AUDITORIA EN
WINDOWS SERVER
2008
AUDITORIA EN WINDOWS SERVER
2008
• Es un análisis que hace un registro del
seguimiento de los sucesos correctos y
erróneos...
AUDITORIA EN WINDOWS SERVER
2008
• Podemos ver en mayor
detalle las políticas con el
comando auditpol.exe de
Windows 7, Wi...
CATEGORIA Y SUBCATEGORIA DE
AUDITORIA
• Si ejecutamos el comando auditpol.exe /get /Category:* en
nuestro controlador de d...
DIRECTIVAS DE AUDITORIA
Una directiva de auditoría especifica las categorías de eventos
relacionados con la seguridad que ...
CONFIGURACIÓN DE AUDITORIA
• Puede elegir un grupo o una cuenta de usuario y después la
operación de fax que auditará para...
CONFIGURACIÓN DE AUDITORIA
• Para definir o modificar la
configuración de la directiva de
auditoría para una categoría de
...
Auditar el acceso a objetos
• Esta configuración de seguridad
determina si debe auditarse el
evento de un usuario que obti...
Auditar el acceso del servicio de
directorio
• Esta configuración de seguridad
determina si debe auditarse el evento
de un...
Auditar el cambio de directivas
• Esta configuración de seguridad
determina si debe auditarse cada
incidente de cambio en ...
Auditar el seguimiento de procesos
• Esta configuración de seguridad
determina si debe auditarse la
información
de
seguimi...
Auditar el uso de privilegios
• Esta configuración de seguridad
determina si debe auditarse cada
instancia de un usuario q...
Auditar eventos de inicio de sesión
• Esta configuración de seguridad
determina si debe auditarse cada
instancia de inicio...
Auditar eventos de inicio de sesión de
cuenta
• Esta configuración de seguridad
determina si debe auditarse cada
instancia...
Auditar eventos del sistema
• Esta configuración de seguridad
determina si debe realizarse una
auditoría cuando un usuario...
Auditar la administración de cuentas
• Esta configuración de seguridad determina si
debe auditarse cada evento de administ...
Upcoming SlideShare
Loading in …5
×

Auditoria en windows server 2008

522 views

Published on

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
522
On SlideShare
0
From Embeds
0
Number of Embeds
17
Actions
Shares
0
Downloads
16
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Auditoria en windows server 2008

  1. 1. AUDITORIA EN WINDOWS SERVER 2008
  2. 2. AUDITORIA EN WINDOWS SERVER 2008 • Es un análisis que hace un registro del seguimiento de los sucesos correctos y erróneos dentro de un dominio. Por ejemplo la modificación de un archivo o una directiva. Todo esto se registra en un registro de auditoria • Es recomendable utilizarla, ella nos puede ayudar a diagnosticar los problemas y determinar la causa, y por supuesto con la protección de nuestros servidores y nuestra red. • En Windows Server 2008, es mas fácil la tarea de revisar los logs y tomar las acciones que creamos convenientes. Al instalar un controlador de dominio las políticas de auditoria por defecto están configuradas de la siguiente manera:
  3. 3. AUDITORIA EN WINDOWS SERVER 2008 • Podemos ver en mayor detalle las políticas con el comando auditpol.exe de Windows 7, Windows Server 2008, Windows Server 2008 R2, Windows Vista.
  4. 4. CATEGORIA Y SUBCATEGORIA DE AUDITORIA • Si ejecutamos el comando auditpol.exe /get /Category:* en nuestro controlador de dominio veremos lo siguiente: • Recordemos, que este comando nos muestra información y realiza funciones para manipular las políticas de auditoría. La directiva de auditoría de línea de comandos se puede utilizar para: • Asignación y búsqueda de una política de auditoría del sistema. • Asignación y búsqueda de una política de auditoría para cada usuario. • Asignación y búsqueda de las opciones de auditoria. • Asignación y búsqueda del descriptor de seguridad utilizado para delegar el acceso a una directiva de auditoría. • Generar un informe o una copia de seguridad una política de auditoría a un valor separados por comas (CSV) archivo de texto. • Cargar una directiva de auditoría de un archivo de texto CSV.
  5. 5. DIRECTIVAS DE AUDITORIA Una directiva de auditoría especifica las categorías de eventos relacionados con la seguridad que desea auditar. Cuando esta versión de Windows se instala por primera vez, todas las categorías de auditoría están deshabilitadas. Al habilitar varias categorías de eventos de auditoría, puede implementar una directiva de auditoría apropiada para las necesidades de seguridad de su organización. • • • • • • • • • • Las categorías de eventos que puede elegir para auditar son: Auditar eventos de inicio de sesión de cuenta Auditar la administración de cuentas Auditar el acceso del servicio de directorio Auditar eventos de inicio de sesión Auditar el acceso a objetos Auditar el cambio de directivas Auditar el uso de privilegios Auditar el seguimiento de procesos Auditar eventos del sistema
  6. 6. CONFIGURACIÓN DE AUDITORIA • Puede elegir un grupo o una cuenta de usuario y después la operación de fax que auditará para cada grupo o usuario. Puede seleccionar un atributo de error o éxito para cada operación de fax. Los resultados aparecerán en el visor de eventos. • Al definir la configuración de auditoría para categorías de eventos específicas, puede crear una directiva de auditoría apropiada para las necesidades de seguridad de su organización. En los servidores y estaciones de trabajo miembro que se unen a un dominio, la configuración de auditoría para las categorías de eventos no está definida de manera predeterminada.
  7. 7. CONFIGURACIÓN DE AUDITORIA • Para definir o modificar la configuración de la directiva de auditoría para una categoría de eventos en el equipo local. • Abra el complemento Directiva de seguridad local y seleccione Directivas locales. • En el árbol de consola, haga clic en Directiva de auditoría.
  8. 8. Auditar el acceso a objetos • Esta configuración de seguridad determina si debe auditarse el evento de un usuario que obtiene acceso a un objeto como: archivo,carpeta,clave de registro,impresoras etc. • Si define esta configuración de directiva , puede especificar si auditar los aciertos, los errores o no auditar ningún tipo de evento.
  9. 9. Auditar el acceso del servicio de directorio • Esta configuración de seguridad determina si debe auditarse el evento de un usuario que obtiene acceso a un objeto de Active Directory con su propia lista de control de acceso del sistema (SACL) especificada. • De forma predeterminada, este valor se establece en Sin auditoría en el objeto de directiva de grupo (GPO) de controlador de dominio predeterminado y permanece sin definir en estaciones de trabajo y servidores donde no tiene ningún significado.
  10. 10. Auditar el cambio de directivas • Esta configuración de seguridad determina si debe auditarse cada incidente de cambio en las directivas de asignación de derechos de usuario, directivas de auditoría o directivas de confianza. • Si define esta configuración de directiva, puede especificar si auditar los aciertos, los errores o no auditar ningún tipo de evento.
  11. 11. Auditar el seguimiento de procesos • Esta configuración de seguridad determina si debe auditarse la información de seguimiento detallada para eventos como activación de programas, salida de procesos, duplicación de identificadores y acceso a objetos indirectos. • Si define esta configuración de directiva, puede especificar si auditar los aciertos, los errores o no auditar ningún tipo de evento.
  12. 12. Auditar el uso de privilegios • Esta configuración de seguridad determina si debe auditarse cada instancia de un usuario que ejerce un derecho de usuario. • Si define esta configuración de directiva, puede especificar si auditar los aciertos, los errores o no auditar ningún tipo de evento.
  13. 13. Auditar eventos de inicio de sesión • Esta configuración de seguridad determina si debe auditarse cada instancia de inicio o cierre de sesión de un usuario en un equipo. • Los eventos de inicio de sesión de cuenta se generan en controladores de dominio para la actividad de cuentas de dominio y en equipos locales para la actividad de cuentas locales
  14. 14. Auditar eventos de inicio de sesión de cuenta • Esta configuración de seguridad determina si debe auditarse cada instancia de inicio o cierre de sesión de un usuario en un equipo en el que este equipo se usa para validar la cuenta. • Los eventos de inicio de sesión de cuenta se generan cuando la cuenta de un usuario del dominio se autentica en un controlador de dominio.
  15. 15. Auditar eventos del sistema • Esta configuración de seguridad determina si debe realizarse una auditoría cuando un usuario reinicia o apaga el equipo o cuando se produce un evento que afecta a la seguridad del sistema o al registro de seguridad. • Si define esta configuración de directiva, puede especificar si auditar los aciertos, los errores o no auditar ningún tipo de evento
  16. 16. Auditar la administración de cuentas • Esta configuración de seguridad determina si debe auditarse cada evento de administración de cuentas en un equipo. Ejemplos de eventos de administración de cuentas: • Se crea, cambia o elimina un grupo o una cuenta de usuario. • Se cambia el nombre de una cuenta, se deshabilita o se habilita. • Se establece o se cambia una contraseña. • Si define esta configuración de directiva, puede especificar si auditar los aciertos, los errores o no auditar ningún tipo de evento.

×