AUDITORIA EN WINDOWS SERVER

2008

AUDITORIA EN WINDOWS SERVER 2008

•  Es  un  análisis  que    hace  un  registro  del seguimiento de los sucesos correctos y erróneos dentro  de  un  dominio.  Por  ejemplo  la modificación de un archivo o una directiva. Todo esto se registra en un registro de auditoria

• Es  recomendable  utilizarla,  ella  nos  puede ayudar  a  diagnosticar  los  problemas  y determinar  la  causa,  y  por  supuesto  con  la protección de nuestros servidores y nuestra red. 

• En  Windows  Server  2008,  es  mas  fácil  la  tarea de  revisar  los  logs  y  tomar  las  acciones  que creamos  convenientes.  Al  instalar  un controlador de dominio las políticas de auditoria por  defecto  están  configuradas  de  la  siguiente manera:

AUDITORIA EN WINDOWS SERVER 2008• Podemos  ver  en  mayor 

detalle  las  políticas  con  el comando auditpol.exe de Windows  7,  Windows  Server 2008,  Windows  Server  2008 R2, Windows Vista.

CATEGORIA Y SUBCATEGORIA DE AUDITORIA

• Si  ejecutamos  el  comando auditpol.exe  /get  /Category:* en nuestro controlador de dominio veremos lo siguiente:

• Recordemos,  que  este  comando  nos  muestra  información  y realiza  funciones para manipular  las políticas de auditoría.  La directiva de auditoría de  línea de comandos se puede utilizar para:

• Asignación  y  búsqueda  de  una  política  de  auditoría  del sistema.

• Asignación y búsqueda de una política de auditoría para cada usuario.

• Asignación y búsqueda de las opciones de auditoria.• Asignación  y  búsqueda  del  descriptor  de  seguridad  utilizado 

para delegar el acceso a una directiva de auditoría.• Generar un  informe o una copia de seguridad una política de 

auditoría  a  un  valor  separados  por  comas  (CSV)  archivo  de texto.

• Cargar una directiva de auditoría de un archivo de texto CSV.

DIRECTIVAS DE AUDITORIAUna  directiva  de  auditoría  especifica  las  categorías  de  eventos  relacionados con la seguridad que desea auditar. Cuando esta versión de Windows se instala por primera vez, todas las categorías de auditoría están deshabilitadas. 

Al habilitar varias categorías de eventos de auditoría, puede implementar una directiva  de  auditoría  apropiada  para  las  necesidades  de  seguridad  de  su organización.

• Las categorías de eventos que puede elegir para auditar son:• Auditar eventos de inicio de sesión de cuenta • Auditar la administración de cuentas • Auditar el acceso del servicio de directorio • Auditar eventos de inicio de sesión • Auditar el acceso a objetos • Auditar el cambio de directivas • Auditar el uso de privilegios • Auditar el seguimiento de procesos • Auditar eventos del sistema

CONFIGURACIÓN DE AUDITORIA

• Puede elegir un grupo o una cuenta de usuario y después la operación de fax que auditará para cada grupo o usuario. Puede seleccionar un atributo de error o éxito para  cada operación de  fax.  Los  resultados aparecerán en el visor de eventos.• Al  definir  la  configuración  de  auditoría  para  categorías  de  eventos 

específicas, puede crear una directiva de auditoría apropiada para las necesidades  de  seguridad  de  su  organización.  En  los  servidores  y estaciones  de  trabajo  miembro  que  se  unen  a  un  dominio,  la configuración  de  auditoría  para  las  categorías  de  eventos  no  está definida de manera predeterminada.

CONFIGURACIÓN DE AUDITORIA

• Para definir o modificar la configuración de la directiva de auditoría para una categoría de eventos en el equipo local. • Abra  el  complemento  Directiva  de 

seguridad  local  y seleccione Directivas locales.• En  el  árbol  de  consola,  haga  clic 

en Directiva de auditoría.

Auditar el acceso a objetos

• Esta  configuración  de  seguridad determina  si  debe  auditarse  el evento de un usuario que obtiene acceso  a  un  objeto  como: archivo,carpeta,clave  de registro,impresoras etc.• Si  define  esta  configuración  de 

directiva  ,  puede  especificar  si auditar  los  aciertos,  los  errores  o no auditar ningún tipo de evento.

Auditar el acceso del servicio de directorio

• Esta configuración de seguridad determina si debe auditarse el evento de un usuario que obtiene acceso a un objeto de Active Directory con su propia lista de control de acceso del sistema (SACL) especificada.

• De  forma  predeterminada,  este  valor  se establece en Sin auditoría en el objeto de directiva  de  grupo  (GPO)  de  controlador de dominio predeterminado y permanece sin  definir  en  estaciones  de  trabajo  y servidores  donde  no  tiene  ningún significado.

Auditar el cambio de directivas

• Esta  configuración  de  seguridad determina  si  debe  auditarse  cada incidente  de  cambio  en  las directivas  de  asignación  de derechos  de  usuario,  directivas  de auditoría o directivas de confianza.

• Si  define  esta  configuración  de directiva,  puede  especificar  si auditar los aciertos, los errores o no auditar ningún tipo de evento. 

Auditar el seguimiento de procesos

• Esta  configuración  de  seguridad determina  si  debe  auditarse  la información  de  seguimiento detallada  para  eventos  como activación  de  programas,  salida  de procesos,  duplicación  de identificadores  y  acceso  a  objetos indirectos.

• Si  define  esta  configuración  de directiva, puede especificar si auditar los  aciertos,  los  errores  o  no  auditar ningún tipo de evento.

Auditar el uso de privilegios

• Esta  configuración  de  seguridad determina  si  debe  auditarse  cada instancia  de  un  usuario  que  ejerce un derecho de usuario.

• Si  define  esta  configuración  de directiva,  puede  especificar  si auditar los aciertos, los errores o no auditar ningún tipo de evento.

Auditar eventos de inicio de sesión

• Esta  configuración  de  seguridad determina  si  debe  auditarse  cada instancia de  inicio o cierre de sesión de un usuario en un equipo.

• Los  eventos  de  inicio  de  sesión  de cuenta  se  generan  en  controladores de  dominio  para  la  actividad  de cuentas  de  dominio  y  en  equipos locales  para  la  actividad  de  cuentas locales

Auditar eventos de inicio de sesión de cuenta

• Esta  configuración  de  seguridad determina  si  debe  auditarse  cada instancia de inicio o cierre de sesión de  un  usuario  en  un  equipo  en  el que este equipo se usa para validar la cuenta. • Los  eventos  de  inicio  de  sesión  de 

cuenta se generan cuando la cuenta de  un  usuario  del  dominio  se autentica  en  un  controlador  de dominio.

Auditar eventos del sistema

• Esta  configuración  de  seguridad determina  si  debe  realizarse  una auditoría cuando un usuario reinicia o apaga el equipo o cuando se produce un  evento  que  afecta  a  la  seguridad del sistema o al registro de seguridad.

• Si  define  esta  configuración  de directiva, puede especificar  si auditar los  aciertos,  los  errores  o  no  auditar ningún tipo de evento

Auditar la administración de cuentas

• Esta  configuración de  seguridad determina  si debe auditarse cada evento de administración de  cuentas  en  un  equipo.  Ejemplos  de eventos de administración de cuentas:

• Se  crea,  cambia  o  elimina  un  grupo  o  una cuenta de usuario.

• Se  cambia  el  nombre  de  una  cuenta,  se deshabilita o se habilita.

• Se establece o se cambia una contraseña.• Si  define  esta  configuración  de  directiva, 

puede  especificar  si  auditar  los  aciertos,  los errores o no auditar ningún tipo de evento.