Politicas de Auditoria y Plantillas Administrativas en Server 2012

Embed Size (px)

Citation preview

  • 8/17/2019 Politicas de Auditoria y Plantillas Administrativas en Server 2012

    1/5

    Módulo 10 Página 1

    Contenido 

    DERECHOS DE USUARIOS EN WINDOWS 2008 .............................................................................. 2 

    UTILIZAR LAS PLANTILLAS DE SEGURIDAD ................................................................................ 2 

    PLANTILLAS DE SEGURIDAD ............................................................................................................ 2 

    ¿COMO SE APLICAN LAS PLANTILLAS DE SEGURIDAD? ........................................................... 2 

    COMPROBANDO LAS POLITICAS DE SEGURIDAD ....................................................................... 3 

    SECURITY CONFIGURATION AND ANALYSIS ............................................................................... 3 

    CONFIGURACION DE LA AUDITORIA .............................................................................................. 3 

    TIPOS DE EVENTOS A AUDITAR ....................................................................................................... 3 

    BITACORAS DE SEGURIDAD.............................................................................................................. 4 

    LOS ARCHIVOS DE BITACORAS .................................................................................................... 4  

    ADMINISTRACION DE LAS BITACORAS ......................................................................................... 4 

    EVENTOS COMUNES ........................................................................................................................ 5 

  • 8/17/2019 Politicas de Auditoria y Plantillas Administrativas en Server 2012

    2/5

    Módulo 10 Página 2

    DERECHOS DE USUARIOS EN WINDOWS 2008Algo sumamente importante que debemos de tomar siempre en cuenta es conocer la diferencia entre un derecho y un permiso

    DERECHOS: va a determinar tareas específicas que un usuario puede realizar en una computadora o en un dominio, los derechos aplicanen el sistema y afectan la operación de una computadora o del dominio, como ejemplo podemos mencionar, apagar una computadora,cambiar la hora del sistema etc.

    PERMISOS: se va a definir como el Tipo de Acceso dado a un usuario o a grupo sobre un objeto o propiedad de este, por ejemplo podemos mencionar, permiso de lectura sobre el archivo llamado Planilla.xls, permiso de lectura sobre un objeto dentro de una OU.

    UTILIZAR LAS PLANTILLAS DE SEGURIDADUna política de Seguridad es una combinación de configuraciones de seguridad que van a afectar a una computadora. Estas políticas se

     pueden utilizar para establecer:  Políticas de Cuentas  Políticas Locales

    Tanto en una computadora como en el Active Directory.

    PLANTILLAS DE SEGURIDAD

    Existe lo que se llama la Guía de Seguridad, de Windows Server 2008, y la Guía de Seguridad de Windows XP, Windows Vista yWindows 7, estas guías de seguridad, proveen un grupo de Herramientas, Documentos, Plantillas de Seguridad, que nos pueden ayudar aasegurar de mejor forma, ya sea nuestro servidor Windows 2008, o nuestras estaciones de trabajo, en los diferentes ambientes en loscuales estén trabajando.

    Cualquiera de estas guías de seguridad, está disponible para ser descargada del sitio Web de Microsoft Download Center. Es importanteconocer estas guías de seguridad, ya que los Templates de Seguridad, que podemos encontrar allí son muy buenos. Existen Templates deSeguridad cuando tenemos que asegurar un Servidor de Archivos, para asegurar un Domain Controler, para asegurar un Servidor conSitos Web publicados etc. Podemos estar encontrando todo este detalle.

    ¿COMO SE APLICAN LAS PLANTILLAS DE SEGURIDAD?

    Para crear Plantillas de Seguridad, y aplicarlas a Nivel de Dominio, o una computadora local. Para eso trabajamos en lo que es el Snap-inde Security Template, vamos hacia nuestras plantillas c:\Windows\Security\Templates, clic derecho New Template, aquí nos pregunta elnombre de la plantilla y su descripción, ejemplo Template Name: XP ya que esta plantilla me va a servir para asegurar las estaciones detrabajo XP, al crearla podemos observar una nueva plantilla que se llama XP, lo que resta por hacer es realizar todas las configuraciones,que nosotros queramos, por ejemplo, bajo Acoount Polices, Account Lockout Policies, podemos poner políticas de bloqueo de cuentas,

     para que a los 3 intentos nos bloquee la cuenta, Podemos estar poniendo también las Políticas de Auditoria, está bajo Local Policies,Audit Policy, por ejemplo estar auditando todo lo que se refiere a los eventos de logon, (Audit Logon Events) auditor los éxitos para sabera qué horas ingresan las personas. Y aquí realizaríamos entonces todas las configuraciones que nosotros creamos que son necesarias parauna computadora XP.

    Luego que ya tenemos esta plantilla nos vamos al Snap-In del LOCAL COMPUTER POLICY, esto es si queremos utilizarla para unamaquina local, es decir vamos uno a uno aplicándola, y para aplicarla nos vamos al Computer Configuration, Windows Settings, SecuritySettings, es donde vamos a importar la plantilla que hemos creado, clic derecho en Security Settings, Import Policy, y elegimos la políticaque habíamos creado XP.INF , con esto me importa todas las características que definí en la política XP.

    También lo podemos estar haciendo a Nivel de Dominio, es decir para que aplique a más de una computadora, abrimos el Group PolicyManagement, Forest, Domains, Group Policy Objects, sobre la GPO que vamos a estar importando la plantilla de seguridad ejemplo ITGeneral, clic derecho, edit, cuando se abre esta política vamos al Computer Configuration, Windows Settings, Security Settings, clicderecho Import Policy, y allí agregamos la política que definimos anteriormente XP.INF y con eso entonces ya la tenemos configurada ennuestra GPO para aplicarse a nivel de dominio.

  • 8/17/2019 Politicas de Auditoria y Plantillas Administrativas en Server 2012

    3/5

    Módulo 10 Página 3

    COMPROBANDO LAS POLITICAS DE SEGURIDAD

    SECURITY CONFIGURATION AND ANALYSISPara analizar configuraciones de seguridad diferentes, para eso hemos estado trabajando en el Snap-in del SECURITY TEMPLATES ynos ha interesado la política del HISECDC (alta seguridad del Domain Controler) y nos interesaría aplicar esta política a todos misDomain Controlers, ahora bien, que cambios tendría al estarle aplicando esta política de seguridad a los Domain Controlers, entonces para

    conocer que va a cambiar al aplicar esta política, puedo utilizar la herramienta que es Security Configuration and Análisis (configuracióny análisis de la seguridad) es una herramienta que trae su Snap-in el cual lo podemos agregar, y para funcionar lo que tenemos que haceres darle clic derecho, Open Data Base, con esto vamos a abrir una base de datos, al momento de abrir una base de datos, le ponemos elnombre ejemplo hisecdc, esta base de datos nos va a servir como almacenamiento aquí van a caer todos los resultados del análisis queestemos realizando, le damos open, y luego nos pregunta, cual es la política o cual es el Template de seguridad que queremos analizar, eneste caso el template o plantilla de seguridad HISECDC.INF le damos open, entonces, lo que va a estar haciendo esto es analizar esta

     plantilla de seguridad contra los settings de seguridad que tengo actualmente en mi Domain Controler. Le damos clic derecho y ledecimos Analyse Computer Now, empieza a analizar todos los settings de seguridad y me muestra el resultado. Y podemos estar viendo

     por ejemplo la políticas de Password, vemos la columna del Computer Settings, esta columna me muestra los settings actuales que tiene lacomputadora, y en la columna Database Settings, son los settings de seguridad que traen la plantilla que quiero analizar, en este caso es la

     plantilla hisecdc, hay algunos que coinciden en las dos columnas y hay otros que no coinciden, los que no coinciden se marcaran con unax, el cual nos vuelve a decir los settings de la política actual, versus, los settings que cambiarían si aplicamos la plantilla de seguridad queestamos analizando, de esta manera, podemos estar analizando cuales son los cambios que podría llegar a tener, en el momento en quellegara a aplicar, una plantilla de seguridad especifica.

    CONFIGURACION DE LA AUDITORIALa auditoría es el proceso de dar seguimiento a las actividades de los usuarios y el Sistema Operativo, al almacenar cierto tipo de eventos,en la bitácora de seguridad, ya sea de un servidor, o una estación de trabajo.

    Las auditorias las estaremos habilitando con el objetivo de:  Crear una línea base de las operaciones normales de la red y computadoras.

      Detectar los intentos de penetración a la red o a una computadora.  Determinar si el sistema o la información ha sido comprometida durante o después de un incidente de seguridad.  Prevenir daños futuros a la red o a las computadoras después que un atacante ha penetrado la red.

    Los tipos más comunes de eventos a auditar son:  Acceso a objetos como lo son ver archivos y carpetas  Manejo de cuentas de usuarios y grupos. 

    Ingresos y salida del sistema por parte de los usuarios.

    Una política de auditoria define el tipo de evento de seguridad que será almacenado en la bitácora de seguridad de cada una de lascomputadoras, las políticas de auditoria son configuradas para:

      Dar seguimiento a eventos de éxito o fracaso.  Minimizar el riesgo del uso inautorizado de los recursos.  Mantener un registro de la actividad de los usuarios y los administradores.

    TIPOS DE EVENTOS A AUDITARPara configurar las políticas de auditoria, para eso vamos a estarlas trabajando o configurando en una GPO a nivel de dominio, perotambién puede implementarse o configurarse en una política local en cada una de las computadoras..

    Abrimos el Group Policy Object Editor, editamos la GPO que queremos ejemplo IT General, bajo Computer Configuration, WindowsSettings, Security Settings, Local Policy, Audit Policy, aquí encontramos la políticas de auditoria, existen varios eventos que podemosestar monitoreando, ejemplo:Audit account logon events: eventos relacionados a registrar las diferentes autenticaciones de usuarios, por una base de datos deseguridad, es decir ya sea por el Active Directory o por la base de datos de seguridad local en cada una de las computadoras.Audit account management: Eventos para el manejo o la administración de las cuentasAudit directory service access: Acceso al servicio de directorios, esto es, todos los cambios o modificaciones que hagamos sobre losobjetos del AD.Audit logon events: Estos eventos de logon nos sirven para registrar los usuarios que ingresan en una computadora en específico, noimportando si son locales o de dominio.Audit object acces: nos sirve para estar monitoreando el acceso a archivos, carpetas, e impresoras.

  • 8/17/2019 Politicas de Auditoria y Plantillas Administrativas en Server 2012

    4/5

    Módulo 10 Página 4

    Audit policy change: también podemos monitorear cambios en las políticas.Audit privilege use: también podemos monitorear cuando un usuario ejerce un derecho en especial, recordemos que tenemos derechos y

     permisos, aquí vamos a monitorear cuando un usuario ejerce un derecho específico.Audit process tracking: nos sirve para monitorear las aplicaciones estar monitoreando que es lo que las aplicaciones están realizando,esto generalmente lo va a estar utilizando un desarrollador.Audit System Events:  los eventos de sistema, aquí se van a registrar todos aquellos eventos que el sistema nos despliegue, ejemploreiniciar o apagar una computadora.

    Para habilitarlos simplemente le damos un clic derecho, propiedades, y los habilitamos si queremos auditar los Success, o los Failure,

    éxito como fracaso, podemos habilitar ambos, sobre la política que queremos auditar, luego la ventana nos dice que política tenemosdefinida, y si estamos auditando el éxito o el fracaso o ambos, en cada una de ellas.

    La habilitarlas empieza a guardar los eventos en la bitácora de seguridad, existen dos de estos eventos que no van a generarnos ningúnevento en la bitácora de seguridad, lo que es el Audit Directory Services Access, monitorear lo que está pasando con los objetos del AD, yel Audit Object Access, que son los archivos carpetas o impresoras. Que es lo que ocurre, si yo le digo que quiero auditar el ObjectAccess, le doy clic derecho, y le digo que quiero habilitar los eventos exitosos, lo que va a ocurrir es que está habilitado, pero luego tengoque ir a un archivo o a una carpeta, y allí decirle que los quiero auditar, igual sucede para los objetos del AD. Tengo que ir hacia el objetodel AD en específico que quiero estar auditando y le digo que lo quiero auditar.

    Existen algunas guías que nos van a ayudar, en la planeación de las políticas de auditoria.  Determinar en qué computadoras se habilitara la auditoria.  Determinar que eventos se van a auditar, no debemos de estar poniendo todos los eventos que podamos, ya que esto genera

    carga extra al sistema operativo. 

    Estar seguro si queremos auditar los Éxitos o Fracasos.  Determinar si se analizarán las tendencias  Revisar los LOGS frecuentemente. Ya que si no lo revisamos frecuentemente realmente el proceso o las políticas de auditoria

    no tendrían sentido.

    BITACORAS DE SEGURIDAD

    LOS ARCHIVOS DE BITACORAS

    Para ubicar o visualizar, las diferentes bitácoras o Logs, en Windows Server 2003, para eso nos vamos al Computer Management, botónderecho sobre Mi Pc, Management, o administrar, bajo System Tools, Event Viewer, aquí vamos a tener varias bitácoras o varios logs,que son:

    Bitácora de Application: aquí se registran todos los eventos relacionados a las diferentes aplicaciones, ejemplo SQL Server, ExchangeServer, etc.

    Bitácora Directory Service: Bitácora del servicio de directorio en el cual se registran todos los eventos del Active Directory.

    DNS Server: en el cual se generan los eventos relacionados al DNS

    File Replication Service:  que es el encargado de replicar archivos como por ejemplo las políticas de grupos, para que todos loscontroladores de dominio tengan estos archivos.

    Security: es donde caen todos aquellos eventos que vienen generados por las auditorias.

    System: aquí están todos aquellos eventos de los diferentes componentes y servicios de Windows 2003.

    ADMINISTRACION DE LAS BITACORAS

    Para configurar las diferentes propiedades a los Logs o Bitácoras, lo primero que debemos de hacer es ubicar las bitácora en la cualqueramos modificar sus propiedades, le damos un clic derecho, propiedades, en las propiedades podemos estar modificando el Nombreque se despliega en el Event Viewer, podemos visualizar en donde se está almacenando en Log ejemploc:\windows\system32\config\NTDS.Evt , el tamaño que tiene actualmente, y podemos estar definiendo el tamaño máximo del archivo, esimportante que tengamos un parámetro 10MB equivalen aproximadamente a 20,000 eventos, y luego podemos estar modificando otrasopciones que ocurren cuando el tamaño máximo se alcanza, la primera opción es:

      Overwirte events as need: que vaya sobre escribiendo los eventos con forme sea necesario empezando por los eventos másantiguos.

      Overwrite events older tahn n Days: Sobre escriba los eventos que sean únicamente los eventos más antiguos que tengan X días.

  • 8/17/2019 Politicas de Auditoria y Plantillas Administrativas en Server 2012

    5/5

    Módulo 10 Página 5

      Do not overwrite events: No sobre escriba los eventos, cuando llegue a su tamaño máximo ya no va a seguir registrando máseventos, y todos los eventos que vengan después de eso ya no van hacer registrados, hasta que limpiemos manualmente el logde eventos.

    También tenemos un botón para estar realizando la limpieza del log, por ejemplo que queramos dejarlo sin nada, siempre nos va a preguntar si queremos guardar la bitácora antes de limpiarla, y nos pregunta el nombre con el cual queramos guardarlo.

    ¿Quiénes pueden estar modificando el LOG? Solo los Administradores y la cuenta del sistema pueden estar modificando las propiedadesde cada bitácora.

    EVENTOS COMUNES

    Existen algunos eventos comunes, eventos que debemos de tomar en cuenta o siempre sería bueno recordarlos, ejemplo:  EVENTO 528: sirve para aquellos Logon Exitosos.  EVENTO 529: Son todos aquellos intentos de ingreso No exitosos.

      EVENTO 539: Son todos aquellos intentos de ingreso utilizando cuentas bloqueadas.

      EVENTO 517: Es que se ha limpiado el LOG de Seguridad.

      EVENTO 513: Nos indica que le Sistema ha sido Apagado.

    Auditar el seguimiento de procesos nos permite disponer de un registro detallado de la ejecución de procesos, incluyendo el inicio de programa, salida del proceso, duplicación de manejadores y acceso indirecto a objetos. El seguimiento de procesos como mínimo, generaun evento para el inicio y salida de cada proceso. De este modo si se habilitan los aciertos se generan un gran número de eventos en el

    visor de sucesos.

    Esta auditoría resulta útil para la solución de problemas de aplicaciones y aprender cómo éstas trabajan, sin embargo debemos habilitarla porque tenemos razones claras para ello. Probablemente necesitaremos un método automatizado de análisis de los registros de sucesos para analizar los archivos de registro con éxito allí donde hemos habilitado el seguimiento de procesos.

    Los eventos más comunes son:

    592 Se ha creado un nuevo proceso.593 Proceso finalizado.594 Se ha duplicado un manejador para un objeto.595 Se ha obtenido acceso indirecto a un objeto.

    Al habilitar la auditoría de los eventos de sistema, podemos rastrear cuando un usuario o proceso altera aspectos del entorno del equipo.Los eventos comunes incluyen el vaciado de los registros de eventos de seguridad, el apagado del equipo local, y los cambios hechos enlos paquetes de autenticación funcionando en el equipo.

    Debe estar habilitada para grabar los reinicios del sistema y los intentos de limpieza de los registros de eventos.

    512 El sistema operativo se está iniciando.513 El sistema operativo se está apagando.514 Un paquete de autenticación se ha cargado mediante LSA.515 Un proceso de inicio de sesión de confianza se ha registrado con LSA.516 Los recursos internos asignados para el encolado de mensajes de eventos de seguridad se han agotado, esto llevará a la pérdida dealgunos mensajes de eventos de seguridad.517 Se ha limpiado el registro de Seguridad.518 Se cargó un paquete de notificación mediante la SAM.520 Se ha cambiado la hora del sistema.

    Descripción del evento de los recursos del AD.5136 Este evento se registra cuando se modifica correctamente un atributo del directorio.5137 Este evento se registra cuando se crea un objeto nuevo en el directorio.5138 Este evento se registra cuando se recupera un objeto en el directorio.5139 Este evento se registra cuando un objeto se desplaza en el directorio.