El documento habla sobre la auditoría en sistemas informáticos. Explica que la auditoría registra eventos correctos y erróneos como modificaciones de archivos o políticas de seguridad, mostrando la acción, usuario y fecha. También identifica uso no autorizado de recursos. Luego describe tipos de auditoría interna y externa y diferentes categorías que se pueden auditar como inicio de sesión, administración de cuentas y acceso a objetos. Finalmente, detalla los pasos para configurar la auditoría en Windows Server 2008.
3. Objetivo:
Es recomendable utilizarla, ella nos puede ayudar a
diagnosticar los problemas y determinar la causa, y por
supuesto con la protección de nuestros servidores y nuestra
red.
Obviamente el abuso de este tipo de herramientas no es
recomendable y puede ser contraproducente, ya que
estaríamos teniendo gran cantidad de eventos con
información que si no la utilizamos no sirve de nada, y
encontrar los eventos que necesitemos será muy difícil y
llevara mucho tiempo.
4. Auditoria
Descripción :
Una auditoria hace un registro del seguimiento de los sucesos
correctos y erróneos dentro de un dominio. Por ejemplo la
modificación de un archivo o una directiva. Todo esto se registra en
un registro de auditoria. Esta muestra la acción que se ha llevado a
cabo, la cuenta del usuario la cual ha hecho el suceso y demás datos
como la fecha y la hora en que se llevó a cabo el suceso.
La auditoría también identifica el uso no autorizado de recursos
dentro de una red y por eso es importante dentro de un esquema de
seguridad.
5. Tipos de auditoria
Auditoría Interna
Es aquella que se hace con el personal de una misma
empresa. Es decir no vienen personas de otra entidad
para hacer el control.
Auditoría Externa
Como su nombre lo dice es aquella en la cual la
empresa contrata personal de afuera, de otras
entidades para que se encarguen de su auditoría.
Here comes your footer Page 5
7. Categorias (Tipo) de Auditorias
Auditar sucesos de inicio de sesión de cuenta
USO: registrar el inicio y cierre de sesión de un equipo
diferente al servidor del dominio.
NOTA: se registrar cada inicio de sesión de cada usuario que
pertenece al dominio.
PREDETERMINADO: Auditar correctos (Success).
8. Auditar la administración de cuentas
USO: Registra si se crea-cambia-elimina un usuario o grupo,
se cambia el nombre de un usuario o se establece su
contraseña o su estado cambia de activo a inactivo y viceversa.
NOTA: Permite el seguimiento de las personas que
configuran usuarios.
PREDETERMINADO: Auditar Correctos (SUCCESS) en
dominio.
9. Auditar el acceso del servicio de directorio
USO: Registra los sucesos sobre objetos de Active Directory y
su lista SACL:
NOTA: Esta auditoria genera un gran numero de entradas en
los registros.
PREDETERMINADO: Indefinido.
10. Auditar sucesos de inicio de sesión
USO: Registra los sucesos de inicio y cierre de sesión en cada
instancia de un usuario.
NOTA: Cada instancia se diferencia en identificación en red u
otros equipos.
PREDETERMINADO: Correcto (Success).
11. Auditar el acceso a objetos
USO: Registra cuando un usuario accede a una carpeta,
archivos, clave de registros, impresora, etc.
NOTA: Considere si realmente se necesita auditar estos
sucesos por el volumen de entradas que genera.
PREDETERMINADO: Sin auditoria
12. Auditar el cambio de directivas
USO: Registra los sucesos cuando hay cambios en los
derechos de usuario.
NOTA: Ofrece información de utilidad para las cuentas y para
la investigación.
PREDETERMINADO: Sin auditoria
13. Auditar el uso de privilegios
USO: Registra los sucesos cuando se ejecutan un derecho de
usuario.
NOTA: Genera grandes volúmenes de registros y su
clasificación en de alta dificultad.
PREDETERMINADO: Sin auditoria
14. Auditar el seguimiento de procesos
USO: Registra los sucesos como activación de programas,
salida de procesos.
NOTA: Configuración genera una gran cantidad de registros,
es por este motivo que generalmente no se activa.
PREDETERMINADO: Sin auditoria
16. Auditar el acceso a objetos
El valor de configuración Auditar el acceso a objetos determina si se debe
auditar el suceso de un usuario que obtiene acceso a un objeto como, por
ejemplo, un archivo, una carpeta, una clave de Registro, una impresora, etc.,
que tiene su propia lista de control de acceso al sistema especificada.
Auditar el seguimiento de procesos
El valor de configuración Auditar el seguimiento de procesos determina si se
debe auditar información de seguimiento detallada de sucesos como la
activación de programas, la salida de procesos, la duplicación de
identificadores y el acceso indirecto a objetos.
Auditar sucesos del sistema
El valor de configuración Auditar sucesos del sistema determina si se debe
auditar el reinicio o cierre de un equipo realizado por un usuario o un suceso
que afecte a la seguridad del sistema o al registro de seguridad.
17. PASO 1
Para la configuración de auditoria en Windows Server 2003 se tiene que dirigir
en la opción Directiva de Seguridad de Dominio. Para lo cual ingresar en la
Opción Usuarios y Equipos de Active Directory, luego en Domain
Controllers, clic derecho propiedades, Directiva de grupo y Editar.
Configuración de Seguridad
- - Directivas Locales - Directiva de Auditoría
18. PASO 2
Configuración de Auditoria de acceso a Objeto
Esta configuración de seguridad determina si se debe auditar el
suceso de un usuario que
obtiene acceso a un objeto (por ejemplo, un archivo, carpeta, clave
del Registro, impresora,
etc.). La configuración es simple como se muestra en la imagen.
19. Configuración de Auditar sucesos de inicio de
sesión de cuenta
Los inicios de sesión que utilizan una cuenta de
dominio generan un suceso de inicio o cierre de
sesión en la estación de trabajo o servidor, y generan
un suceso de inicio de sesión de cuenta en el
controlador de dominio.
20. PASO 3
Ahora creamos un Usuario llamado Hugo Beltran para
realizar las pruebas .
Luego en la unidad C: creamos una carpeta llamada
Prueba, lo compartimos, le asignamos
permisos para que el usuario Hugo Beltran pueda
acceder a esta carpeta y auditamos al
usuario. En la pestaña de Seguridad ir al botón
Opciones Avanzadas. Luego ir a la pestaña
Auditoría y agregar al usuario.
21.
22. PASO--4
Luego en el equipo cliente miembro del dominio, primero iniciamos sesión
con el usuario Hugo
Beltran y en la primera instancia ingresamos contraseña errónea, para luego
visualizarlo en el visor de eventos, luego ingresamos la contraseña correcta.
Después accedemos a la carpeta compartida.
23. Como se puede apreciar en la imagen muestra todos los sucesos. Para un
mejor orden se
empleara el filtro en el suceso de Seguridad. En la ventana de propiedades
de Seguridad se
tiene varias opciones, en la cual facilita la auditoria.