Auditoria , directivas de auditoria, configuración de Auditoria

2,475 views

Published on

1 Comment
0 Likes
Statistics
Notes
  • Be the first to like this

No Downloads
Views
Total views
2,475
On SlideShare
0
From Embeds
0
Number of Embeds
22
Actions
Shares
0
Downloads
53
Comments
1
Likes
0
Embeds 0
No embeds

No notes for slide

Auditoria , directivas de auditoria, configuración de Auditoria

  1. 1. Auditoría En Windows Server® 2008 se puede establecer un proceso de auditoría de Active Directory® Domain Services (AD DS) con una nueva subcategoría de política de auditoría (Directory Service Changes) capaz de registrar los valores previos y posteriores a un cambio realizado sobre un objeto de AD DS y sus atributos.
  2. 2. Auditoría La política global de auditoría "Audit directory service access" controla si la auditoría de eventos del servicio de directorio está habilitada o deshabilitada. Este parámetro de seguridad determina si los eventos se deben registrar en el log de Seguridad cuando tienen lugar ciertos tipos concretos de operaciones sobre los objetos en el directorio. Se pueden también controlar las operaciones a auditar simplemente modificando las listas de control de accesos al sistema (SACL) de un objeto. En Windows Server 2008 esta política está habilitada por defecto
  3. 3. Directivas de Auditoria
  4. 4. Valores de auditoría Las vulnerabilidades, contramedidas y posibles impactos de todos los valores de configuración de auditoría son idénticos, por lo que sólo se detallan una vez en los siguientes párrafos. Debajo de esos párrafos se incluyen breves explicaciones de cada valor. Las opciones para los valores de configuración de auditoría son: Correcto Erróneo Sin auditoría
  5. 5. Auditar sucesos de inicio de sesión de cuenta El valor de configuración Auditar sucesos de inicio de sesión de cuenta determina si se debe auditar cada instancia de un usuario que inicie o cierre una sesión desde otro equipo, en la que el equipo que registra el suceso de auditoría se utiliza para validar la cuenta.
  6. 6. Auditar la administración de cuentas El valor de configuración Auditar la administración de cuentas determina si se deben auditar todos los sucesos de administración de cuentas de un equipo.
  7. 7. Auditar el acceso del servicio de directorio El valor de configuración Auditar el acceso del servicio de directoriodetermina si se debe auditar el suceso de un usuario que tiene acceso a un objeto de Microsoft Active Directory que tiene su propia lista de control de acceso al sistema (SACL) especificada.
  8. 8. Auditar sucesos de inicio de sesión El valor de configuración Auditar sucesos de inicio de sesióndetermina si se debe auditar cada instancia de un usuario que inicie, cierre una sesión o realice una conexión de red al equipo que registra el suceso de auditoría.
  9. 9. Auditar el acceso a objetos El valor de configuración Auditar el acceso a objetos determina si se debe auditar el suceso de un usuario que obtiene acceso a un objeto como, por ejemplo, un archivo, una carpeta, una clave de Registro, una impresora, etc., que tiene su propia lista de control de acceso al sistema especificada.
  10. 10. Auditar el cambio de directivas El valor de configuración Auditar el cambio de directivas determina si se debe auditar cada caso de cambio de las directivas de asignación de derechos de usuario, de auditoría o de confianza. Si define este valor de configuración de directiva, puede especificar si desea auditar los aciertos, los errores o no auditar el tipo de suceso.
  11. 11. Auditar el uso de privilegios El valor de configuración Auditar el uso de privilegios determina si se debe auditar cada caso en el que un usuario ejecute un derecho de usuario. Si define este valor de configuración de directiva, puede especificar si desea auditar los aciertos, los errores o no auditar el tipo de suceso.
  12. 12. Auditar el seguimiento de procesos El valor de configuración Auditar el seguimiento de procesosdetermina si se debe auditar información de seguimiento detallada de sucesos como la activación de programas, la salida de procesos, la duplicación de identificadores y el acceso indirecto a obje
  13. 13. Auditar sucesos del sistema El valor de configuración Auditar sucesos del sistema determina si se debe auditar el reinicio o cierre de un equipo realizado por un usuario o un suceso que afecte a la seguridad del sistema o al registro de seguridad.
  14. 14. Configuración de la auditoria
  15. 15. Configuración de la auditoria Paso 1: Configurar la infraestructura Para preparar el entorno de prueba en el dominio de CONTOSO, debe completar las tareas siguientes: Configure el controlador de dominio (CONTOSODC). Configure el servidor miembro (CONTOSO-SRV). Configure el equipo cliente (CONTOSO-CLNT)
  16. 16. Paso 2: Crear y comprobar una directiva de auditoría avanzada Las nueve directivas de auditoría básicas que se encuentran en Directivas de seguridad localConfiguración de WindowsDirectivas localesDirectiva de auditoría
  17. 17. Para establecer una configuración de directiva de auditoría de inicio de sesión de dominio avanzada Inicie sesión en CONTOSO-SRV como miembro del grupoAdministradores local. Haga clic en Inicio, seleccione Herramientas administrativas y, a continuación, haga clic en Administración de directivas de grupo. En el árbol de consola, haga doble clic en Bosque: contoso.com, haga doble clic en Dominios y, a continuación, haga doble clic encontoso.com.
  18. 18. Haga clic con el botón secundario en Directiva predeterminada de dominio y, a continuación, haga clic en Editar. Haga doble clic en Configuración del equipo, haga doble clic enDirectivas y, a continuación, haga doble clic en Configuración de Windows. Haga doble clic en Configuración de seguridad, haga doble clic en Configuración de directiva de auditoría avanzada y, a continuación, haga doble clic en Directivas de auditoría del sistema.
  19. 19. Haga doble clic en Inicio y cierre de sesión y, a continuación, haga doble clic en Inicio de sesión. Active la casilla Configurar los siguientes eventos de auditoría, active la casilla Aciertos, active la casilla Errores y, a continuación, haga clic en Aceptar
  20. 20. Para comprobar que la configuración de directiva de auditoría de seguridad de inicio de sesión avanzada se aplicó correctamente Inicie sesión en CONTOSO-CLNT como CONTOSOAdministrador. Haga clic en Inicio, seleccione Todos los programas, haga clic en Accesorios, haga clic con el botón secundario en Símbolo del sistema y, a continuación, haga clic en Ejecutar como administrador.
  21. 21. Si aparece el cuadro de diálogo Control de cuentas de usuario, confirme que la acción que muestra es la que desea y, a continuación, haga clic en Sí. Escriba auditpol.exe /get /category:* y presione ENTRAR. Compruebe que aparece Aciertos, Errores o Aciertos y errores a la derecha de Inicio de sesión.

×