La auditoría en Windows Server 2008 R2 permite registrar eventos de seguridad como modificaciones de archivos o políticas a través de un registro de auditoría. Esto muestra la acción, usuario, fecha y hora. Se requiere un plan de auditoría que incluye diseñar, implementar y monitorear tipos de eventos, así como ver el éxito o fracaso de inicios de sesión y otros eventos a través del visor de eventos y registro de seguridad. Solo los administradores pueden configurar la auditoría.

1. Auditoria en Windows
Server 2008 R2

2. Concepto
• Una auditoria hace un registro del seguimiento de los sucesos correctos y
erróneos dentro de un dominio. Por ejemplo la modificación de un archivo o
una directiva. Todo esto se registra en un registro de auditoria.Esta muestra
la acción que se ah llevado acabo, la cuenta del usuario la cual hecho el
suceso y demás datos como la fecha y la hora en que se llevo acabo el
suceso. La auditoria dentro de una red y por eso es importante dentro de un
esquema de seguridad.

3. Plan de Servicio de Auditoria
•
•
•
•
•
•
•
Para la implementación de un sistema o servicio de Auditoria necesitamos un
Diseño del Plan de Auditoria.
1.-Diseñar un Plan de Auditoria
2.-Implementar el plan ya diseñado
3.-Requisitos para una Auditoria
4.-Visor de Sucesos
5.- Registro de Seguridad
6.-Monitoricion de recursos de red

4. • El plan de audito es utilizado para seleccionar los tipos de sucesos de
seguridad que se van a registrar en una red. Los sucesos aparecerán en el
registro de seguridad de los servidores con la herramienta administrativa
que audite los sucesos.
Hacer un seguimiento del éxito o el fracaso de los sucesos, como cuando los
usuarios inician sesiones, el intento de un usuario concreto de leer un archivo
especifico.
Determinar las alteraciones de usuarios, grupos y normativas seguridad ,
directivas de grupo (GPO) etc.
Eliminar o minimizar el riesgo del uso no autorizado de los recursos

5. • Los planes de auditoria se establecen equipo por equipo.
Por ejemplo, para auditoria sucesos de ocurren en un
servidor, como inicios de sesión de los usuarios y
cambios realizados a las cuentas de usuarios deben
establecer un plan de auditoria en ese servidor.

6. • Solo los administradores pueden configurar la auditoria en
archivos, directorios e impresoras de controladores de dominio.
• Los miembros tanto del grupo Administradores como el grupo
Operadores del servidor pueden ver y archivar los registros
seguridad, así como realizar otras tareas administrativas una vez
establecida la auditoria
• Solo puede auditar archivos y directorios de volúmenes NTFS

7. El visor de sucesos es una herramienta que proporciona
información acerca de errores, advertencias y el resultado correcto
o incorrecto de una tarea. Está información se almacena en tres
tipos de registro:
Sistemas: Contiene errores, advertencias generadas por el sistema
operativo.
Seguridad: Contiene información acerca el éxito o el fracaso de los
sucesos auditados.
Aplicaciones: Contiene errores, advertencias o información
generada por los programas de sucesos esta pre configurada por
los programas de sucesos esta pre configurada por el programador
del programa

8. Consiste en una base de datos donde se guardan todos los sucesos
que se están auditando en el equipo local, pero puede verlos desde
cualquier equipo todos aquellos que tengan privilegios
administrativos se almacenan tres tipos de información:
Sistema
Seguridad
Aplicación

9. Los recursos de la red se autorizan para evaluar y después
administrar el uso de los recursos en servidores de red. Por
ejemplo, se puede ver si un usuario esta conectado a un archivo al
que otro usuario esta intentando tener acceso.
Durante la administración de servidores se pueden realizar las
siguientes tareas:
• Ver listas de usuarios conectados
• Ver y administrar recursos compartidos
• Ver los recursos abiertos
• Enviar mensajes a los usuarios conectados
• Crear lista de usuarios que recibirán alertas