Este documento describe la auditoría en Windows Server 2008 R2. Explica que la auditoría registra eventos correctos e incorrectos dentro de un dominio, como la modificación de archivos o políticas. También identifica el uso no autorizado de recursos. Detalla las categorías principales de auditoría como inicio de sesión, administración de cuentas y acceso a objetos. Finalmente, brinda recomendaciones sobre cómo configurar y aplicar la auditoría en un dominio de Windows Server 2008 R2.
3. Objetivo:
Es recomendable utilizarla, ella nos puede ayudar a
diagnosticar los problemas y determinar la causa, y por
supuesto con la protección de nuestros servidores y nuestra
red.
Obviamente el abuso de este tipo de herramientas no es
recomendable y puede ser contraproducente, ya que
estaríamos teniendo gran cantidad de eventos con
información que si no la utilizamos no sirve de nada, y
encontrar los eventos que necesitemos será muy difícil y
llevara mucho tiempo.
4. Auditoria
Descripción :
Una auditoria hace un registro del seguimiento de los
sucesos correctos y erróneos dentro de un dominio. Por
ejemplo la modificación de un archivo o una directiva. Todo
esto se registra en un registro de auditoria. Esta muestra la
acción que se ha llevado a cabo, la cuenta del usuario la
cual ha hecho el suceso y demás datos como la fecha y la
hora en que se llevó a cabo el suceso.
La auditoría también identifica el uso no autorizado de
recursos dentro de una red y por eso es importante dentro
de un esquema de seguridad.
6. Ahora, si ejecutamos el comando auditpol.exe /get
/Category:* en nuestro controlador de dominio veremos lo
siguiente:
Podemos ver que las categorías de nivel superior, como
inicio de sesión de cuenta (Account Logon) y el acceso a
objetos (Object Access), todavía están allí. También tenemos
nuevas Subcategorías, con las cuales ganamos una mayor
granularidad para administrar nuestra auditoria.
7.
8. La directiva de auditoría de línea de comandos se puede
utilizar para:
- Asignación y búsqueda de una política de auditoría del sistema.
- Asignación y búsqueda de una política de auditoría para cada usuario.
- Asignación y búsqueda de las opciones de auditoria.
- Asignación y búsqueda del descriptor de seguridad utilizado para
delegar el acceso a una directiva de auditoría.
- Generar un informe o una copia de seguridad una política de auditoría
a un valor separados por comas (CSV) archivo de texto.
- Cargar una directiva de auditoría de un archivo de texto CSV.
- Configurar las SACL de recursos globales.
12. Categorias (Tipo) de Auditorias
Auditar sucesos de inicio de sesión de cuenta
USO: registrar el inicio y cierre de sesión de un equipo
diferente al servidor del dominio.
NOTA: se registrar cada inicio de sesión de cada usuario que
pertenece al dominio.
PREDETERMINADO: Auditar correctos (Success).
13. Auditar la administración de cuentas
USO: Registra si se crea-cambia-elimina un usuario o grupo,
se cambia el nombre de un usuario o se establece su
contraseña o su estado cambia de activo a inactivo y
viceversa.
NOTA: Permite el seguimiento de las personas que
configuran usuarios.
PREDETERMINADO: Auditar Correctos (SUCCESS) en
dominio.
14. Auditar el acceso del servicio de directorio
USO: Registra los sucesos sobre objetos de Active Directory
y su lista SACL:
NOTA: Esta auditoria genera un gran numero de entradas en
los registros.
PREDETERMINADO: Indefinido.
15. Auditar sucesos de inicio de sesión
USO: Registra los sucesos de inicio y cierre de sesión en
cada instancia de un usuario.
NOTA: Cada instancia se diferencia en identificación en red
u otros equipos.
PREDETERMINADO: Correcto (Success).
16. Auditar el acceso a objetos
USO: Registra cuando un usuario accede a una carpeta,
archivos, clave de registros, impresora, etc.
NOTA: Considere si realmente se necesita auditar estos
sucesos por el volumen de entradas que genera.
PREDETERMINADO: Sin auditoria
17. Auditar el cambio de directivas
USO: Registra los sucesos cuando hay cambios en los
derechos de usuario.
NOTA: Ofrece información de utilidad para las cuentas y
para la investigación.
PREDETERMINADO: Sin auditoria
18. Auditar el uso de privilegios
USO: Registra los sucesos cuando se ejecutan un derecho
de usuario.
NOTA: Genera grandes volúmenes de registros y su
clasificación en de alta dificultad.
PREDETERMINADO: Sin auditoria
19. Auditar el seguimiento de procesos
USO: Registra los sucesos como activación de programas,
salida de procesos.
NOTA: Configuración genera una gran cantidad de registros,
es por este motivo que generalmente no se activa.
PREDETERMINADO: Sin auditoria