Auditoria en windows server final
Descargar como DOCX, PDF0 recomendaciones2,763 vistas
El documento describe la configuración y uso de la auditoría en Windows Server 2008 R2. Explica cómo configurar las directivas de auditoría, implementar una auditoría básica, y presenta un caso práctico de auditoría. También incluye una lista de identificadores de eventos relacionados con el acceso a objetos y servicios de certificados.
Auditoria en windows server final
- 1. Auditoria en Windows Server 2008 R2– Rodrigo Martín Sánchez Matos 1
- 2. Auditoria en Windows Server 2008 R2– Rodrigo Martín Sánchez Matos 2 Contenido Contenido 1.Introduccion A. Configuración de las directivas de auditoria. B. Valores de las directivas de auditoria en Windows server 2.Implementación de Auditoria en Windows Server 2008 R2 3. Casos prácticos sobre auditoria. 4. Lista de ID de suceso 5.Bibliografia
- 3. Auditoria en Windows Server 2008 R2– Rodrigo Martín Sánchez Matos 3 Directivas de auditoria en Windows Server: 1. Introducción : Una auditoria hace un registro del seguimiento de los sucesos correctos y erróneos dentro de un dominio. Por ejemplo la modificación de un archivo o una directiva. Todo esto se registra en un registro de auditoria. Esta muestra la acción que se ha llevado a cabo, la cuenta del usuario la cual hahecho el suceso y demás datos como la fecha y la hora en que se llevó a cabo el suceso. La auditoría también identifica el uso no autorizado de recursos dentro de una red y por eso es importante dentro de un esquema de seguridad. Normalmente, el registro de un error puede ser de mucha más ayuda que uno de éxito, esto ya que si un usuario inicia sesión correctamente en el sistema, puede considerarse como algo normal. Pero si un usuario intenta sin éxito iniciar sesión en un sistema varias veces, esto puede indicar que alguien está intentando obtener acceso al sistema utilizando el Id. de usuario de otra persona. Todos estos sucesos se registran en la auditoria. Todas estas configuraciones se pueden dar en: Configuración de equipoConfiguración de WindowsConfiguración de seguridadDirectivas localesDirectiva de auditoría. A. Configuración de las directivas de auditoria : • Auditar sucesos de inicio de sesión de cuenta • Auditar la administración de cuentas • Auditar el acceso del servicio de directorio • Auditar sucesos de inicio de sesión • Auditar el acceso a objetos • Auditar el cambio de directivas • Auditar el uso de privilegios • Auditar el seguimiento de procesos • Auditar sucesos del sistema B. Valores de las directivas de auditoria en servidores Windows Server Las vulnerabilidades, contramedidas y posibles impactos de todos los valores de configuración de auditoría son idénticos, por lo que sólo se detallan una vez en los siguientes párrafos. Debajo de esos párrafos se incluyen breves explicaciones de cada valor. Las opciones para los valores de configuración de auditoría son: • Correcto • Erróneo • Sin auditoría
- 4. Auditoria en Windows Server 2008 R2– Rodrigo Martín Sánchez Matos 4 2. Ejemplo de Implementación de Auditoria básica en Windows Server 2008 R2 En este caso de ejemplo básico se verá la configuración de auditoria para el inicio de sesión de usuario en el SO Windows Server 2008 R2. A. Primero tenemos que tener un DC y una maquina cliente para hacer las pruebas correspondientes. B. Nos dirigimos al servidor DC y vamos a Inicio – Herramientas Administrativas – Herramientas de seguridad Local. C. Dentro de Directiva Local, nos dirigimos a la opción Directiva de Auditoria, que se encuentra dentro de Directivas locales y hacemos clic.
- 5. Auditoria en Windows Server 2008 R2– Rodrigo Martín Sánchez Matos 5 D. En las Directivas de Auditoria veremos 9 opciones de Auditoria, de ellas vamos a configurar 5 opciones : i. Auditar el acceso a objetos. ii. Auditar el seguimiento de proceso. iii. Auditar eventos de inicio de sesión. iv. Auditar eventos de inicio de sesión de cuentas. v. Auditar la administración de cuentas. E. En todas estas opciones las habilitaremos en intentos erróneos y correctos. i. Erróneo: Se mostraran acciones equivocadas o que no resulten, como inicio de sesión fallido. ii. Correcto: Se mostraran acciones que acierten, es decir inicio de sesión correctos.
- 6. Auditoria en Windows Server 2008 R2– Rodrigo Martín Sánchez Matos 6 F. Ahora que hemos activado la auditoria, vamos a crear un usuario para auditarlo.
- 7. Auditoria en Windows Server 2008 R2– Rodrigo Martín Sánchez Matos 7 G. Una vez creado el usuario vamos a hacer la prueba, para esto vamos al SO cliente (Antes se tiene que haber unido al dominio), y luego iniciar sesión con el usuario creado. H. Ahora en nuestro DC, nos dirigimos al visor de eventos, ya que ahí es donde se guarda el seguimiento que se está haciendo al usuario. Para esto vamos a Inicio – Equipo – Administrar. I. En Administrador del servidor, vamos a Diagnostico – Registro de Windows – Seguridad.
- 8. Auditoria en Windows Server 2008 R2– Rodrigo Martín Sánchez Matos 8 J. Desde aquí se puede ver el resultado de la auditoria, esto se actualiza automáticamente, como se puede ver hay un eventos que es de auditoria correcta que como podemos ver es del inicio de sesión de la cuenta kchavez. K. Como se pudo ver la directiva de auditoria, mostro un resultado que es el inicio de sesión ene l SO cliente, un Windows XP en nuestro ejemplo. Con el usuario kchavez.
- 9. Auditoria en Windows Server 2008 R2– Rodrigo Martín Sánchez Matos 9 3. Casos prácticos sobre auditoria. A. Caso práctico N° 1 : i. Reseña: En el área de RRHH de la empresa RODRIGO INC, se ha contratado a una nueva empleada llamada Karla Chávez, esta nueva empleada que esta como practicante se le ha suministrado un usuario para que pueda ingresar al dominio. Resulta algo curioso ya que desde que se le brindo el usuario a la asistente. Se ha empezado a ver que alguien está ingresando con un usuario de la jefa de RRHH. Se presume que es la nueva asistenta ya que ella tiene acceso a todos los recursos de la jefa de RRHH ya que ella responde directamente y maneja las cosas de la jefa de RRHH Carla Alva. ii. Auditoria : 1. Primero vamos a registrar las opciones a auditar. Para esto vamos a Directiva de seguridad local – Configuración de directiva de auditoria avanzada.
- 10. Auditoria en Windows Server 2008 R2– Rodrigo Martín Sánchez Matos 10 2. Ahora va mostrar las opciones avanzadas para hacer auditoria. Dentro de ellas configuraremos las siguientes opciones : a. Inicio de sesión de cuentas. i. Auditar validación de credenciales. ii. Auditar servicio de autenticación kerberos.
- 11. Auditoria en Windows Server 2008 R2– Rodrigo Martín Sánchez Matos 11 iii. Auditar operaciones de vales de servicio kerberos. iv. Auditar otros eventos de inicio de sesión de cuentas.
- 12. Auditoria en Windows Server 2008 R2– Rodrigo Martín Sánchez Matos 12 b. Inicio y cierre de sesión. i. Auditar cierre de sesión. ii. Auditar inicio de sesión.
- 13. Auditoria en Windows Server 2008 R2– Rodrigo Martín Sánchez Matos 13 iii. Auditar otros eventos de inicio y cierre de sesión. iv. Auditar inicio de sesión especial.
- 14. Auditoria en Windows Server 2008 R2– Rodrigo Martín Sánchez Matos 14 3. Una vez que ya indicamos las opciones a auditar. Ahora vamos al visor de eventos para ver los resultados de la auditoria. 4. Ahora nos fijamos que bien que el visor de eventos nos muestra la auditoria que se está haciendo a la red. Ahora vemos algunos casos como un inicio de sesión que está fallando repetitivamente.
- 15. Auditoria en Windows Server 2008 R2– Rodrigo Martín Sánchez Matos 15 5. Como se ha podido ver se ha visto que varias veces la cuenta está haciendo usada pero como no saben la contraseña de ella, no ingresan pero se está registrando todo. 6. Por lo que vemos en ese momento justo también está ingresando el usuario de la asistenta Karla Chávez, es extraño ya que ella es la única que se ha quedado en ese horario, ya que en esa hora todos están en horario de descanso.
- 16. Auditoria en Windows Server 2008 R2– Rodrigo Martín Sánchez Matos 16 7. Se puede llegar a la conclusión de que al parecer la asistenta está intentando acceder con la cuenta de la jefa de RRHH. 4. Identificadores de eventos : Sucesos de acceso a objetos Descripción 560 Se ha concedido acceso a un objeto ya existente. 562 Se ha cerrado un identificador de objeto. 563 Se intentó abrir un objeto con la intención de eliminarlo. 564 Se ha eliminado un objeto protegido. 565 Se ha concedido acceso a un tipo de objeto ya existente. 567 Se ha utilizado un permiso asociado a un identificador. 568 Se intentó crear un vínculo físico a un archivo que se está auditando. 569 El administrador de recursos del Administrador de autorización intentó crear un contexto de cliente. 570 Un cliente ha intentado tener acceso a un objeto. 571 El contexto de cliente fue eliminado por la aplicación Administrador de autorización 572 El administrador de administradores ha inicializado la aplicación. 772 El administrador de certificados denegó una solicitud de certificado pendiente 773 Servicios de Certificate Server recibió una solicitud de certificado reenviada 774 Servicios de Certificate Server revocó un certificado. 775 Servicios de Certificate Server recibió una solicitud para publicar la lista de revocación de certificados (CRL). 776 Servicios de Certificate Server publicó la lista de revocación de certificados (CRL). 777 Se ha realizado una extensión de solicitud de certificados. 778 Se modificaron uno o más atributos de solicitud de certificados. 779 Servicios de Certificate Server recibió una solicitud para cerrar. 780 La copia de seguridad de Servicios de Certificate Server se ha iniciado. 781 La copia de seguridad de Servicios de Certificate Server ha finalizado. 782 La restauración de Servicios de Certificate Server ha comenzado. 783 La restauración de Servicios de Certificate Server ha finalizado. 784 Servicios de Certificate Server iniciados. 785 Servicios de Certificate Server detenidos. 786 Los permisos de seguridad para Servicios de Certificate Server han cambiado. 787 Servicios de Certificate Server ha recuperado una clave archivada.
- 17. Auditoria en Windows Server 2008 R2– Rodrigo Martín Sánchez Matos 17 788 Servicios de Certificate Server ha importado un certificado en su base de datos. 789 El filtro de auditoría para Servicios de Certificate Server ha cambiado. 790 Servicios de Certificate Server ha recibido una solicitud de certificado. 791 Servicios de Certificate Server ha aprobado certificado solicitado y ha emitido un certificado. 792 Servicios de Certificate Server ha denegado una petición de certificado. 793 Servicios de Certificate Server estableció el estado de una solicitud de certificado como pendiente. 794 La configuración del administrador de certificados para Servicios de Certificate Server ha cambiado. 795 Una entrada de configuración en Servicios de Certificate Server ha cambiado. 796 Una propiedad de Servicios de Certificate Server ha cambiado. 797 Servicios de Certificate Server archivó una clave. 798 Servicios de Certificate Server importó y archivó una clave. 799 Servicios de Certificate Server publicó un certificado. 800 Una o más filas se han eliminado de la base de datos de certificados. 801 Separación de funciones habilitada. 5. Bibliografía : A. http://technet.microsoft.com