
Como su nombre lo dice es aquella en la cual la empresa contrata personal de afuera, de otras entidades para que se encarguen de su auditoría.
Directivas de auditoría
Categorias (Tipo) de Auditorias
Auditar sucesos de inicio de sesión de cuentaUSO: registrar el inicio y cierre de sesión de un
equipo diferente al servidor del dominio.NOTA: se registrar cada inicio de sesión de cada
usuario que pertenece al dominio.PREDETERMINADO: Auditar correctos (Success).
Auditar la administración de cuentasUSO: Registra si se crea-cambia-elimina un
usuario o grupo, se cambia el nombre de un usuario o se establece su contraseña o su estado cambia de activo a inactivo y viceversa.
NOTA: Permite el seguimiento de las personas que configuran usuarios.
PREDETERMINADO: Auditar Correctos (SUCCESS) en dominio.
Auditar el acceso del servicio de directorioUSO: Registra los sucesos sobre objetos de Active
Directory y su lista SACL:NOTA: Esta auditoria genera un gran numero de
entradas en los registros.PREDETERMINADO: Indefinido.
Auditar sucesos de inicio de sesiónUSO: Registra los sucesos de inicio y cierre de
sesión en cada instancia de un usuario.NOTA: Cada instancia se diferencia en
identificación en red u otros equipos.PREDETERMINADO: Correcto (Success).
Auditar el acceso a objetosUSO: Registra cuando un usuario accede a una
carpeta, archivos, clave de registros, impresora, etc.
NOTA: Considere si realmente se necesita auditar estos sucesos por el volumen de entradas que genera.
PREDETERMINADO: Sin auditoria
Auditar el cambio de directivasUSO: Registra los sucesos cuando hay cambios en
los derechos de usuario.NOTA: Ofrece información de utilidad para las
cuentas y para la investigación.PREDETERMINADO: Sin auditoria
Auditar el uso de privilegiosUSO: Registra los sucesos cuando se ejecutan un
derecho de usuario.NOTA: Genera grandes volúmenes de registros y
su clasificación en de alta dificultad.PREDETERMINADO: Sin auditoria
Auditar el seguimiento de procesosUSO: Registra los sucesos como activación de
programas, salida de procesos.NOTA: Configuración genera una gran cantidad de
registros, es por este motivo que generalmente no se activa.
PREDETERMINADO: Sin auditoria
Configuración de auditoria en Windows server 2008
Here comes your footer Page 15
Auditar el acceso a objetosEl valor de configuración Auditar el acceso a objetos determina si se debe auditar el suceso de un usuario que obtiene acceso a un objeto como, por ejemplo, un archivo, una carpeta, una clave de Registro, una impresora, etc., que tiene su propia lista de control de acceso al sistema especificada.
Auditar el seguimiento de procesos
El valor de configuración Auditar el seguimiento de procesos determina si se
debe auditar información de seguimiento detallada de sucesos como la activación de programas, la salida de procesos, la duplicación de identificadores y el acceso indirecto a objetos.
Auditar sucesos del sistema
El valor de configuración Auditar sucesos del sistema determina si se debe auditar el reinicio o cierre de un equipo realizado por un usuario o un suceso que afecte a la seguridad del sistema o al registro de seguridad.
PASO 1
Para la configuración de auditoria en Windows Server 2003 se tiene que dirigir en la opción Directiva de Seguridad de Dominio. Para lo cual ingresar en la Opción Usuarios y Equipos de Active Directory, luego en Domain Controllers, clic derecho propiedades, Directiva de grupo y Editar. Configuración de Seguridad - - Directivas Locales - Directiva de Auditoría
PASO 2
Configuración de Auditoria de acceso a Objeto
Esta configuración de seguridad determina si se debe auditar el suceso de un usuario que
obtiene acceso a un objeto (por ejemplo, un archivo, carpeta, clave del Registro, impresora,
etc.). La configuración es simple como se muestra en la imagen.
Configuración de Auditar sucesos de inicio de sesión de cuenta
Los inicios de sesión que utilizan una cuenta de dominio generan un suceso de inicio o cierre de sesión en la estación de trabajo o servidor, y generan un suceso de inicio de sesión de cuenta en el controlador de dominio.
PASO 3Ahora creamos un Usuario llamado Hugo Beltran para realizar las pruebas .
Luego en la unidad C:\ creamos una carpeta llamada Prueba, lo compartimos, le asignamos
permisos para que el usuario Hugo Beltran pueda acceder a esta carpeta y auditamos al
usuario. En la pestaña de Seguridad ir al botón Opciones Avanzadas. Luego ir a la pestaña
Auditoría y agregar al usuario.
PASO--4
Luego en el equipo cliente miembro del dominio, primero iniciamos sesión con el usuario HugoBeltran y en la primera instancia ingresamos contraseña errónea, para luego visualizarlo en el visor de eventos, luego ingresamos la contraseña correcta. Después accedemos a la carpeta compartida.
Como se puede apreciar en la imagen muestra todos los sucesos. Para un mejor orden seempleara el filtro en el suceso de Seguridad. En la ventana de propiedades de Seguridad setiene varias opciones, en la cual facilita la auditoria.