Este documento describe la auditoría de seguridad bajo Windows Server 2008R2. Explica que las directivas de auditoría permiten auditar el cumplimiento de reglas de seguridad rastreando actividades específicas como cambios a servidores financieros o acceso a archivos importantes. También cubre consideraciones para crear, aplicar y distribuir directivas de auditoría e implementar opciones de configuración como registrar eventos de inicio de sesión fallidos que pueden indicar intentos de acceso no autorizados.

1. Auditoria bajo el entorno
Windows Server 2008R2
Por: Elvis Raza Arredondo
Seguridad de Redes II

2. Auditoría de Seguridad
La auditoría de seguridad es una de las herramientas más eficaces que existen
para ayudar a mantener la seguridad de un sistema. Se recomienda establecer
el nivel de auditoría adecuado a su entorno como parte de la estrategia de
seguridad global. La auditoría debería identificar los ataques, ya tengan éxito o
no, que supongan un riesgo para su red, o los ataques contra recursos
considerados como valiosos en la evaluación de riesgos.

3. Directiva de Auditoría de Seguridad
Permiten que una organización pueda auditar el cumplimiento de reglas
empresariales y de seguridad importantes mediante un seguimiento de
actividades definidas con precisión, como por ejemplo:
• Un administrador de grupos modificó la configuración o los datos en los
servidores que contienen información financiera.
• Un empleado de un grupo definido obtuvo acceso a un archivo importante.
• La lista de control de acceso del sistema (SACL) correcta se aplica a cada
archivo y carpeta o clave del Registro en un recurso compartido de archivo
o equipo como una medida de seguridad comprobable frente a accesos no
detectados.

4. Tener en cuenta algunas Consideraciones
• Crear una directiva de auditoría
• Aplicar una configuración de directiva de
auditoría
• Desarrollar un modelo de directiva de
auditoría
• Distribuir la directiva de auditoría

5. Implementación de Opciones de
Configuración de Directiva de Auditoría

6. En las Propiedades de las directivas :
• Erróneo: Se mostraran acciones equivocadas o que no
resulten, como inicio de sesión fallido.
• Correcto: Se mostraran acciones que acierten, es decir inicio de
sesión correctos.

7. Normalmente, el registro de un error puede ser de mucha más ayuda que
uno de éxito, esto ya que si un usuario inicia sesión correctamente en el
sistema, puede considerarse como algo normal. Pero si un usuario intenta
sin éxito iniciar sesión en un sistema varias veces, esto puede indicar que
alguien está intentando obtener acceso al sistema utilizando el Id. de
usuario de otra persona.

8. • Desde ahí se puede ver el resultado de la auditoría