Auditoria en windows server final

1 Auditoria en Windows Server 2008 R2– Rodrigo Martín Sánchez Matos


Contenido

Contenido 1.Introduccion A. Configuración de las directivas de auditoria. B. Valores de las directivas de auditoria en Windows server 2.Implementación de Auditoria en Windows Server 2008 R2 3. Casos prácticos sobre auditoria. 4. Lista de ID de suceso 5.Bibliografia


Directivas de auditoria en Windows Server:

1. Introducción :

Una auditoria hace un registro del seguimiento de los sucesos correctos y erróneos

dentro de un dominio. Por ejemplo la modificación de un archivo o una directiva. Todo

esto se registra en un registro de auditoria. Esta muestra la acción que se ha llevado a

cabo, la cuenta del usuario la cual hahecho el suceso y demás datos como la fecha y la

hora en que se llevó a cabo el suceso.

La auditoría también identifica el uso no autorizado de recursos dentro de una red y

por eso es importante dentro de un esquema de seguridad.

Normalmente, el registro de un error puede ser de mucha más ayuda que uno de

éxito, esto ya que si un usuario inicia sesión correctamente en el sistema, puede

considerarse como algo normal. Pero si un usuario intenta sin éxito iniciar sesión en un

sistema varias veces, esto puede indicar que alguien está intentando obtener acceso al

sistema utilizando el Id. de usuario de otra persona. Todos estos sucesos se registran

en la auditoria.

Todas estas configuraciones se pueden dar en:

Configuración de equipo\Configuración de Windows\Configuración de

seguridad\Directivas locales\Directiva de auditoría.

A. Configuración de las directivas de auditoria :

• Auditar sucesos de inicio de sesión de cuenta

• Auditar la administración de cuentas

• Auditar el acceso del servicio de directorio

• Auditar sucesos de inicio de sesión

• Auditar el acceso a objetos

• Auditar el cambio de directivas

• Auditar el uso de privilegios

• Auditar el seguimiento de procesos

• Auditar sucesos del sistema

B. Valores de las directivas de auditoria en servidores Windows Server

Las vulnerabilidades, contramedidas y posibles impactos de todos los valores de

configuración de auditoría son idénticos, por lo que sólo se detallan una vez en los

siguientes párrafos. Debajo de esos párrafos se incluyen breves explicaciones de cada

valor.

Las opciones para los valores de configuración de auditoría son:

• Correcto

• Erróneo

• Sin auditoría


2. Ejemplo de Implementación de Auditoria básica en Windows Server 2008 R2

En este caso de ejemplo básico se verá la configuración de auditoria para el inicio de sesión de

usuario en el SO Windows Server 2008 R2.

A. Primero tenemos que tener un DC y una maquina cliente para hacer las

pruebas correspondientes.

B. Nos dirigimos al servidor DC y vamos a Inicio – Herramientas

Administrativas – Herramientas de seguridad Local.

C. Dentro de Directiva Local, nos dirigimos a la opción Directiva de Auditoria, que se

encuentra dentro de Directivas locales y hacemos clic.


D. En las Directivas de Auditoria veremos 9 opciones de Auditoria, de ellas vamos a

configurar 5 opciones :

i. Auditar el acceso a objetos.

ii. Auditar el seguimiento de proceso.

iii. Auditar eventos de inicio de sesión.

iv. Auditar eventos de inicio de sesión de cuentas.

v. Auditar la administración de cuentas.

E. En todas estas opciones las habilitaremos en intentos erróneos y correctos.

i. Erróneo: Se mostraran acciones equivocadas o que no resulten, como

inicio de sesión fallido.

ii. Correcto: Se mostraran acciones que acierten, es decir inicio de sesión

correctos.


F. Ahora que hemos activado la auditoria, vamos a crear un usuario para auditarlo.


G. Una vez creado el usuario vamos a hacer la prueba, para esto vamos al SO cliente

(Antes se tiene que haber unido al dominio), y luego iniciar sesión con el usuario

creado.

H. Ahora en nuestro DC, nos dirigimos al visor de eventos, ya que ahí es donde se

guarda el seguimiento que se está haciendo al usuario. Para esto vamos a Inicio –

Equipo – Administrar.

I. En Administrador del servidor, vamos a Diagnostico – Registro de Windows –

Seguridad.


J. Desde aquí se puede ver el resultado de la auditoria, esto se actualiza

automáticamente, como se puede ver hay un eventos que es de auditoria correcta

que como podemos ver es del inicio de sesión de la cuenta kchavez.

K. Como se pudo ver la directiva de auditoria, mostro un resultado que es el inicio de

sesión ene l SO cliente, un Windows XP en nuestro ejemplo. Con el usuario

kchavez.


3. Casos prácticos sobre auditoria.

A. Caso práctico N° 1 :

i. Reseña:

En el área de RRHH de la empresa RODRIGO INC, se ha contratado a una nueva empleada

llamada Karla Chávez, esta nueva empleada que esta como practicante se le ha

suministrado un usuario para que pueda ingresar al dominio. Resulta algo curioso ya que

desde que se le brindo el usuario a la asistente. Se ha empezado a ver que alguien está

ingresando con un usuario de la jefa de RRHH. Se presume que es la nueva asistenta ya

que ella tiene acceso a todos los recursos de la jefa de RRHH ya que ella responde

directamente y maneja las cosas de la jefa de RRHH Carla Alva.

ii. Auditoria :

1. Primero vamos a registrar las opciones a auditar. Para esto

vamos a Directiva de seguridad local – Configuración de

directiva de auditoria avanzada.


2. Ahora va mostrar las opciones avanzadas para hacer

auditoria. Dentro de ellas configuraremos las siguientes

opciones :

a. Inicio de sesión de cuentas.

i. Auditar validación de credenciales.

ii. Auditar servicio de autenticación kerberos.


iii. Auditar operaciones de vales de servicio

kerberos.

iv. Auditar otros eventos de inicio de sesión de

cuentas.


b. Inicio y cierre de sesión.

i. Auditar cierre de sesión.

ii. Auditar inicio de sesión.


iii. Auditar otros eventos de inicio y cierre de

sesión.

iv. Auditar inicio de sesión especial.


3. Una vez que ya indicamos las opciones a auditar. Ahora

vamos al visor de eventos para ver los resultados de la

auditoria.

4. Ahora nos fijamos que bien que el visor de eventos nos

muestra la auditoria que se está haciendo a la red. Ahora

vemos algunos casos como un inicio de sesión que está

fallando repetitivamente.


5. Como se ha podido ver se ha visto que varias veces la cuenta

está haciendo usada pero como no saben la contraseña de

ella, no ingresan pero se está registrando todo.

6. Por lo que vemos en ese momento justo también está

ingresando el usuario de la asistenta Karla Chávez, es

extraño ya que ella es la única que se ha quedado en ese

horario, ya que en esa hora todos están en horario de

descanso.


7. Se puede llegar a la conclusión de que al parecer la asistenta

está intentando acceder con la cuenta de la jefa de RRHH.

4. Identificadores de eventos :

Sucesos de acceso a objetos Descripción

560 Se ha concedido acceso a un objeto ya existente.

562 Se ha cerrado un identificador de objeto.

563 Se intentó abrir un objeto con la intención de eliminarlo.

564 Se ha eliminado un objeto protegido.

565 Se ha concedido acceso a un tipo de objeto ya existente.

567 Se ha utilizado un permiso asociado a un identificador.

568 Se intentó crear un vínculo físico a un archivo que se está

auditando. 569 El administrador de recursos del Administrador de autorización

intentó crear un contexto de cliente. 570 Un cliente ha intentado tener acceso a un objeto.

571 El contexto de cliente fue eliminado por la aplicación

Administrador de autorización 572 El administrador de administradores ha inicializado la aplicación.

772 El administrador de certificados denegó una solicitud de

certificado pendiente 773 Servicios de Certificate Server recibió una solicitud de

certificado reenviada 774 Servicios de Certificate Server revocó un certificado.

775 Servicios de Certificate Server recibió una solicitud para publicar

la lista de revocación de certificados (CRL).

776 Servicios de Certificate Server publicó la lista de revocación de

certificados (CRL).

777 Se ha realizado una extensión de solicitud de certificados.

778 Se modificaron uno o más atributos de solicitud de certificados.

779 Servicios de Certificate Server recibió una solicitud para cerrar.

780 La copia de seguridad de Servicios de Certificate Server se ha

iniciado.

781 La copia de seguridad de Servicios de Certificate Server ha

finalizado.

782 La restauración de Servicios de Certificate Server ha

comenzado.

783 La restauración de Servicios de Certificate Server ha finalizado.

784 Servicios de Certificate Server iniciados.

785 Servicios de Certificate Server detenidos.

786 Los permisos de seguridad para Servicios de Certificate Server

han cambiado.

787 Servicios de Certificate Server ha recuperado una clave

archivada.


788 Servicios de Certificate Server ha importado un certificado en su

base de datos.

789 El filtro de auditoría para Servicios de Certificate Server ha

cambiado.

790 Servicios de Certificate Server ha recibido una solicitud de

certificado.

791 Servicios de Certificate Server ha aprobado certificado

solicitado y ha emitido un certificado.

792 Servicios de Certificate Server ha denegado una petición de

certificado.

793 Servicios de Certificate Server estableció el estado de una

solicitud de certificado como pendiente.

794 La configuración del administrador de certificados para

Servicios de Certificate Server ha cambiado.

795 Una entrada de configuración en Servicios de Certificate Server

ha cambiado.

796 Una propiedad de Servicios de Certificate Server ha cambiado.

797 Servicios de Certificate Server archivó una clave.

798 Servicios de Certificate Server importó y archivó una clave.

799 Servicios de Certificate Server publicó un certificado.

800 Una o más filas se han eliminado de la base de datos de

certificados.

801 Separación de funciones habilitada.

5. Bibliografía :

A. http://technet.microsoft.com

http://technet.microsoft.com/

Auditoria en windows server final

Documents

Transcript of Auditoria en windows server final