Post on 20-Jul-2015
1 Auditoria en Windows Server 2008 R2– Rodrigo Martín Sánchez Matos
2 Auditoria en Windows Server 2008 R2– Rodrigo Martín Sánchez Matos
Contenido
Contenido 1.Introduccion A. Configuración de las directivas de auditoria. B. Valores de las directivas de auditoria en Windows server 2.Implementación de Auditoria en Windows Server 2008 R2 3. Casos prácticos sobre auditoria. 4. Lista de ID de suceso 5.Bibliografia
3 Auditoria en Windows Server 2008 R2– Rodrigo Martín Sánchez Matos
Directivas de auditoria en Windows Server:
1. Introducción :
Una auditoria hace un registro del seguimiento de los sucesos correctos y erróneos
dentro de un dominio. Por ejemplo la modificación de un archivo o una directiva. Todo
esto se registra en un registro de auditoria. Esta muestra la acción que se ha llevado a
cabo, la cuenta del usuario la cual hahecho el suceso y demás datos como la fecha y la
hora en que se llevó a cabo el suceso.
La auditoría también identifica el uso no autorizado de recursos dentro de una red y
por eso es importante dentro de un esquema de seguridad.
Normalmente, el registro de un error puede ser de mucha más ayuda que uno de
éxito, esto ya que si un usuario inicia sesión correctamente en el sistema, puede
considerarse como algo normal. Pero si un usuario intenta sin éxito iniciar sesión en un
sistema varias veces, esto puede indicar que alguien está intentando obtener acceso al
sistema utilizando el Id. de usuario de otra persona. Todos estos sucesos se registran
en la auditoria.
Todas estas configuraciones se pueden dar en:
Configuración de equipo\Configuración de Windows\Configuración de
seguridad\Directivas locales\Directiva de auditoría.
A. Configuración de las directivas de auditoria :
• Auditar sucesos de inicio de sesión de cuenta
• Auditar la administración de cuentas
• Auditar el acceso del servicio de directorio
• Auditar sucesos de inicio de sesión
• Auditar el acceso a objetos
• Auditar el cambio de directivas
• Auditar el uso de privilegios
• Auditar el seguimiento de procesos
• Auditar sucesos del sistema
B. Valores de las directivas de auditoria en servidores Windows Server
Las vulnerabilidades, contramedidas y posibles impactos de todos los valores de
configuración de auditoría son idénticos, por lo que sólo se detallan una vez en los
siguientes párrafos. Debajo de esos párrafos se incluyen breves explicaciones de cada
valor.
Las opciones para los valores de configuración de auditoría son:
• Correcto
• Erróneo
• Sin auditoría
4 Auditoria en Windows Server 2008 R2– Rodrigo Martín Sánchez Matos
2. Ejemplo de Implementación de Auditoria básica en Windows Server 2008 R2
En este caso de ejemplo básico se verá la configuración de auditoria para el inicio de sesión de
usuario en el SO Windows Server 2008 R2.
A. Primero tenemos que tener un DC y una maquina cliente para hacer las
pruebas correspondientes.
B. Nos dirigimos al servidor DC y vamos a Inicio – Herramientas
Administrativas – Herramientas de seguridad Local.
C. Dentro de Directiva Local, nos dirigimos a la opción Directiva de Auditoria, que se
encuentra dentro de Directivas locales y hacemos clic.
5 Auditoria en Windows Server 2008 R2– Rodrigo Martín Sánchez Matos
D. En las Directivas de Auditoria veremos 9 opciones de Auditoria, de ellas vamos a
configurar 5 opciones :
i. Auditar el acceso a objetos.
ii. Auditar el seguimiento de proceso.
iii. Auditar eventos de inicio de sesión.
iv. Auditar eventos de inicio de sesión de cuentas.
v. Auditar la administración de cuentas.
E. En todas estas opciones las habilitaremos en intentos erróneos y correctos.
i. Erróneo: Se mostraran acciones equivocadas o que no resulten, como
inicio de sesión fallido.
ii. Correcto: Se mostraran acciones que acierten, es decir inicio de sesión
correctos.
6 Auditoria en Windows Server 2008 R2– Rodrigo Martín Sánchez Matos
F. Ahora que hemos activado la auditoria, vamos a crear un usuario para auditarlo.
7 Auditoria en Windows Server 2008 R2– Rodrigo Martín Sánchez Matos
G. Una vez creado el usuario vamos a hacer la prueba, para esto vamos al SO cliente
(Antes se tiene que haber unido al dominio), y luego iniciar sesión con el usuario
creado.
H. Ahora en nuestro DC, nos dirigimos al visor de eventos, ya que ahí es donde se
guarda el seguimiento que se está haciendo al usuario. Para esto vamos a Inicio –
Equipo – Administrar.
I. En Administrador del servidor, vamos a Diagnostico – Registro de Windows –
Seguridad.
8 Auditoria en Windows Server 2008 R2– Rodrigo Martín Sánchez Matos
J. Desde aquí se puede ver el resultado de la auditoria, esto se actualiza
automáticamente, como se puede ver hay un eventos que es de auditoria correcta
que como podemos ver es del inicio de sesión de la cuenta kchavez.
K. Como se pudo ver la directiva de auditoria, mostro un resultado que es el inicio de
sesión ene l SO cliente, un Windows XP en nuestro ejemplo. Con el usuario
kchavez.
9 Auditoria en Windows Server 2008 R2– Rodrigo Martín Sánchez Matos
3. Casos prácticos sobre auditoria.
A. Caso práctico N° 1 :
i. Reseña:
En el área de RRHH de la empresa RODRIGO INC, se ha contratado a una nueva empleada
llamada Karla Chávez, esta nueva empleada que esta como practicante se le ha
suministrado un usuario para que pueda ingresar al dominio. Resulta algo curioso ya que
desde que se le brindo el usuario a la asistente. Se ha empezado a ver que alguien está
ingresando con un usuario de la jefa de RRHH. Se presume que es la nueva asistenta ya
que ella tiene acceso a todos los recursos de la jefa de RRHH ya que ella responde
directamente y maneja las cosas de la jefa de RRHH Carla Alva.
ii. Auditoria :
1. Primero vamos a registrar las opciones a auditar. Para esto
vamos a Directiva de seguridad local – Configuración de
directiva de auditoria avanzada.
10 Auditoria en Windows Server 2008 R2– Rodrigo Martín Sánchez Matos
2. Ahora va mostrar las opciones avanzadas para hacer
auditoria. Dentro de ellas configuraremos las siguientes
opciones :
a. Inicio de sesión de cuentas.
i. Auditar validación de credenciales.
ii. Auditar servicio de autenticación kerberos.
11 Auditoria en Windows Server 2008 R2– Rodrigo Martín Sánchez Matos
iii. Auditar operaciones de vales de servicio
kerberos.
iv. Auditar otros eventos de inicio de sesión de
cuentas.
12 Auditoria en Windows Server 2008 R2– Rodrigo Martín Sánchez Matos
b. Inicio y cierre de sesión.
i. Auditar cierre de sesión.
ii. Auditar inicio de sesión.
13 Auditoria en Windows Server 2008 R2– Rodrigo Martín Sánchez Matos
iii. Auditar otros eventos de inicio y cierre de
sesión.
iv. Auditar inicio de sesión especial.
14 Auditoria en Windows Server 2008 R2– Rodrigo Martín Sánchez Matos
3. Una vez que ya indicamos las opciones a auditar. Ahora
vamos al visor de eventos para ver los resultados de la
auditoria.
4. Ahora nos fijamos que bien que el visor de eventos nos
muestra la auditoria que se está haciendo a la red. Ahora
vemos algunos casos como un inicio de sesión que está
fallando repetitivamente.
15 Auditoria en Windows Server 2008 R2– Rodrigo Martín Sánchez Matos
5. Como se ha podido ver se ha visto que varias veces la cuenta
está haciendo usada pero como no saben la contraseña de
ella, no ingresan pero se está registrando todo.
6. Por lo que vemos en ese momento justo también está
ingresando el usuario de la asistenta Karla Chávez, es
extraño ya que ella es la única que se ha quedado en ese
horario, ya que en esa hora todos están en horario de
descanso.
16 Auditoria en Windows Server 2008 R2– Rodrigo Martín Sánchez Matos
7. Se puede llegar a la conclusión de que al parecer la asistenta
está intentando acceder con la cuenta de la jefa de RRHH.
4. Identificadores de eventos :
Sucesos de acceso a objetos Descripción
560 Se ha concedido acceso a un objeto ya existente.
562 Se ha cerrado un identificador de objeto.
563 Se intentó abrir un objeto con la intención de eliminarlo.
564 Se ha eliminado un objeto protegido.
565 Se ha concedido acceso a un tipo de objeto ya existente.
567 Se ha utilizado un permiso asociado a un identificador.
568 Se intentó crear un vínculo físico a un archivo que se está
auditando. 569 El administrador de recursos del Administrador de autorización
intentó crear un contexto de cliente. 570 Un cliente ha intentado tener acceso a un objeto.
571 El contexto de cliente fue eliminado por la aplicación
Administrador de autorización 572 El administrador de administradores ha inicializado la aplicación.
772 El administrador de certificados denegó una solicitud de
certificado pendiente 773 Servicios de Certificate Server recibió una solicitud de
certificado reenviada 774 Servicios de Certificate Server revocó un certificado.
775 Servicios de Certificate Server recibió una solicitud para publicar
la lista de revocación de certificados (CRL).
776 Servicios de Certificate Server publicó la lista de revocación de
certificados (CRL).
777 Se ha realizado una extensión de solicitud de certificados.
778 Se modificaron uno o más atributos de solicitud de certificados.
779 Servicios de Certificate Server recibió una solicitud para cerrar.
780 La copia de seguridad de Servicios de Certificate Server se ha
iniciado.
781 La copia de seguridad de Servicios de Certificate Server ha
finalizado.
782 La restauración de Servicios de Certificate Server ha
comenzado.
783 La restauración de Servicios de Certificate Server ha finalizado.
784 Servicios de Certificate Server iniciados.
785 Servicios de Certificate Server detenidos.
786 Los permisos de seguridad para Servicios de Certificate Server
han cambiado.
787 Servicios de Certificate Server ha recuperado una clave
archivada.
17 Auditoria en Windows Server 2008 R2– Rodrigo Martín Sánchez Matos
788 Servicios de Certificate Server ha importado un certificado en su
base de datos.
789 El filtro de auditoría para Servicios de Certificate Server ha
cambiado.
790 Servicios de Certificate Server ha recibido una solicitud de
certificado.
791 Servicios de Certificate Server ha aprobado certificado
solicitado y ha emitido un certificado.
792 Servicios de Certificate Server ha denegado una petición de
certificado.
793 Servicios de Certificate Server estableció el estado de una
solicitud de certificado como pendiente.
794 La configuración del administrador de certificados para
Servicios de Certificate Server ha cambiado.
795 Una entrada de configuración en Servicios de Certificate Server
ha cambiado.
796 Una propiedad de Servicios de Certificate Server ha cambiado.
797 Servicios de Certificate Server archivó una clave.
798 Servicios de Certificate Server importó y archivó una clave.
799 Servicios de Certificate Server publicó un certificado.
800 Una o más filas se han eliminado de la base de datos de
certificados.
801 Separación de funciones habilitada.
5. Bibliografía :
A. http://technet.microsoft.com