Prueba de evaluación Geografía e Historia Comunidad de Madrid 4ºESO
Auditoria en Windows Server 2008R2 - ElvisRaza
1. Auditoria bajo el entorno
Windows Server 2008R2
Por: Elvis Raza Arredondo
Seguridad de Redes II
2. Auditoría de Seguridad
La auditoría de seguridad es una de las herramientas más eficaces que existen
para ayudar a mantener la seguridad de un sistema. Se recomienda establecer
el nivel de auditoría adecuado a su entorno como parte de la estrategia de
seguridad global. La auditoría debería identificar los ataques, ya tengan éxito o
no, que supongan un riesgo para su red, o los ataques contra recursos
considerados como valiosos en la evaluación de riesgos.
3. Directiva de Auditoría de Seguridad
Permiten que una organización pueda auditar el cumplimiento de reglas
empresariales y de seguridad importantes mediante un seguimiento de
actividades definidas con precisión, como por ejemplo:
• Un administrador de grupos modificó la configuración o los datos en los
servidores que contienen información financiera.
• Un empleado de un grupo definido obtuvo acceso a un archivo importante.
• La lista de control de acceso del sistema (SACL) correcta se aplica a cada
archivo y carpeta o clave del Registro en un recurso compartido de archivo
o equipo como una medida de seguridad comprobable frente a accesos no
detectados.
4. Principales Cambios
Auditoría de acceso a objetos global
En Windows Server 2008 R2 y Windows 7, los administradores pueden
definir las listas de control de acceso del sistema (SACL) de todo el equipo, ya
sea para el sistema de archivos o el Registro. A continuación, la SACL
especificada se aplica automáticamente a cada objeto individual de ese tipo.
Esto puede resultar útil para comprobar que la configuración de todos los
archivos, las carpetas y los registros imprescindibles de un equipo está
protegida y para identificar el momento en que se presenta un problema en
un recurso del sistema.
5. Informe "Razón de acceso"
Esta lista de entradas de control de acceso (ACE) proporciona los privilegios en
los que se basó la decisión de permitir o denegar el acceso al objeto. Esto
puede ser útil para documentar permisos, como pertenencias a grupos, que
permiten o impiden la repetición de un evento de auditoría particular.
Configuración de directiva de auditoría
avanzada
Estas 53 nuevas opciones se pueden usar en lugar de las nueve opciones de
auditoría básicas de Directivas localesDirectiva de auditoría para permitir
a los administradores centrarse específicamente en los tipos de actividades
que deseen auditar y eliminar las actividades de auditoría innecesarias que
pueden hacer que los registros de auditoría sean difíciles de administrar y
descifrar.
16. Consideraciones Especiales
Creación de una directiva de auditoría
Para crear una directiva de auditoría de seguridad de Windows avanzada, se
debe usar el complemento Directiva de seguridad local o GPMC en un equipo
que ejecute Windows Server 2008 R2 o Windows 7.
Aplicación de una configuración de directiva
de auditoría
Si se usa una directiva de grupo para aplicar la configuración de directiva de
auditoría avanzada y la configuración de acceso a objetos global, los equipos
cliente deben ejecutar Windows Server 2008 R2 o Windows 7.
17. Desarrollo de un modelo de directiva de
auditoría
Para planear la configuración de auditoría de seguridad avanzada y la
configuración de acceso a objetos global, se debe usar la GPMC que tenga como
objetivo un controlador de dominio que ejecute Windows Server 2008 R2.
Distribución de la directiva de auditoría
Después de que se desarrolló un objeto de directiva de grupo (GPO) que
incluye una configuración de auditoría de seguridad avanzada, se puede
distribuir mediante el uso de controladores de dominio que ejecuten cualquier
sistema operativo Windows Server.
19. En las Propiedades de las directivas :
• Erróneo: Se mostraran acciones equivocadas o que no
resulten, como inicio de sesión fallido.
• Correcto: Se mostraran acciones que acierten, es decir inicio de
sesión correctos.
20. Normalmente, el registro de un error puede ser de mucha más ayuda que
uno de éxito, esto ya que si un usuario inicia sesión correctamente en el
sistema, puede considerarse como algo normal. Pero si un usuario intenta
sin éxito iniciar sesión en un sistema varias veces, esto puede indicar que
alguien está intentando obtener acceso al sistema utilizando el Id. de
usuario de otra persona.
21. • Desde ahí se puede ver el resultado de la auditoría