Upload
luis-mario-pastrana-torres
View
301
Download
1
Tags:
Embed Size (px)
Citation preview
AUDITORIA EN WINDOWS SERVER
2008
AUDITORIA EN WINDOWS SERVER 2008
• Es un análisis que hace un registro del seguimiento de los sucesos correctos y erróneos dentro de un dominio. Por ejemplo la modificación de un archivo o una directiva. Todo esto se registra en un registro de auditoria
• Es recomendable utilizarla, ella nos puede ayudar a diagnosticar los problemas y determinar la causa, y por supuesto con la protección de nuestros servidores y nuestra red.
• En Windows Server 2008, es mas fácil la tarea de revisar los logs y tomar las acciones que creamos convenientes. Al instalar un controlador de dominio las políticas de auditoria por defecto están configuradas de la siguiente manera:
AUDITORIA EN WINDOWS SERVER 2008• Podemos ver en mayor
detalle las políticas con el comando auditpol.exe de Windows 7, Windows Server 2008, Windows Server 2008 R2, Windows Vista.
CATEGORIA Y SUBCATEGORIA DE AUDITORIA
• Si ejecutamos el comando auditpol.exe /get /Category:* en nuestro controlador de dominio veremos lo siguiente:
• Recordemos, que este comando nos muestra información y realiza funciones para manipular las políticas de auditoría. La directiva de auditoría de línea de comandos se puede utilizar para:
• Asignación y búsqueda de una política de auditoría del sistema.
• Asignación y búsqueda de una política de auditoría para cada usuario.
• Asignación y búsqueda de las opciones de auditoria.• Asignación y búsqueda del descriptor de seguridad utilizado
para delegar el acceso a una directiva de auditoría.• Generar un informe o una copia de seguridad una política de
auditoría a un valor separados por comas (CSV) archivo de texto.
• Cargar una directiva de auditoría de un archivo de texto CSV.
DIRECTIVAS DE AUDITORIAUna directiva de auditoría especifica las categorías de eventos relacionados con la seguridad que desea auditar. Cuando esta versión de Windows se instala por primera vez, todas las categorías de auditoría están deshabilitadas.
Al habilitar varias categorías de eventos de auditoría, puede implementar una directiva de auditoría apropiada para las necesidades de seguridad de su organización.
• Las categorías de eventos que puede elegir para auditar son:• Auditar eventos de inicio de sesión de cuenta • Auditar la administración de cuentas • Auditar el acceso del servicio de directorio • Auditar eventos de inicio de sesión • Auditar el acceso a objetos • Auditar el cambio de directivas • Auditar el uso de privilegios • Auditar el seguimiento de procesos • Auditar eventos del sistema
CONFIGURACIÓN DE AUDITORIA
• Puede elegir un grupo o una cuenta de usuario y después la operación de fax que auditará para cada grupo o usuario. Puede seleccionar un atributo de error o éxito para cada operación de fax. Los resultados aparecerán en el visor de eventos.• Al definir la configuración de auditoría para categorías de eventos
específicas, puede crear una directiva de auditoría apropiada para las necesidades de seguridad de su organización. En los servidores y estaciones de trabajo miembro que se unen a un dominio, la configuración de auditoría para las categorías de eventos no está definida de manera predeterminada.
CONFIGURACIÓN DE AUDITORIA
• Para definir o modificar la configuración de la directiva de auditoría para una categoría de eventos en el equipo local. • Abra el complemento Directiva de
seguridad local y seleccione Directivas locales.• En el árbol de consola, haga clic
en Directiva de auditoría.
Auditar el acceso a objetos
• Esta configuración de seguridad determina si debe auditarse el evento de un usuario que obtiene acceso a un objeto como: archivo,carpeta,clave de registro,impresoras etc.• Si define esta configuración de
directiva , puede especificar si auditar los aciertos, los errores o no auditar ningún tipo de evento.
Auditar el acceso del servicio de directorio
• Esta configuración de seguridad determina si debe auditarse el evento de un usuario que obtiene acceso a un objeto de Active Directory con su propia lista de control de acceso del sistema (SACL) especificada.
• De forma predeterminada, este valor se establece en Sin auditoría en el objeto de directiva de grupo (GPO) de controlador de dominio predeterminado y permanece sin definir en estaciones de trabajo y servidores donde no tiene ningún significado.
Auditar el cambio de directivas
• Esta configuración de seguridad determina si debe auditarse cada incidente de cambio en las directivas de asignación de derechos de usuario, directivas de auditoría o directivas de confianza.
• Si define esta configuración de directiva, puede especificar si auditar los aciertos, los errores o no auditar ningún tipo de evento.
Auditar el seguimiento de procesos
• Esta configuración de seguridad determina si debe auditarse la información de seguimiento detallada para eventos como activación de programas, salida de procesos, duplicación de identificadores y acceso a objetos indirectos.
• Si define esta configuración de directiva, puede especificar si auditar los aciertos, los errores o no auditar ningún tipo de evento.
Auditar el uso de privilegios
• Esta configuración de seguridad determina si debe auditarse cada instancia de un usuario que ejerce un derecho de usuario.
• Si define esta configuración de directiva, puede especificar si auditar los aciertos, los errores o no auditar ningún tipo de evento.
Auditar eventos de inicio de sesión
• Esta configuración de seguridad determina si debe auditarse cada instancia de inicio o cierre de sesión de un usuario en un equipo.
• Los eventos de inicio de sesión de cuenta se generan en controladores de dominio para la actividad de cuentas de dominio y en equipos locales para la actividad de cuentas locales
Auditar eventos de inicio de sesión de cuenta
• Esta configuración de seguridad determina si debe auditarse cada instancia de inicio o cierre de sesión de un usuario en un equipo en el que este equipo se usa para validar la cuenta. • Los eventos de inicio de sesión de
cuenta se generan cuando la cuenta de un usuario del dominio se autentica en un controlador de dominio.
Auditar eventos del sistema
• Esta configuración de seguridad determina si debe realizarse una auditoría cuando un usuario reinicia o apaga el equipo o cuando se produce un evento que afecta a la seguridad del sistema o al registro de seguridad.
• Si define esta configuración de directiva, puede especificar si auditar los aciertos, los errores o no auditar ningún tipo de evento
Auditar la administración de cuentas
• Esta configuración de seguridad determina si debe auditarse cada evento de administración de cuentas en un equipo. Ejemplos de eventos de administración de cuentas:
• Se crea, cambia o elimina un grupo o una cuenta de usuario.
• Se cambia el nombre de una cuenta, se deshabilita o se habilita.
• Se establece o se cambia una contraseña.• Si define esta configuración de directiva,
puede especificar si auditar los aciertos, los errores o no auditar ningún tipo de evento.