2. AUDITORIA EN WINDOWS SERVER
2008
• Es un análisis que hace un registro del
seguimiento de los sucesos correctos y
erróneos dentro de un dominio. Por ejemplo
la modificación de un archivo o una
directiva. Todo esto se registra en un registro
de auditoria
• Es recomendable utilizarla, ella nos puede
ayudar a diagnosticar los problemas y
determinar la causa, y por supuesto con la
protección de nuestros servidores y nuestra
red.
• En Windows Server 2008, es mas fácil la
tarea de revisar los logs y tomar las acciones
que creamos convenientes. Al instalar un
controlador de dominio las políticas de
auditoria por defecto están configuradas de
la siguiente manera:
3. AUDITORIA EN WINDOWS SERVER
2008
• Podemos ver en mayor
detalle las políticas con el
comando auditpol.exe de
Windows 7, Windows Server
2008, Windows Server 2008
R2, Windows Vista.
4. CATEGORIA Y SUBCATEGORIA DE
AUDITORIA
• Si ejecutamos el comando auditpol.exe /get /Category:* en
nuestro controlador de dominio veremos lo siguiente:
• Recordemos, que este comando nos muestra información y
realiza funciones para manipular las políticas de auditoría. La
directiva de auditoría de línea de comandos se puede utilizar
para:
• Asignación y búsqueda de una política de auditoría del
sistema.
• Asignación y búsqueda de una política de auditoría para cada
usuario.
• Asignación y búsqueda de las opciones de auditoria.
• Asignación y búsqueda del descriptor de seguridad utilizado
para delegar el acceso a una directiva de auditoría.
• Generar un informe o una copia de seguridad una política de
auditoría a un valor separados por comas (CSV) archivo de
texto.
• Cargar una directiva de auditoría de un archivo de texto CSV.
5. DIRECTIVAS DE AUDITORIA
Una directiva de auditoría especifica las categorías de eventos
relacionados con la seguridad que desea auditar. Cuando esta versión
de Windows se instala por primera vez, todas las categorías de
auditoría están deshabilitadas.
Al habilitar varias categorías de eventos de auditoría, puede
implementar una directiva de auditoría apropiada para las
necesidades de seguridad de su organización.
•
•
•
•
•
•
•
•
•
•
Las categorías de eventos que puede elegir para auditar son:
Auditar eventos de inicio de sesión de cuenta
Auditar la administración de cuentas
Auditar el acceso del servicio de directorio
Auditar eventos de inicio de sesión
Auditar el acceso a objetos
Auditar el cambio de directivas
Auditar el uso de privilegios
Auditar el seguimiento de procesos
Auditar eventos del sistema
6. CONFIGURACIÓN DE AUDITORIA
• Puede elegir un grupo o una cuenta de usuario y después la
operación de fax que auditará para cada grupo o usuario. Puede
seleccionar un atributo de error o éxito para cada operación de fax.
Los resultados aparecerán en el visor de eventos.
• Al definir la configuración de auditoría para categorías de eventos
específicas, puede crear una directiva de auditoría apropiada para las
necesidades de seguridad de su organización. En los servidores y
estaciones de trabajo miembro que se unen a un dominio, la
configuración de auditoría para las categorías de eventos no está
definida de manera predeterminada.
7. CONFIGURACIÓN DE AUDITORIA
• Para definir o modificar la
configuración de la directiva de
auditoría para una categoría de
eventos en el equipo local.
• Abra el complemento Directiva de
seguridad
local
y
seleccione Directivas locales.
• En el árbol de consola, haga clic
en Directiva de auditoría.
8. Auditar el acceso a objetos
• Esta configuración de seguridad
determina si debe auditarse el
evento de un usuario que obtiene
acceso a un objeto como:
archivo,carpeta,clave
de
registro,impresoras etc.
• Si define esta configuración de
directiva , puede especificar si
auditar los aciertos, los errores o
no auditar ningún tipo de evento.
9. Auditar el acceso del servicio de
directorio
• Esta configuración de seguridad
determina si debe auditarse el evento
de un usuario que obtiene acceso a un
objeto de Active Directory con su propia
lista de control de acceso del sistema
(SACL) especificada.
• De forma predeterminada, este valor se
establece en Sin auditoría en el objeto
de directiva de grupo (GPO) de
controlador de dominio predeterminado
y permanece sin definir en estaciones
de trabajo y servidores donde no tiene
ningún significado.
10. Auditar el cambio de directivas
• Esta configuración de seguridad
determina si debe auditarse cada
incidente de cambio en las
directivas de asignación de
derechos de usuario, directivas de
auditoría o directivas de confianza.
• Si define esta configuración de
directiva, puede especificar si
auditar los aciertos, los errores o
no auditar ningún tipo de evento.
11. Auditar el seguimiento de procesos
• Esta configuración de seguridad
determina si debe auditarse la
información
de
seguimiento
detallada para eventos como
activación de programas, salida de
procesos,
duplicación
de
identificadores y acceso a objetos
indirectos.
• Si define esta configuración de
directiva, puede especificar si
auditar los aciertos, los errores o
no auditar ningún tipo de evento.
12. Auditar el uso de privilegios
• Esta configuración de seguridad
determina si debe auditarse cada
instancia de un usuario que ejerce
un derecho de usuario.
• Si define esta configuración de
directiva, puede especificar si
auditar los aciertos, los errores o no
auditar ningún tipo de evento.
13. Auditar eventos de inicio de sesión
• Esta configuración de seguridad
determina si debe auditarse cada
instancia de inicio o cierre de sesión
de un usuario en un equipo.
• Los eventos de inicio de sesión de
cuenta se generan en controladores
de dominio para la actividad de
cuentas de dominio y en equipos
locales para la actividad de cuentas
locales
14. Auditar eventos de inicio de sesión de
cuenta
• Esta configuración de seguridad
determina si debe auditarse cada
instancia de inicio o cierre de sesión
de un usuario en un equipo en el
que este equipo se usa para validar
la cuenta.
• Los eventos de inicio de sesión de
cuenta se generan cuando la cuenta
de un usuario del dominio se
autentica en un controlador de
dominio.
15. Auditar eventos del sistema
• Esta configuración de seguridad
determina si debe realizarse una
auditoría cuando un usuario reinicia o
apaga el equipo o cuando se produce
un evento que afecta a la seguridad
del sistema o al registro de seguridad.
• Si define esta configuración de
directiva, puede especificar si auditar
los aciertos, los errores o no auditar
ningún tipo de evento
16. Auditar la administración de cuentas
• Esta configuración de seguridad determina si
debe auditarse cada evento de administración
de cuentas en un equipo. Ejemplos de
eventos de administración de cuentas:
• Se crea, cambia o elimina un grupo o una
cuenta de usuario.
• Se cambia el nombre de una cuenta, se
deshabilita o se habilita.
• Se establece o se cambia una contraseña.
• Si define esta configuración de directiva,
puede especificar si auditar los aciertos, los
errores o no auditar ningún tipo de evento.