Auditoria en Windows Server

2008 R2Carlos iberico

Introducción a auditoria

Objetivo:Es recomendable utilizarla, ella nos puede ayudar

a diagnosticar los problemas y determinar la causa, y por supuesto con la protección de nuestros servidores y nuestra red.

Obviamente el abuso de este tipo de herramientas no es recomendable y puede ser contraproducente, ya que estaríamos teniendo gran cantidad de eventos con información que si no la utilizamos no sirve de nada, y encontrar los eventos que necesitemos será muy difícil y llevara mucho tiempo.

Auditoria

Una auditoria hace un registro del seguimiento de los sucesos correctos y erróneos dentro de un dominio. Por ejemplo la modificación de un archivo o una directiva. Todo esto se registra en un registro de auditoria. Esta muestra la acción que se ha llevado a cabo, la cuenta del usuario la cual ha hecho el suceso y demás datos como la fecha y la hora en que se llevó a cabo el suceso.

La auditoría también identifica el uso no autorizado de recursos dentro de una red y por eso es importante dentro de un esquema de seguridad.

Descripción :

Tipos de auditoria

Here comes your footer Page 5

Auditoría Interna

Es aquella que se hace con el personal de una misma empresa. Es decir no vienen personas de otra entidad para hacer el control.

Auditoría Externa

Como su nombre lo dice es aquella en la cual la empresa contrata personal de afuera, de otras entidades para que se encarguen de su auditoría.

Directivas de auditoría

Categorias (Tipo) de Auditorias

Auditar sucesos de inicio de sesión de cuentaUSO: registrar el inicio y cierre de sesión de un

equipo diferente al servidor del dominio.NOTA: se registrar cada inicio de sesión de cada

usuario que pertenece al dominio.PREDETERMINADO: Auditar correctos (Success).

Auditar la administración de cuentasUSO: Registra si se crea-cambia-elimina un

usuario o grupo, se cambia el nombre de un usuario o se establece su contraseña o su estado cambia de activo a inactivo y viceversa.

NOTA: Permite el seguimiento de las personas que configuran usuarios.

PREDETERMINADO: Auditar Correctos (SUCCESS) en dominio.

Auditar el acceso del servicio de directorioUSO: Registra los sucesos sobre objetos de Active

Directory y su lista SACL:NOTA: Esta auditoria genera un gran numero de

entradas en los registros.PREDETERMINADO: Indefinido.

Auditar sucesos de inicio de sesiónUSO: Registra los sucesos de inicio y cierre de

sesión en cada instancia de un usuario.NOTA: Cada instancia se diferencia en

identificación en red u otros equipos.PREDETERMINADO: Correcto (Success).

Auditar el acceso a objetosUSO: Registra cuando un usuario accede a una

carpeta, archivos, clave de registros, impresora, etc.

NOTA: Considere si realmente se necesita auditar estos sucesos por el volumen de entradas que genera.

PREDETERMINADO: Sin auditoria

Auditar el cambio de directivasUSO: Registra los sucesos cuando hay cambios en

los derechos de usuario.NOTA: Ofrece información de utilidad para las

cuentas y para la investigación.PREDETERMINADO: Sin auditoria

Auditar el uso de privilegiosUSO: Registra los sucesos cuando se ejecutan un

derecho de usuario.NOTA: Genera grandes volúmenes de registros y

su clasificación en de alta dificultad.PREDETERMINADO: Sin auditoria

Auditar el seguimiento de procesosUSO: Registra los sucesos como activación de

programas, salida de procesos.NOTA: Configuración genera una gran cantidad de

registros, es por este motivo que generalmente no se activa.

PREDETERMINADO: Sin auditoria

Configuración de auditoria en Windows server 2008

Here comes your footer Page 15

Auditar el acceso a objetosEl valor de configuración Auditar el acceso a objetos determina si se debe auditar el suceso de un usuario que obtiene acceso a un objeto como, por ejemplo, un archivo, una carpeta, una clave de Registro, una impresora, etc., que tiene su propia lista de control de acceso al sistema especificada.

Auditar el seguimiento de procesos

El valor de configuración Auditar el seguimiento de procesos determina si se

debe auditar información de seguimiento detallada de sucesos como la activación de programas, la salida de procesos, la duplicación de identificadores y el acceso indirecto a objetos.

Auditar sucesos del sistema

El valor de configuración Auditar sucesos del sistema determina si se debe auditar el reinicio o cierre de un equipo realizado por un usuario o un suceso que afecte a la seguridad del sistema o al registro de seguridad.

PASO 1

Para la configuración de auditoria en Windows Server 2003 se tiene que dirigir en la opción Directiva de Seguridad de Dominio. Para lo cual ingresar en la Opción Usuarios y Equipos de Active Directory, luego en Domain Controllers, clic derecho propiedades, Directiva de grupo y Editar. Configuración de Seguridad - - Directivas Locales - Directiva de Auditoría

PASO 2

Configuración de Auditoria de acceso a Objeto

Esta configuración de seguridad determina si se debe auditar el suceso de un usuario que

obtiene acceso a un objeto (por ejemplo, un archivo, carpeta, clave del Registro, impresora,

etc.). La configuración es simple como se muestra en la imagen.

Configuración de Auditar sucesos de inicio de sesión de cuenta

Los inicios de sesión que utilizan una cuenta de dominio generan un suceso de inicio o cierre de sesión en la estación de trabajo o servidor, y generan un suceso de inicio de sesión de cuenta en el controlador de dominio.

PASO 3Ahora creamos un Usuario llamado Hugo Beltran para realizar las pruebas .

Luego en la unidad C:\ creamos una carpeta llamada Prueba, lo compartimos, le asignamos

permisos para que el usuario Hugo Beltran pueda acceder a esta carpeta y auditamos al

usuario. En la pestaña de Seguridad ir al botón Opciones Avanzadas. Luego ir a la pestaña

Auditoría y agregar al usuario.

PASO--4

Luego en el equipo cliente miembro del dominio, primero iniciamos sesión con el usuario HugoBeltran y en la primera instancia ingresamos contraseña errónea, para luego visualizarlo en el visor de eventos, luego ingresamos la contraseña correcta. Después accedemos a la carpeta compartida.

Como se puede apreciar en la imagen muestra todos los sucesos. Para un mejor orden seempleara el filtro en el suceso de Seguridad. En la ventana de propiedades de Seguridad setiene varias opciones, en la cual facilita la auditoria.