auditoría en windows server 2008
TRANSCRIPT
Auditoría en Windows Server 2008
Larry Ruiz Barcayola
¿Qué es Auditoría?El concepto de la auditoría es la inspección de
una organización verificándola con un examen crítico que se realiza con el fin de comprobar la eficiencia o eficacia de la organización. Ahora cuando hablamos de auditoría en nuestro ámbito de la Informática, el concepto varía un poco. En este ámbito nos referimos a la revisión técnica, especializada y exhaustiva que serializa a los sistemas de cómputo, software e información utilizada en la empresa, estructurase las redes instaladas, dispositivos que se utilicen, etc.
Tipos de AuditoríaAuditoría InternaEs aquella que se hace con el personal de una misma empresa. Es decir no vienen personas de otra entidad para hacer el control.
Auditoría ExternaComo su nombre lo dice es aquella en la cual la empresa contrata personal de afuera, de otras entidades para que se encarguen de su auditoría.
Principales objetivos que constituyen la auditoría informáticaEl control de la función informática.El análisis de la eficacia de sistema
Informático.La verificación de la implementación de la
Normativa.La revisión de la gestión de los recursos
informáticos.
Auditoría en Windows Server 2008La auditoría hace un registro del seguimiento de los
sucesos correctos y erróneos dentro de un dominio. Por ejemplo la modificación de un archivo o una directiva. Todo esto se registra en un registro de auditoria. Esta muestra la acción que se ha llevado acabo, la cuenta del usuario la cual ha hecho el suceso y demás datos como la fecha y la hora en que se llevó a cabo el suceso.
La auditoría también identifica el uso no autorizado de recursos dentro de una red y por eso es importante dentro de un esquema de seguridad. Ejemplo si un usuario intenta sin éxito iniciar sesión en un sistema varias veces, esto puede indicar que alguien está intentando obtener acceso al sistema utilizando el Id. de usuario de otra persona.
Configuración de las directivas de auditoríaLas vulnerabilidades, contramedidas y posibles
impactos de todos los valores de configuración de auditoría son idénticos, por lo que sólo se detallan una vez en los siguientes párrafos. Las opciones para los valores de configuración de auditoría son:
CorrectoErróneoSin auditoría
Valores de configuración de auditoría
Configuración de las directivas de auditoríaAuditar el acceso a objetosAuditar el acceso al servidor de directorioAuditar el cambio de directivasAuditar el seguimiento de procesosAuditar el uso de privilegiosAuditar eventos de inicio de sesiónAuditar eventos de inicio de sesión de cuentaAuditar eventos del sistemaAuditar la administración de cuentas
Directivas de auditoría
Configuración de AuditoríaIngresamos a Inicio, Herramientas Administrativas
y Administración de directivas de Grupo.
Dentro de Administración de directivas de grupo, elegimos el dominio, nos dirigimos a Domain Controllers y damos click derecho en Default Domain Controllers Policy y elegimos la opción Editar.
Dentro de editor de administración de directivas de grupo nos vamos a configuración de equipo,Directivas, Configuración de Windows,Configuración de seguridad y Directivas locales.
Dentro de Directivas locales elegimos la opción Directivas de Auditoría y elegimos lo que deseamos Auditar.
En este ejemplo vamos a auditar la opción de Acceso al servicio de Directorio y el acceso a objetos, y marcamos los intentos Correctos y de Error.
Creamos usuarios para realizar una auditoría de estos.
Creamos una carpeta y la compartimos agregando usuarios y editando los permisos.
En la carpeta a compartir elegimos propiedad , nos vamos a la pestaña seguridad, damos click en opciones avanzadas y elegimos la pestaña Auditoria.
En auditoría elegimos los usuarios que deseamos Auditar.
Y Elegimos si deseamos auditar el ingreso correcto o incorrecto de este usuario para luego registrarlo.
Ingresamos con el usuario que vamos a Auditar para registrar sus acciones de acuerdo a la directiva.
Para poder ver los registros de los usuarios de auditoría ingresamos a Visor de Eventos.
Dentro del Visor de eventos ingresamos a la opción Registros de Windows elegimos la opción seguridad y podremos ver el registro de los usuarios.