El documento describe la auditoría en Windows Server 2008 R2. La auditoría registra eventos correctos e incorrectos dentro de un dominio para propósitos de seguridad e identificación de uso no autorizado de recursos. Se implementa configurando las categorías de eventos a auditar en la directiva de auditoría, como inicios de sesión, administración de cuentas y acceso a objetos. Los eventos auditados se almacenan en el registro de seguridad para su revisión.
2. Una auditoria hace un registro del seguimiento de los
sucesos correctos y erróneos dentro de un dominio. Por
ejemplo la modificación de un archivo o una directiva.
Todo esto se registra en un registro de auditoria. Esta
muestra la acción que se ha llevado a cabo, la cuenta
del usuario la cual ha hecho el suceso y demás datos
como la fecha y la hora en que se llevó a cabo el suceso.
La auditoría también identifica el uso no autorizado de
recursos dentro de una red y por eso es importante
dentro de un esquema de seguridad.
AUDITORIA EN WINDOWS
SERVER 2008 R2
3. PRINCIPALES OBJETIVOS QUE CONSTITUYEN LA
AUDITORÍA
El control de la función informática.
El análisis de la eficacia del Sistema Informático.
La verificación de la implantación de la
Normativa.
La revisión de la gestión de los recursos
informáticos.
AUDITORIA EN WINDOWS
SERVER 2008 R2
5. Para la implementación de un sistema o servicio de Auditoria
necesitamos un Diseño del Plan de Auditoría.
Diseñar un Plan de Auditoría
Implementar el plan ya diseñado
Visor de Sucesos
Requisitos para una Auditoría
Registro de Seguridad
Monitorización de recursos de red
AUDITORIA EN WINDOWS
SERVER 2008 R2
6. El plan de auditoria es utilizado para seleccionar los tipos de
sucesos de seguridad que se van a registrar en una red. Los
sucesos aparecerán en el registro de seguridad de los
servidores con la herramienta administrativa que audite los
sucesos.
Hacer un seguimiento del éxito o el fracaso de los sucesos,
como cuando los usuarios inician sesiones, el intento de
un usuario concreto de leer un archivo especifico.
Determinar las alteraciones de usuarios, grupos y
normativas de seguridad, directivas de grupo (GPO) etc.
Eliminar o minimizar el riesgo del uso no autorizado de los
recursos.
AUDITORIA EN WINDOWS
SERVER 2008 R2
7. Los planes de auditoria se establecen equipo por equipo.
Por ejemplo, para auditar sucesos que ocurren en un
servidor, como inicios de sesión de los usuarios y cambios
realizados a las cuentas de usuarios deben establecer un
plan de auditoria en ese servido
AUDITORIA EN WINDOWS
SERVER 2008 R2
8. Sólo los administradores pueden configurar la auditoria
en archivos, directorios e impresoras de controladores
de dominio.
Los miembros tanto del grupo Administradores como el
grupo Operadores del servidor pueden ver y archivar
los registros de seguridad, así como realizar otras tareas
administrativas una vez establecida la auditoria.
Solo puede auditar archivos y directorios de volúmenes
NTFS.
AUDITORIA EN WINDOWS
SERVER 2008 R2
9. El visor de sucesos es una herramienta que proporciona
información acerca de errores, advertencias y el resultado
correcto o incorrecto de una tarea. Esta información se
almacena en tres tipos de registro:
Sistema: contiene errores, advertencias generadas por
el sistema operativo.
Seguridad: contiene información acerca del éxito o el
fracaso de los sucesos auditados.
Aplicaciones: contiene errores, advertencias o
información generada por los programas de sucesos
esta pre configurada por el programador del programa.
AUDITORIA EN WINDOWS
SERVER 2008 R2
10. Consiste en una base de datos donde se guardan todos los
sucesos que se están auditando en el equipo local, pero
puede verlos desde cualquier equipo todos aquellos que
tengan privilegios administrativos
se almacenan tres tipos de información
Sistema
Seguridad
Aplicaciones
AUDITORIA EN WINDOWS
SERVER 2008 R2
11. Los recursos de la red se autorizan para evaluar y después
administrar el uso de los recursos en servidores de red. Por
ejemplo, se puede ver si un usuario está conectado a un
archivo al que otro usuario está intentando tener acceso.
Durante la administración de servidores se pueden realizar
las siguientes tareas:
Ver lista de usuarios conectados
Ver y administrar recursos compartidos
Ver los recursos abiertos
Enviar mensajes a los usuarios conectados
Crear lista de usuarios que recibirán alertas.
AUDITORIA EN WINDOWS
SERVER 2008 R2
12. TIPOS DE AUDITORIA
AUDITORÍA INTERNA
Es aquella que se hace con el personal de una misma
empresa. Es decir no vienen personas de otra entidad para
hacer el control.
AUDITORÍA EXTERNA
Como su nombre lo dice es aquella en la cual la empresa
contrata personal de afuera, de otras entidades para que
se encarguen de su auditoría
AUDITORIA EN WINDOWS
SERVER 2008 R2
13. Configuración de las directivas de auditoria
Antes de implementar una auditoría, debe tomar una
decisión sobre una directiva de auditoría. Una directiva de
auditoría especifica las categorías de eventos relacionados
con la seguridad que desea auditar. Cuando esta versión de
Windows se instala por primera vez, todas las categorías de
auditoría están deshabilitadas. Al habilitar varias categorías
de eventos de auditoría, puede implementar una directiva de
auditoría apropiada para las necesidades de seguridad de su
organización.
AUDITORIA EN WINDOWS
SERVER 2008 R2
14. Las categorías de eventos que puede elegir para auditar
son:
Auditar eventos de inicio de sesión de cuenta
Auditar la administración de cuentas
Auditar el acceso del servicio de directorio
Auditar eventos de inicio de sesión
Auditar el acceso a objetos
Auditar el cambio de directivas
Auditar el uso de privilegios
Auditar el seguimiento de procesos
Auditar eventos del sistema
AUDITORIA EN WINDOWS
SERVER 2008 R2
15. Valores de las directivas de auditoria
Las vulnerabilidades, contramedidas y posibles impactos de
todos los valores de configuración de auditoría son idénticos,
por lo que sólo se detallan una vez en los siguientes párrafos.
Debajo de esos párrafos se incluyen breves explicaciones de
cada valor. Las opciones para los valores de configuración de
auditoría son:
Correcto
Error
Sin auditoria
AUDITORIA EN WINDOWS
SERVER 2008 R2
17. Dentro de Directiva Local, nos dirigimos a la opción Directiva
de Auditoria, que se encuentra dentro de Directivas locales
AUDITORIA EN WINDOWS
SERVER 2008 R2