Expo auditoria carlos iberico

237 visualizaciones

Publicado el

0 comentarios
0 recomendaciones
Estadísticas
Notas
  • Sé el primero en comentar

  • Sé el primero en recomendar esto

Sin descargas
Visualizaciones
Visualizaciones totales
237
En SlideShare
0
De insertados
0
Número de insertados
24
Acciones
Compartido
0
Descargas
4
Comentarios
0
Recomendaciones
0
Insertados 0
No insertados

No hay notas en la diapositiva.

Expo auditoria carlos iberico

  1. 1. Carlos iberico
  2. 2. Introducción a auditoria
  3. 3. Objetivo:  Es recomendable utilizarla, ella nos puede ayudar a diagnosticar los problemas y determinar la causa, y por supuesto con la protección de nuestros servidores y nuestra red.  Obviamente el abuso de este tipo de herramientas no es recomendable y puede ser contraproducente, ya que estaríamos teniendo gran cantidad de eventos con información que si no la utilizamos no sirve de nada, y encontrar los eventos que necesitemos será muy difícil y llevara mucho tiempo.
  4. 4. Auditoria Descripción :  Una auditoria hace un registro del seguimiento de los sucesos correctos y erróneos dentro de un dominio. Por ejemplo la modificación de un archivo o una directiva. Todo esto se registra en un registro de auditoria. Esta muestra la acción que se ha llevado a cabo, la cuenta del usuario la cual ha hecho el suceso y demás datos como la fecha y la hora en que se llevó a cabo el suceso.  La auditoría también identifica el uso no autorizado de recursos dentro de una red y por eso es importante dentro de un esquema de seguridad.
  5. 5. Tipos de auditoria  Auditoría Interna Es aquella que se hace con el personal de una misma empresa. Es decir no vienen personas de otra entidad para hacer el control.  Auditoría Externa Como su nombre lo dice es aquella en la cual la empresa contrata personal de afuera, de otras entidades para que se encarguen de su auditoría. Here comes your footer  Page 5
  6. 6. Directivas de auditoría
  7. 7. Categorias (Tipo) de Auditorias  Auditar sucesos de inicio de sesión de cuenta  USO: registrar el inicio y cierre de sesión de un equipo diferente al servidor del dominio.  NOTA: se registrar cada inicio de sesión de cada usuario que pertenece al dominio.  PREDETERMINADO: Auditar correctos (Success).
  8. 8.  Auditar la administración de cuentas  USO: Registra si se crea-cambia-elimina un usuario o grupo, se cambia el nombre de un usuario o se establece su contraseña o su estado cambia de activo a inactivo y viceversa.  NOTA: Permite el seguimiento de las personas que configuran usuarios.  PREDETERMINADO: Auditar Correctos (SUCCESS) en dominio.
  9. 9.  Auditar el acceso del servicio de directorio  USO: Registra los sucesos sobre objetos de Active Directory y su lista SACL:  NOTA: Esta auditoria genera un gran numero de entradas en los registros.  PREDETERMINADO: Indefinido.
  10. 10.  Auditar sucesos de inicio de sesión  USO: Registra los sucesos de inicio y cierre de sesión en cada instancia de un usuario.  NOTA: Cada instancia se diferencia en identificación en red u otros equipos.  PREDETERMINADO: Correcto (Success).
  11. 11.  Auditar el acceso a objetos  USO: Registra cuando un usuario accede a una carpeta, archivos, clave de registros, impresora, etc.  NOTA: Considere si realmente se necesita auditar estos sucesos por el volumen de entradas que genera.  PREDETERMINADO: Sin auditoria
  12. 12.  Auditar el cambio de directivas  USO: Registra los sucesos cuando hay cambios en los derechos de usuario.  NOTA: Ofrece información de utilidad para las cuentas y para la investigación.  PREDETERMINADO: Sin auditoria
  13. 13.  Auditar el uso de privilegios  USO: Registra los sucesos cuando se ejecutan un derecho de usuario.  NOTA: Genera grandes volúmenes de registros y su clasificación en de alta dificultad.  PREDETERMINADO: Sin auditoria
  14. 14.  Auditar el seguimiento de procesos  USO: Registra los sucesos como activación de programas, salida de procesos.  NOTA: Configuración genera una gran cantidad de registros, es por este motivo que generalmente no se activa.  PREDETERMINADO: Sin auditoria
  15. 15. Configuración de auditoria en Windows server 2008 Here comes your footer  Page 15
  16. 16. Auditar el acceso a objetos El valor de configuración Auditar el acceso a objetos determina si se debe auditar el suceso de un usuario que obtiene acceso a un objeto como, por ejemplo, un archivo, una carpeta, una clave de Registro, una impresora, etc., que tiene su propia lista de control de acceso al sistema especificada. Auditar el seguimiento de procesos El valor de configuración Auditar el seguimiento de procesos determina si se debe auditar información de seguimiento detallada de sucesos como la activación de programas, la salida de procesos, la duplicación de identificadores y el acceso indirecto a objetos. Auditar sucesos del sistema El valor de configuración Auditar sucesos del sistema determina si se debe auditar el reinicio o cierre de un equipo realizado por un usuario o un suceso que afecte a la seguridad del sistema o al registro de seguridad.
  17. 17. PASO 1 Para la configuración de auditoria en Windows Server 2003 se tiene que dirigir en la opción Directiva de Seguridad de Dominio. Para lo cual ingresar en la Opción Usuarios y Equipos de Active Directory, luego en Domain Controllers, clic derecho propiedades, Directiva de grupo y Editar.  Configuración de Seguridad  - - Directivas Locales - Directiva de Auditoría
  18. 18. PASO 2 Configuración de Auditoria de acceso a Objeto Esta configuración de seguridad determina si se debe auditar el suceso de un usuario que obtiene acceso a un objeto (por ejemplo, un archivo, carpeta, clave del Registro, impresora, etc.). La configuración es simple como se muestra en la imagen.
  19. 19. Configuración de Auditar sucesos de inicio de sesión de cuenta Los inicios de sesión que utilizan una cuenta de dominio generan un suceso de inicio o cierre de sesión en la estación de trabajo o servidor, y generan un suceso de inicio de sesión de cuenta en el controlador de dominio.
  20. 20. PASO 3 Ahora creamos un Usuario llamado Hugo Beltran para realizar las pruebas . Luego en la unidad C: creamos una carpeta llamada Prueba, lo compartimos, le asignamos permisos para que el usuario Hugo Beltran pueda acceder a esta carpeta y auditamos al usuario. En la pestaña de Seguridad ir al botón Opciones Avanzadas. Luego ir a la pestaña Auditoría y agregar al usuario.
  21. 21. PASO--4 Luego en el equipo cliente miembro del dominio, primero iniciamos sesión con el usuario Hugo Beltran y en la primera instancia ingresamos contraseña errónea, para luego visualizarlo en el visor de eventos, luego ingresamos la contraseña correcta. Después accedemos a la carpeta compartida.
  22. 22. Como se puede apreciar en la imagen muestra todos los sucesos. Para un mejor orden se empleara el filtro en el suceso de Seguridad. En la ventana de propiedades de Seguridad se tiene varias opciones, en la cual facilita la auditoria.

×