Auditoria bajo el entorno Windows Server 2008R2

Por: Elvis Raza Arredondo Seguridad de Redes II

La auditoría de seguridad es una de las herramientas más eficaces que existen para ayudar a mantener la seguridad de un sistema. Se recomienda establecer el nivel de auditoría adecuado a su entorno como parte de la estrategia de seguridad global. La auditoría debería identificar los ataques, ya tengan éxito o no, que supongan un riesgo para su red, o los ataques contra recursos considerados como valiosos en la evaluación de riesgos.

Auditoría de Seguridad

Directiva de Auditoría de Seguridad

Permiten que una organización pueda auditar el cumplimiento de reglas empresariales y de seguridad importantes mediante un seguimiento de actividades definidas con precisión, como por ejemplo:

• Un administrador de grupos modificó la configuración o los datos en los servidores que contienen información financiera.

• Un empleado de un grupo definido obtuvo acceso a un archivo importante.

• La lista de control de acceso del sistema (SACL) correcta se aplica a cada archivo y carpeta o clave del Registro en un recurso compartido de archivo o equipo como una medida de seguridad comprobable frente a accesos no detectados.

Principales Cambios

Auditoría de acceso a objetos global

En Windows Server 2008 R2 y Windows 7, los administradores pueden definir las listas de control de acceso del sistema (SACL) de todo el equipo, ya sea para el sistema de archivos o el Registro. A continuación, la SACL especificada se aplica automáticamente a cada objeto individual de ese tipo. Esto puede resultar útil para comprobar que la configuración de todos los archivos, las carpetas y los registros imprescindibles de un equipo está protegida y para identificar el momento en que se presenta un problema en un recurso del sistema.

Informe "Razón de acceso"

Esta lista de entradas de control de acceso (ACE) proporciona los privilegios en los que se basó la decisión de permitir o denegar el acceso al objeto. Esto puede ser útil para documentar permisos, como pertenencias a grupos, que permiten o impiden la repetición de un evento de auditoría particular.

Configuración de directiva de auditoría avanzada

Estas 53 nuevas opciones se pueden usar en lugar de las nueve opciones de auditoría básicas de Directivas locales\Directiva de auditoría para permitir a los administradores centrarse específicamente en los tipos de actividades que deseen auditar y eliminar las actividades de auditoría innecesarias que pueden hacer que los registros de auditoría sean difíciles de administrar y descifrar.

Inicio de sesión de cuenta

Administración de cuentas

Seguimiento detallado

Acceso DS

Inicio y cierre de sesión

Acceso a objetos

Cambio de directivas

Uso de privilegios

Sistema

Auditoria de acceso a objetos globales

Consideraciones Especiales

Creación de una directiva de auditoría

Para crear una directiva de auditoría de seguridad de Windows avanzada, se debe usar el complemento Directiva de seguridad local o GPMC en un equipo que ejecute Windows Server 2008 R2 o Windows 7.

Aplicación de una configuración de directiva de auditoría

Si se usa una directiva de grupo para aplicar la configuración de directiva de auditoría avanzada y la configuración de acceso a objetos global, los equipos cliente deben ejecutar Windows Server 2008 R2 o Windows 7.

Desarrollo de un modelo de directiva de auditoría

Para planear la configuración de auditoría de seguridad avanzada y la configuración de acceso a objetos global, se debe usar la GPMC que tenga como objetivo un controlador de dominio que ejecute Windows Server 2008 R2.

Distribución de la directiva de auditoría

Después de que se desarrolló un objeto de directiva de grupo (GPO) que incluye una configuración de auditoría de seguridad avanzada, se puede distribuir mediante el uso de controladores de dominio que ejecuten cualquier sistema operativo Windows Server.

Implementación de Opciones de Configuración de Directiva de Auditoría

En las Propiedades de las directivas :• Erróneo: Se mostraran acciones equivocadas o que no resulten,

como inicio de sesión fallido.• Correcto: Se mostraran acciones que acierten, es decir inicio de

sesión correctos.

Normalmente, el registro de un error puede ser de mucha más ayuda que uno de éxito, esto ya que si un usuario inicia sesión correctamente en el sistema, puede considerarse como algo normal. Pero si un usuario intenta sin éxito iniciar sesión en un sistema varias veces, esto puede indicar que alguien está intentando obtener acceso al sistema utilizando el Id. de usuario de otra persona.

• Desde ahí se puede ver el resultado de la auditoría