SlideShare una empresa de Scribd logo

Auditoria en windows server final

Descargar como DOCX, PDF
Rodrigo Sánchez Matos
Rodrigo Sánchez Matos
1 de 17
Auditoria en Windows Server 2008 R2– Rodrigo Martín Sánchez Matos 1
Auditoria en Windows Server 2008 R2– Rodrigo Martín Sánchez Matos 2 Contenido Contenido 1.Introduccion A. Configuración de las directivas de auditoria. B. Valores de las directivas de auditoria en Windows server 2.Implementación de Auditoria en Windows Server 2008 R2 3. Casos prácticos sobre auditoria. 4. Lista de ID de suceso 5.Bibliografia
Auditoria en Windows Server 2008 R2– Rodrigo Martín Sánchez Matos 3 Directivas de auditoria en Windows Server: 1. Introducción : Una auditoria hace un registro del seguimiento de los sucesos correctos y erróneos dentro de un dominio. Por ejemplo la modificación de un archivo o una directiva. Todo esto se registra en un registro de auditoria. Esta muestra la acción que se ha llevado a cabo, la cuenta del usuario la cual hahecho el suceso y demás datos como la fecha y la hora en que se llevó a cabo el suceso. La auditoría también identifica el uso no autorizado de recursos dentro de una red y por eso es importante dentro de un esquema de seguridad. Normalmente, el registro de un error puede ser de mucha más ayuda que uno de éxito, esto ya que si un usuario inicia sesión correctamente en el sistema, puede considerarse como algo normal. Pero si un usuario intenta sin éxito iniciar sesión en un sistema varias veces, esto puede indicar que alguien está intentando obtener acceso al sistema utilizando el Id. de usuario de otra persona. Todos estos sucesos se registran en la auditoria. Todas estas configuraciones se pueden dar en: Configuración de equipoConfiguración de WindowsConfiguración de seguridadDirectivas localesDirectiva de auditoría. A. Configuración de las directivas de auditoria : • Auditar sucesos de inicio de sesión de cuenta • Auditar la administración de cuentas • Auditar el acceso del servicio de directorio • Auditar sucesos de inicio de sesión • Auditar el acceso a objetos • Auditar el cambio de directivas • Auditar el uso de privilegios • Auditar el seguimiento de procesos • Auditar sucesos del sistema B. Valores de las directivas de auditoria en servidores Windows Server Las vulnerabilidades, contramedidas y posibles impactos de todos los valores de configuración de auditoría son idénticos, por lo que sólo se detallan una vez en los siguientes párrafos. Debajo de esos párrafos se incluyen breves explicaciones de cada valor. Las opciones para los valores de configuración de auditoría son: • Correcto • Erróneo • Sin auditoría
Auditoria en Windows Server 2008 R2– Rodrigo Martín Sánchez Matos 4 2. Ejemplo de Implementación de Auditoria básica en Windows Server 2008 R2 En este caso de ejemplo básico se verá la configuración de auditoria para el inicio de sesión de usuario en el SO Windows Server 2008 R2. A. Primero tenemos que tener un DC y una maquina cliente para hacer las pruebas correspondientes. B. Nos dirigimos al servidor DC y vamos a Inicio – Herramientas Administrativas – Herramientas de seguridad Local. C. Dentro de Directiva Local, nos dirigimos a la opción Directiva de Auditoria, que se encuentra dentro de Directivas locales y hacemos clic.
Auditoria en Windows Server 2008 R2– Rodrigo Martín Sánchez Matos 5 D. En las Directivas de Auditoria veremos 9 opciones de Auditoria, de ellas vamos a configurar 5 opciones : i. Auditar el acceso a objetos. ii. Auditar el seguimiento de proceso. iii. Auditar eventos de inicio de sesión. iv. Auditar eventos de inicio de sesión de cuentas. v. Auditar la administración de cuentas. E. En todas estas opciones las habilitaremos en intentos erróneos y correctos. i. Erróneo: Se mostraran acciones equivocadas o que no resulten, como inicio de sesión fallido. ii. Correcto: Se mostraran acciones que acierten, es decir inicio de sesión correctos.
Auditoria en Windows Server 2008 R2– Rodrigo Martín Sánchez Matos 6 F. Ahora que hemos activado la auditoria, vamos a crear un usuario para auditarlo.
Auditoria en Windows Server 2008 R2– Rodrigo Martín Sánchez Matos 7 G. Una vez creado el usuario vamos a hacer la prueba, para esto vamos al SO cliente (Antes se tiene que haber unido al dominio), y luego iniciar sesión con el usuario creado. H. Ahora en nuestro DC, nos dirigimos al visor de eventos, ya que ahí es donde se guarda el seguimiento que se está haciendo al usuario. Para esto vamos a Inicio – Equipo – Administrar. I. En Administrador del servidor, vamos a Diagnostico – Registro de Windows – Seguridad.
Auditoria en Windows Server 2008 R2– Rodrigo Martín Sánchez Matos 8 J. Desde aquí se puede ver el resultado de la auditoria, esto se actualiza automáticamente, como se puede ver hay un eventos que es de auditoria correcta que como podemos ver es del inicio de sesión de la cuenta kchavez. K. Como se pudo ver la directiva de auditoria, mostro un resultado que es el inicio de sesión ene l SO cliente, un Windows XP en nuestro ejemplo. Con el usuario kchavez.
Auditoria en Windows Server 2008 R2– Rodrigo Martín Sánchez Matos 9 3. Casos prácticos sobre auditoria. A. Caso práctico N° 1 : i. Reseña: En el área de RRHH de la empresa RODRIGO INC, se ha contratado a una nueva empleada llamada Karla Chávez, esta nueva empleada que esta como practicante se le ha suministrado un usuario para que pueda ingresar al dominio. Resulta algo curioso ya que desde que se le brindo el usuario a la asistente. Se ha empezado a ver que alguien está ingresando con un usuario de la jefa de RRHH. Se presume que es la nueva asistenta ya que ella tiene acceso a todos los recursos de la jefa de RRHH ya que ella responde directamente y maneja las cosas de la jefa de RRHH Carla Alva. ii. Auditoria : 1. Primero vamos a registrar las opciones a auditar. Para esto vamos a Directiva de seguridad local – Configuración de directiva de auditoria avanzada.
Auditoria en Windows Server 2008 R2– Rodrigo Martín Sánchez Matos 10 2. Ahora va mostrar las opciones avanzadas para hacer auditoria. Dentro de ellas configuraremos las siguientes opciones : a. Inicio de sesión de cuentas. i. Auditar validación de credenciales. ii. Auditar servicio de autenticación kerberos.
Auditoria en Windows Server 2008 R2– Rodrigo Martín Sánchez Matos 11 iii. Auditar operaciones de vales de servicio kerberos. iv. Auditar otros eventos de inicio de sesión de cuentas.
Auditoria en Windows Server 2008 R2– Rodrigo Martín Sánchez Matos 12 b. Inicio y cierre de sesión. i. Auditar cierre de sesión. ii. Auditar inicio de sesión.
Auditoria en Windows Server 2008 R2– Rodrigo Martín Sánchez Matos 13 iii. Auditar otros eventos de inicio y cierre de sesión. iv. Auditar inicio de sesión especial.
Auditoria en Windows Server 2008 R2– Rodrigo Martín Sánchez Matos 14 3. Una vez que ya indicamos las opciones a auditar. Ahora vamos al visor de eventos para ver los resultados de la auditoria. 4. Ahora nos fijamos que bien que el visor de eventos nos muestra la auditoria que se está haciendo a la red. Ahora vemos algunos casos como un inicio de sesión que está fallando repetitivamente.
Auditoria en Windows Server 2008 R2– Rodrigo Martín Sánchez Matos 15 5. Como se ha podido ver se ha visto que varias veces la cuenta está haciendo usada pero como no saben la contraseña de ella, no ingresan pero se está registrando todo. 6. Por lo que vemos en ese momento justo también está ingresando el usuario de la asistenta Karla Chávez, es extraño ya que ella es la única que se ha quedado en ese horario, ya que en esa hora todos están en horario de descanso.
Auditoria en Windows Server 2008 R2– Rodrigo Martín Sánchez Matos 16 7. Se puede llegar a la conclusión de que al parecer la asistenta está intentando acceder con la cuenta de la jefa de RRHH. 4. Identificadores de eventos : Sucesos de acceso a objetos Descripción 560 Se ha concedido acceso a un objeto ya existente. 562 Se ha cerrado un identificador de objeto. 563 Se intentó abrir un objeto con la intención de eliminarlo. 564 Se ha eliminado un objeto protegido. 565 Se ha concedido acceso a un tipo de objeto ya existente. 567 Se ha utilizado un permiso asociado a un identificador. 568 Se intentó crear un vínculo físico a un archivo que se está auditando. 569 El administrador de recursos del Administrador de autorización intentó crear un contexto de cliente. 570 Un cliente ha intentado tener acceso a un objeto. 571 El contexto de cliente fue eliminado por la aplicación Administrador de autorización 572 El administrador de administradores ha inicializado la aplicación. 772 El administrador de certificados denegó una solicitud de certificado pendiente 773 Servicios de Certificate Server recibió una solicitud de certificado reenviada 774 Servicios de Certificate Server revocó un certificado. 775 Servicios de Certificate Server recibió una solicitud para publicar la lista de revocación de certificados (CRL). 776 Servicios de Certificate Server publicó la lista de revocación de certificados (CRL). 777 Se ha realizado una extensión de solicitud de certificados. 778 Se modificaron uno o más atributos de solicitud de certificados. 779 Servicios de Certificate Server recibió una solicitud para cerrar. 780 La copia de seguridad de Servicios de Certificate Server se ha iniciado. 781 La copia de seguridad de Servicios de Certificate Server ha finalizado. 782 La restauración de Servicios de Certificate Server ha comenzado. 783 La restauración de Servicios de Certificate Server ha finalizado. 784 Servicios de Certificate Server iniciados. 785 Servicios de Certificate Server detenidos. 786 Los permisos de seguridad para Servicios de Certificate Server han cambiado. 787 Servicios de Certificate Server ha recuperado una clave archivada.
Auditoria en Windows Server 2008 R2– Rodrigo Martín Sánchez Matos 17 788 Servicios de Certificate Server ha importado un certificado en su base de datos. 789 El filtro de auditoría para Servicios de Certificate Server ha cambiado. 790 Servicios de Certificate Server ha recibido una solicitud de certificado. 791 Servicios de Certificate Server ha aprobado certificado solicitado y ha emitido un certificado. 792 Servicios de Certificate Server ha denegado una petición de certificado. 793 Servicios de Certificate Server estableció el estado de una solicitud de certificado como pendiente. 794 La configuración del administrador de certificados para Servicios de Certificate Server ha cambiado. 795 Una entrada de configuración en Servicios de Certificate Server ha cambiado. 796 Una propiedad de Servicios de Certificate Server ha cambiado. 797 Servicios de Certificate Server archivó una clave. 798 Servicios de Certificate Server importó y archivó una clave. 799 Servicios de Certificate Server publicó un certificado. 800 Una o más filas se han eliminado de la base de datos de certificados. 801 Separación de funciones habilitada. 5. Bibliografía : A. http://technet.microsoft.com

Recomendados

Expo auditoria
Expo auditoriaExpo auditoria
Expo auditoriaRodrigo Sánchez Matos
 
Auditoria server 2008 r2
Auditoria server 2008 r2Auditoria server 2008 r2
Auditoria server 2008 r2Frank Reynaldo Mamani Pocco
 
Auditoria en Windows Server 2008R2 - ElvisRaza
Auditoria en Windows Server 2008R2 - ElvisRazaAuditoria en Windows Server 2008R2 - ElvisRaza
Auditoria en Windows Server 2008R2 - ElvisRazaElvis Raza
 
Auditoria en windows server 2008
Auditoria en windows server 2008Auditoria en windows server 2008
Auditoria en windows server 2008Paolo ViaYrada
 
Auditoria en win server 2008
Auditoria en win server 2008Auditoria en win server 2008
Auditoria en win server 2008Saul Curitomay
 
Auditoría en windows server 2008
Auditoría en windows server 2008Auditoría en windows server 2008
Auditoría en windows server 2008Larry Ruiz Barcayola
 
Auditoría Windows server 2008
Auditoría Windows server 2008Auditoría Windows server 2008
Auditoría Windows server 2008Luis Asencio
 
Auditoria en windows server 2008
Auditoria en windows server 2008Auditoria en windows server 2008
Auditoria en windows server 2008Luis Mario Pastrana Torres
 

Recomendados

Expo auditoria
Expo auditoriaExpo auditoria
Expo auditoriaRodrigo Sánchez Matos
 
Auditoria server 2008 r2
Auditoria server 2008 r2Auditoria server 2008 r2
Auditoria server 2008 r2Frank Reynaldo Mamani Pocco
 
Auditoria en Windows Server 2008R2 - ElvisRaza
Auditoria en Windows Server 2008R2 - ElvisRazaAuditoria en Windows Server 2008R2 - ElvisRaza
Auditoria en Windows Server 2008R2 - ElvisRazaElvis Raza
 
Auditoria en windows server 2008
Auditoria en windows server 2008Auditoria en windows server 2008
Auditoria en windows server 2008Paolo ViaYrada
 
Auditoria en win server 2008
Auditoria en win server 2008Auditoria en win server 2008
Auditoria en win server 2008Saul Curitomay
 
Auditoría en windows server 2008
Auditoría en windows server 2008Auditoría en windows server 2008
Auditoría en windows server 2008Larry Ruiz Barcayola
 
Auditoría Windows server 2008
Auditoría Windows server 2008Auditoría Windows server 2008
Auditoría Windows server 2008Luis Asencio
 
Auditoria en windows server 2008
Auditoria en windows server 2008Auditoria en windows server 2008
Auditoria en windows server 2008Luis Mario Pastrana Torres
 
Administración de configuraciones de seguridad en windows server con group po...
Administración de configuraciones de seguridad en windows server con group po...Administración de configuraciones de seguridad en windows server con group po...
Administración de configuraciones de seguridad en windows server con group po...Miguel de la Cruz
 
10. Sofware de auditoria de sistemas
10. Sofware de auditoria de sistemas10. Sofware de auditoria de sistemas
10. Sofware de auditoria de sistemasHector Chajón
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemasAndres Suban
 
Alcance y objetivos de la auditoria informática
Alcance y objetivos de la auditoria informáticaAlcance y objetivos de la auditoria informática
Alcance y objetivos de la auditoria informáticaMarcelo821810
 
Control interno informatico
Control interno informaticoControl interno informatico
Control interno informaticonehifi barreto
 
AI07 Auditoria proceso desarrollo software
AI07 Auditoria proceso desarrollo softwareAI07 Auditoria proceso desarrollo software
AI07 Auditoria proceso desarrollo softwarePedro Garcia Repetto
 
auditoria de Seguridad de redes
auditoria de Seguridad de redesauditoria de Seguridad de redes
auditoria de Seguridad de redesJerich Chavarry
 
Microsoft exchange server 2010
Microsoft exchange server 2010Microsoft exchange server 2010
Microsoft exchange server 2010Rodrigo Sánchez Matos
 
Microsoft tmg server 2010
Microsoft tmg server 2010Microsoft tmg server 2010
Microsoft tmg server 2010Rodrigo Sánchez Matos
 
Exposición exchange
Exposición exchangeExposición exchange
Exposición exchangeRodrigo Sánchez Matos
 
Exposición tmg
Exposición tmgExposición tmg
Exposición tmgRodrigo Sánchez Matos
 
Manual Instalación y Configuración Firewall TMG
Manual Instalación y Configuración Firewall TMGManual Instalación y Configuración Firewall TMG
Manual Instalación y Configuración Firewall TMGcyberleon95
 
Introducción exchange 2010
Introducción exchange 2010Introducción exchange 2010
Introducción exchange 2010Cation1510
 
Forefront threat management gateway(TMG 2010)
Forefront threat management gateway(TMG 2010)Forefront threat management gateway(TMG 2010)
Forefront threat management gateway(TMG 2010)Larry Ruiz Barcayola
 
MCJ158s MMC PPT
MCJ158s MMC PPTMCJ158s MMC PPT
MCJ158s MMC PPTAngel Ramirez
 
EXCHANGE SERVER 2010
EXCHANGE SERVER 2010EXCHANGE SERVER 2010
EXCHANGE SERVER 2010Saul Curitomay
 
Auditoria h beltran
Auditoria h beltranAuditoria h beltran
Auditoria h beltranCation1510
 
Microsoft forefront threat management gateway 2010
Microsoft forefront threat management gateway 2010Microsoft forefront threat management gateway 2010
Microsoft forefront threat management gateway 2010Luis Maza
 
Implementacion de tmg
Implementacion de tmgImplementacion de tmg
Implementacion de tmgKrlitOz Ramirez Ramos
 
Forefront TMG 2010
Forefront TMG 2010 Forefront TMG 2010
Forefront TMG 2010 Hugo Rios
 
Proxy Microsoft Forefront TMG 2010
Proxy Microsoft Forefront TMG 2010Proxy Microsoft Forefront TMG 2010
Proxy Microsoft Forefront TMG 2010Andrez12
 
Firewall Microsoft Forefront TMG 2010
Firewall Microsoft Forefront TMG 2010Firewall Microsoft Forefront TMG 2010
Firewall Microsoft Forefront TMG 2010Andrez12
 

Más contenido relacionado

La actualidad más candente

Administración de configuraciones de seguridad en windows server con group po...
Administración de configuraciones de seguridad en windows server con group po...Administración de configuraciones de seguridad en windows server con group po...
Administración de configuraciones de seguridad en windows server con group po...Miguel de la Cruz
 
10. Sofware de auditoria de sistemas
10. Sofware de auditoria de sistemas10. Sofware de auditoria de sistemas
10. Sofware de auditoria de sistemasHector Chajón
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemasAndres Suban
 
Alcance y objetivos de la auditoria informática
Alcance y objetivos de la auditoria informáticaAlcance y objetivos de la auditoria informática
Alcance y objetivos de la auditoria informáticaMarcelo821810
 
Control interno informatico
Control interno informaticoControl interno informatico
Control interno informaticonehifi barreto
 
AI07 Auditoria proceso desarrollo software
AI07 Auditoria proceso desarrollo softwareAI07 Auditoria proceso desarrollo software
AI07 Auditoria proceso desarrollo softwarePedro Garcia Repetto
 
auditoria de Seguridad de redes
auditoria de Seguridad de redesauditoria de Seguridad de redes
auditoria de Seguridad de redesJerich Chavarry
 

La actualidad más candente (7)

Administración de configuraciones de seguridad en windows server con group po...
Administración de configuraciones de seguridad en windows server con group po...Administración de configuraciones de seguridad en windows server con group po...
Administración de configuraciones de seguridad en windows server con group po...
 
10. Sofware de auditoria de sistemas
10. Sofware de auditoria de sistemas10. Sofware de auditoria de sistemas
10. Sofware de auditoria de sistemas
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemas
 
Alcance y objetivos de la auditoria informática
Alcance y objetivos de la auditoria informáticaAlcance y objetivos de la auditoria informática
Alcance y objetivos de la auditoria informática
 
Control interno informatico
Control interno informaticoControl interno informatico
Control interno informatico
 
AI07 Auditoria proceso desarrollo software
AI07 Auditoria proceso desarrollo softwareAI07 Auditoria proceso desarrollo software
AI07 Auditoria proceso desarrollo software
 
auditoria de Seguridad de redes
auditoria de Seguridad de redesauditoria de Seguridad de redes
auditoria de Seguridad de redes
 

Destacado

Manual Instalación y Configuración Firewall TMG
Manual Instalación y Configuración Firewall TMGManual Instalación y Configuración Firewall TMG
Manual Instalación y Configuración Firewall TMGcyberleon95
 
Introducción exchange 2010
Introducción exchange 2010Introducción exchange 2010
Introducción exchange 2010Cation1510
 
Forefront threat management gateway(TMG 2010)
Forefront threat management gateway(TMG 2010)Forefront threat management gateway(TMG 2010)
Forefront threat management gateway(TMG 2010)Larry Ruiz Barcayola
 
Auditoria h beltran
Auditoria h beltranAuditoria h beltran
Auditoria h beltranCation1510
 
Microsoft forefront threat management gateway 2010
Microsoft forefront threat management gateway 2010Microsoft forefront threat management gateway 2010
Microsoft forefront threat management gateway 2010Luis Maza
 
Forefront TMG 2010
Forefront TMG 2010 Forefront TMG 2010
Forefront TMG 2010 Hugo Rios
 
Proxy Microsoft Forefront TMG 2010
Proxy Microsoft Forefront TMG 2010Proxy Microsoft Forefront TMG 2010
Proxy Microsoft Forefront TMG 2010Andrez12
 
Firewall Microsoft Forefront TMG 2010
Firewall Microsoft Forefront TMG 2010Firewall Microsoft Forefront TMG 2010
Firewall Microsoft Forefront TMG 2010Andrez12
 
Configuración VPN de Acceso remoto con TMG
Configuración VPN de Acceso remoto con TMGConfiguración VPN de Acceso remoto con TMG
Configuración VPN de Acceso remoto con TMGcyberleon95
 
Implementacion de servidor tmg 2010
Implementacion de servidor tmg 2010Implementacion de servidor tmg 2010
Implementacion de servidor tmg 2010Alberto Cachetito
 

Destacado (18)

Microsoft exchange server 2010
Microsoft exchange server 2010Microsoft exchange server 2010
Microsoft exchange server 2010
 
Microsoft tmg server 2010
Microsoft tmg server 2010Microsoft tmg server 2010
Microsoft tmg server 2010
 
Exposición exchange
Exposición exchangeExposición exchange
Exposición exchange
 
Exposición tmg
Exposición tmgExposición tmg
Exposición tmg
 
Manual Instalación y Configuración Firewall TMG
Manual Instalación y Configuración Firewall TMGManual Instalación y Configuración Firewall TMG
Manual Instalación y Configuración Firewall TMG
 
Introducción exchange 2010
Introducción exchange 2010Introducción exchange 2010
Introducción exchange 2010
 
Forefront threat management gateway(TMG 2010)
Forefront threat management gateway(TMG 2010)Forefront threat management gateway(TMG 2010)
Forefront threat management gateway(TMG 2010)
 
MCJ158s MMC PPT
MCJ158s MMC PPTMCJ158s MMC PPT
MCJ158s MMC PPT
 
EXCHANGE SERVER 2010
EXCHANGE SERVER 2010EXCHANGE SERVER 2010
EXCHANGE SERVER 2010
 
Auditoria h beltran
Auditoria h beltranAuditoria h beltran
Auditoria h beltran
 
Microsoft forefront threat management gateway 2010
Microsoft forefront threat management gateway 2010Microsoft forefront threat management gateway 2010
Microsoft forefront threat management gateway 2010
 
Implementacion de tmg
Implementacion de tmgImplementacion de tmg
Implementacion de tmg
 
Forefront TMG 2010
Forefront TMG 2010 Forefront TMG 2010
Forefront TMG 2010
 
Proxy Microsoft Forefront TMG 2010
Proxy Microsoft Forefront TMG 2010Proxy Microsoft Forefront TMG 2010
Proxy Microsoft Forefront TMG 2010
 
Firewall Microsoft Forefront TMG 2010
Firewall Microsoft Forefront TMG 2010Firewall Microsoft Forefront TMG 2010
Firewall Microsoft Forefront TMG 2010
 
Configuración VPN de Acceso remoto con TMG
Configuración VPN de Acceso remoto con TMGConfiguración VPN de Acceso remoto con TMG
Configuración VPN de Acceso remoto con TMG
 
Antuco1
Antuco1Antuco1
Antuco1
 
Implementacion de servidor tmg 2010
Implementacion de servidor tmg 2010Implementacion de servidor tmg 2010
Implementacion de servidor tmg 2010
 

Similar a Auditoria en windows server final

Expo auditoria carlos iberico
Expo auditoria carlos ibericoExpo auditoria carlos iberico
Expo auditoria carlos ibericoCarlos Iberico
 
Auditoria , directivas de auditoria, configuración de Auditoria
Auditoria , directivas de auditoria, configuración de AuditoriaAuditoria , directivas de auditoria, configuración de Auditoria
Auditoria , directivas de auditoria, configuración de AuditoriaPercy Quintanilla
 
Auditoría de bases de datos
Auditoría de bases de datosAuditoría de bases de datos
Auditoría de bases de datosDaniel Iba
 
Forense en WordPress
Forense en WordPressForense en WordPress
Forense en WordPressQuantiKa14
 
Auditoria de Base de Datos
Auditoria de Base de DatosAuditoria de Base de Datos
Auditoria de Base de DatosMaria Jaspe
 
OAuth 2.0 (Spanish)
OAuth 2.0 (Spanish)OAuth 2.0 (Spanish)
OAuth 2.0 (Spanish)marcwan
 
Seguridad sql server
Seguridad sql serverSeguridad sql server
Seguridad sql serverEfra Paredes
 
Que es una auditoría informática omar moreno
Que es una auditoría informática omar morenoQue es una auditoría informática omar moreno
Que es una auditoría informática omar morenoOmar Moreno Ferro
 
Configuración recomendada de auditoría de eventos
Configuración recomendada de auditoría de eventosConfiguración recomendada de auditoría de eventos
Configuración recomendada de auditoría de eventosvictor bueno
 
Seguridad en las apis desde un punto de vista de developer
Seguridad en las apis desde un punto de vista de developerSeguridad en las apis desde un punto de vista de developer
Seguridad en las apis desde un punto de vista de developerCloudAppi
 
Auditoria juan carlos
Auditoria juan carlosAuditoria juan carlos
Auditoria juan carlosJuancito Rock
 
Expoauditoria 121201010024-phpapp01
Expoauditoria 121201010024-phpapp01Expoauditoria 121201010024-phpapp01
Expoauditoria 121201010024-phpapp01Makiito Quispe
 
Paco Ramirez - M.E.A.T. - Make Enviroment Android Tools [rooted2019]
Paco Ramirez - M.E.A.T. - Make Enviroment Android Tools [rooted2019]Paco Ramirez - M.E.A.T. - Make Enviroment Android Tools [rooted2019]
Paco Ramirez - M.E.A.T. - Make Enviroment Android Tools [rooted2019]RootedCON
 
Argentesting 2018 - Incorporando seguridad a las tareas de testing
Argentesting 2018 - Incorporando seguridad a las tareas de testingArgentesting 2018 - Incorporando seguridad a las tareas de testing
Argentesting 2018 - Incorporando seguridad a las tareas de testingArgentesting
 
Seguridad en aplicaciones web por Diego Rostagnol de Hexa GUG agosto 2013
Seguridad en aplicaciones web por Diego Rostagnol de Hexa GUG agosto 2013Seguridad en aplicaciones web por Diego Rostagnol de Hexa GUG agosto 2013
Seguridad en aplicaciones web por Diego Rostagnol de Hexa GUG agosto 2013Cinthia Soca
 

Similar a Auditoria en windows server final (20)

Expo auditoria carlos iberico
Expo auditoria carlos ibericoExpo auditoria carlos iberico
Expo auditoria carlos iberico
 
Auditoria , directivas de auditoria, configuración de Auditoria
Auditoria , directivas de auditoria, configuración de AuditoriaAuditoria , directivas de auditoria, configuración de Auditoria
Auditoria , directivas de auditoria, configuración de Auditoria
 
Auditoría de bases de datos
Auditoría de bases de datosAuditoría de bases de datos
Auditoría de bases de datos
 
Forense en WordPress
Forense en WordPressForense en WordPress
Forense en WordPress
 
Auditoria de Base de Datos
Auditoria de Base de DatosAuditoria de Base de Datos
Auditoria de Base de Datos
 
Servidor de auditoia y2
Servidor de auditoia y2Servidor de auditoia y2
Servidor de auditoia y2
 
OAuth 2.0 (Spanish)
OAuth 2.0 (Spanish)OAuth 2.0 (Spanish)
OAuth 2.0 (Spanish)
 
Seguridad sql server
Seguridad sql serverSeguridad sql server
Seguridad sql server
 
Que es una auditoría informática omar moreno
Que es una auditoría informática omar morenoQue es una auditoría informática omar moreno
Que es una auditoría informática omar moreno
 
Configuración recomendada de auditoría de eventos
Configuración recomendada de auditoría de eventosConfiguración recomendada de auditoría de eventos
Configuración recomendada de auditoría de eventos
 
Seguridad en las apis desde un punto de vista de developer
Seguridad en las apis desde un punto de vista de developerSeguridad en las apis desde un punto de vista de developer
Seguridad en las apis desde un punto de vista de developer
 
Auditoria juan carlos
Auditoria juan carlosAuditoria juan carlos
Auditoria juan carlos
 
Expoauditoria 121201010024-phpapp01
Expoauditoria 121201010024-phpapp01Expoauditoria 121201010024-phpapp01
Expoauditoria 121201010024-phpapp01
 
Redes
RedesRedes
Redes
 
Directica de auditoria
Directica de auditoriaDirectica de auditoria
Directica de auditoria
 
Paco Ramirez - M.E.A.T. - Make Enviroment Android Tools [rooted2019]
Paco Ramirez - M.E.A.T. - Make Enviroment Android Tools [rooted2019]Paco Ramirez - M.E.A.T. - Make Enviroment Android Tools [rooted2019]
Paco Ramirez - M.E.A.T. - Make Enviroment Android Tools [rooted2019]
 
Argentesting 2018 - Incorporando seguridad a las tareas de testing
Argentesting 2018 - Incorporando seguridad a las tareas de testingArgentesting 2018 - Incorporando seguridad a las tareas de testing
Argentesting 2018 - Incorporando seguridad a las tareas de testing
 
Seguridad en aplicaciones web por Diego Rostagnol de Hexa GUG agosto 2013
Seguridad en aplicaciones web por Diego Rostagnol de Hexa GUG agosto 2013Seguridad en aplicaciones web por Diego Rostagnol de Hexa GUG agosto 2013
Seguridad en aplicaciones web por Diego Rostagnol de Hexa GUG agosto 2013
 
Trabajo final maricarmen
Trabajo final maricarmenTrabajo final maricarmen
Trabajo final maricarmen
 
Informe auditoria base de datos 2016
Informe auditoria base de datos 2016Informe auditoria base de datos 2016
Informe auditoria base de datos 2016
 

Más de Rodrigo Sánchez Matos

Más de Rodrigo Sánchez Matos (7)

Tema 7 final
Tema 7 finalTema 7 final
Tema 7 final
 
Tema 7.docx
Tema 7.docxTema 7.docx
Tema 7.docx
 
Tema 5
Tema 5Tema 5
Tema 5
 
Tema 7
Tema 7Tema 7
Tema 7
 
Tema 1
Tema 1Tema 1
Tema 1
 
Tema 4
Tema 4Tema 4
Tema 4
 
Antenas2
Antenas2Antenas2
Antenas2
 

Auditoria en windows server final

  • 1. Auditoria en Windows Server 2008 R2– Rodrigo Martín Sánchez Matos 1
  • 2. Auditoria en Windows Server 2008 R2– Rodrigo Martín Sánchez Matos 2 Contenido Contenido 1.Introduccion A. Configuración de las directivas de auditoria. B. Valores de las directivas de auditoria en Windows server 2.Implementación de Auditoria en Windows Server 2008 R2 3. Casos prácticos sobre auditoria. 4. Lista de ID de suceso 5.Bibliografia
  • 3. Auditoria en Windows Server 2008 R2– Rodrigo Martín Sánchez Matos 3 Directivas de auditoria en Windows Server: 1. Introducción : Una auditoria hace un registro del seguimiento de los sucesos correctos y erróneos dentro de un dominio. Por ejemplo la modificación de un archivo o una directiva. Todo esto se registra en un registro de auditoria. Esta muestra la acción que se ha llevado a cabo, la cuenta del usuario la cual hahecho el suceso y demás datos como la fecha y la hora en que se llevó a cabo el suceso. La auditoría también identifica el uso no autorizado de recursos dentro de una red y por eso es importante dentro de un esquema de seguridad. Normalmente, el registro de un error puede ser de mucha más ayuda que uno de éxito, esto ya que si un usuario inicia sesión correctamente en el sistema, puede considerarse como algo normal. Pero si un usuario intenta sin éxito iniciar sesión en un sistema varias veces, esto puede indicar que alguien está intentando obtener acceso al sistema utilizando el Id. de usuario de otra persona. Todos estos sucesos se registran en la auditoria. Todas estas configuraciones se pueden dar en: Configuración de equipoConfiguración de WindowsConfiguración de seguridadDirectivas localesDirectiva de auditoría. A. Configuración de las directivas de auditoria : • Auditar sucesos de inicio de sesión de cuenta • Auditar la administración de cuentas • Auditar el acceso del servicio de directorio • Auditar sucesos de inicio de sesión • Auditar el acceso a objetos • Auditar el cambio de directivas • Auditar el uso de privilegios • Auditar el seguimiento de procesos • Auditar sucesos del sistema B. Valores de las directivas de auditoria en servidores Windows Server Las vulnerabilidades, contramedidas y posibles impactos de todos los valores de configuración de auditoría son idénticos, por lo que sólo se detallan una vez en los siguientes párrafos. Debajo de esos párrafos se incluyen breves explicaciones de cada valor. Las opciones para los valores de configuración de auditoría son: • Correcto • Erróneo • Sin auditoría
  • 4. Auditoria en Windows Server 2008 R2– Rodrigo Martín Sánchez Matos 4 2. Ejemplo de Implementación de Auditoria básica en Windows Server 2008 R2 En este caso de ejemplo básico se verá la configuración de auditoria para el inicio de sesión de usuario en el SO Windows Server 2008 R2. A. Primero tenemos que tener un DC y una maquina cliente para hacer las pruebas correspondientes. B. Nos dirigimos al servidor DC y vamos a Inicio – Herramientas Administrativas – Herramientas de seguridad Local. C. Dentro de Directiva Local, nos dirigimos a la opción Directiva de Auditoria, que se encuentra dentro de Directivas locales y hacemos clic.
  • 5. Auditoria en Windows Server 2008 R2– Rodrigo Martín Sánchez Matos 5 D. En las Directivas de Auditoria veremos 9 opciones de Auditoria, de ellas vamos a configurar 5 opciones : i. Auditar el acceso a objetos. ii. Auditar el seguimiento de proceso. iii. Auditar eventos de inicio de sesión. iv. Auditar eventos de inicio de sesión de cuentas. v. Auditar la administración de cuentas. E. En todas estas opciones las habilitaremos en intentos erróneos y correctos. i. Erróneo: Se mostraran acciones equivocadas o que no resulten, como inicio de sesión fallido. ii. Correcto: Se mostraran acciones que acierten, es decir inicio de sesión correctos.
  • 6. Auditoria en Windows Server 2008 R2– Rodrigo Martín Sánchez Matos 6 F. Ahora que hemos activado la auditoria, vamos a crear un usuario para auditarlo.
  • 7. Auditoria en Windows Server 2008 R2– Rodrigo Martín Sánchez Matos 7 G. Una vez creado el usuario vamos a hacer la prueba, para esto vamos al SO cliente (Antes se tiene que haber unido al dominio), y luego iniciar sesión con el usuario creado. H. Ahora en nuestro DC, nos dirigimos al visor de eventos, ya que ahí es donde se guarda el seguimiento que se está haciendo al usuario. Para esto vamos a Inicio – Equipo – Administrar. I. En Administrador del servidor, vamos a Diagnostico – Registro de Windows – Seguridad.
  • 8. Auditoria en Windows Server 2008 R2– Rodrigo Martín Sánchez Matos 8 J. Desde aquí se puede ver el resultado de la auditoria, esto se actualiza automáticamente, como se puede ver hay un eventos que es de auditoria correcta que como podemos ver es del inicio de sesión de la cuenta kchavez. K. Como se pudo ver la directiva de auditoria, mostro un resultado que es el inicio de sesión ene l SO cliente, un Windows XP en nuestro ejemplo. Con el usuario kchavez.
  • 9. Auditoria en Windows Server 2008 R2– Rodrigo Martín Sánchez Matos 9 3. Casos prácticos sobre auditoria. A. Caso práctico N° 1 : i. Reseña: En el área de RRHH de la empresa RODRIGO INC, se ha contratado a una nueva empleada llamada Karla Chávez, esta nueva empleada que esta como practicante se le ha suministrado un usuario para que pueda ingresar al dominio. Resulta algo curioso ya que desde que se le brindo el usuario a la asistente. Se ha empezado a ver que alguien está ingresando con un usuario de la jefa de RRHH. Se presume que es la nueva asistenta ya que ella tiene acceso a todos los recursos de la jefa de RRHH ya que ella responde directamente y maneja las cosas de la jefa de RRHH Carla Alva. ii. Auditoria : 1. Primero vamos a registrar las opciones a auditar. Para esto vamos a Directiva de seguridad local – Configuración de directiva de auditoria avanzada.
  • 10. Auditoria en Windows Server 2008 R2– Rodrigo Martín Sánchez Matos 10 2. Ahora va mostrar las opciones avanzadas para hacer auditoria. Dentro de ellas configuraremos las siguientes opciones : a. Inicio de sesión de cuentas. i. Auditar validación de credenciales. ii. Auditar servicio de autenticación kerberos.
  • 11. Auditoria en Windows Server 2008 R2– Rodrigo Martín Sánchez Matos 11 iii. Auditar operaciones de vales de servicio kerberos. iv. Auditar otros eventos de inicio de sesión de cuentas.
  • 12. Auditoria en Windows Server 2008 R2– Rodrigo Martín Sánchez Matos 12 b. Inicio y cierre de sesión. i. Auditar cierre de sesión. ii. Auditar inicio de sesión.
  • 13. Auditoria en Windows Server 2008 R2– Rodrigo Martín Sánchez Matos 13 iii. Auditar otros eventos de inicio y cierre de sesión. iv. Auditar inicio de sesión especial.
  • 14. Auditoria en Windows Server 2008 R2– Rodrigo Martín Sánchez Matos 14 3. Una vez que ya indicamos las opciones a auditar. Ahora vamos al visor de eventos para ver los resultados de la auditoria. 4. Ahora nos fijamos que bien que el visor de eventos nos muestra la auditoria que se está haciendo a la red. Ahora vemos algunos casos como un inicio de sesión que está fallando repetitivamente.
  • 15. Auditoria en Windows Server 2008 R2– Rodrigo Martín Sánchez Matos 15 5. Como se ha podido ver se ha visto que varias veces la cuenta está haciendo usada pero como no saben la contraseña de ella, no ingresan pero se está registrando todo. 6. Por lo que vemos en ese momento justo también está ingresando el usuario de la asistenta Karla Chávez, es extraño ya que ella es la única que se ha quedado en ese horario, ya que en esa hora todos están en horario de descanso.
  • 16. Auditoria en Windows Server 2008 R2– Rodrigo Martín Sánchez Matos 16 7. Se puede llegar a la conclusión de que al parecer la asistenta está intentando acceder con la cuenta de la jefa de RRHH. 4. Identificadores de eventos : Sucesos de acceso a objetos Descripción 560 Se ha concedido acceso a un objeto ya existente. 562 Se ha cerrado un identificador de objeto. 563 Se intentó abrir un objeto con la intención de eliminarlo. 564 Se ha eliminado un objeto protegido. 565 Se ha concedido acceso a un tipo de objeto ya existente. 567 Se ha utilizado un permiso asociado a un identificador. 568 Se intentó crear un vínculo físico a un archivo que se está auditando. 569 El administrador de recursos del Administrador de autorización intentó crear un contexto de cliente. 570 Un cliente ha intentado tener acceso a un objeto. 571 El contexto de cliente fue eliminado por la aplicación Administrador de autorización 572 El administrador de administradores ha inicializado la aplicación. 772 El administrador de certificados denegó una solicitud de certificado pendiente 773 Servicios de Certificate Server recibió una solicitud de certificado reenviada 774 Servicios de Certificate Server revocó un certificado. 775 Servicios de Certificate Server recibió una solicitud para publicar la lista de revocación de certificados (CRL). 776 Servicios de Certificate Server publicó la lista de revocación de certificados (CRL). 777 Se ha realizado una extensión de solicitud de certificados. 778 Se modificaron uno o más atributos de solicitud de certificados. 779 Servicios de Certificate Server recibió una solicitud para cerrar. 780 La copia de seguridad de Servicios de Certificate Server se ha iniciado. 781 La copia de seguridad de Servicios de Certificate Server ha finalizado. 782 La restauración de Servicios de Certificate Server ha comenzado. 783 La restauración de Servicios de Certificate Server ha finalizado. 784 Servicios de Certificate Server iniciados. 785 Servicios de Certificate Server detenidos. 786 Los permisos de seguridad para Servicios de Certificate Server han cambiado. 787 Servicios de Certificate Server ha recuperado una clave archivada.
  • 17. Auditoria en Windows Server 2008 R2– Rodrigo Martín Sánchez Matos 17 788 Servicios de Certificate Server ha importado un certificado en su base de datos. 789 El filtro de auditoría para Servicios de Certificate Server ha cambiado. 790 Servicios de Certificate Server ha recibido una solicitud de certificado. 791 Servicios de Certificate Server ha aprobado certificado solicitado y ha emitido un certificado. 792 Servicios de Certificate Server ha denegado una petición de certificado. 793 Servicios de Certificate Server estableció el estado de una solicitud de certificado como pendiente. 794 La configuración del administrador de certificados para Servicios de Certificate Server ha cambiado. 795 Una entrada de configuración en Servicios de Certificate Server ha cambiado. 796 Una propiedad de Servicios de Certificate Server ha cambiado. 797 Servicios de Certificate Server archivó una clave. 798 Servicios de Certificate Server importó y archivó una clave. 799 Servicios de Certificate Server publicó un certificado. 800 Una o más filas se han eliminado de la base de datos de certificados. 801 Separación de funciones habilitada. 5. Bibliografía : A. http://technet.microsoft.com