Auditando accesos a servicios de directorio

Podemos auditar los cambios en el servicio de directorio Active Directory habilitando la auditora correspondiente. Aunque tengamos habilitada la auditora de sucesos de administracin de cuentas, puede que queramos seguir los cambios a otros objetos de AD. Para auditar los aciertos y los errores en objetos de AD o sus atributos, no slo debemos habilitar la auditora en todos los DC, sino que adems debemos con igurar los !AC" #system access control list$ para cada objeto o atributo que queramos auditar. Como a%adido a la grabacin de cambios en objetos y atributos de AD se grabarn sucesos como la replicacin. Consecuentemente, habilitando esta auditoria para aciertos aumentaremos las entradas en el log de eventos, resultando en un incremento de tama%o del archivo log y con ello cierta di icultad en locali&ar signi icativos sucesos sin la ayuda de herramientas so isticadas para iltrar el log. !i de inimos esta directiva, podemos indicar si auditamos aciertos o errores. "o primero genera una entrada cuando un usuario accede con '(ito a un objeto de AD que tiene una !AC" especi icada. "os errores generan entradas cuando un usuario intenta sin '(ito acceder a un objeto de AD con una !AC" especi icada. AD es una base de datos m)ltiple, lo que signi ica que cualquier cambio puede ser escrito en cualquier DC, debemos asegurarnos que la auditora est' habilitada en todos los DC. "a mejor manera de asegurarse es crear un objeto de directiva de grupo a nivel de dominio. *odos los eventos de directorio, tanto aciertos como errores, tendrn un +D ,-, o ,--. *endremos que e(aminar los detalles de cada ,-, o ,-- para ver si ue o no, correctamente reali&ado. .l evento ,-, en /indo/s 0111 nos permite el seguimiento de cambios en objetos de AD a nivel de propiedad, mientras que la administracin de cuentas proporciona ms utilidad para cambios de usuarios, grupos y equipos.

Auditando eventos de inicio de sesin

2abilitar esta auditora nos permitir hacer un seguimiento de cada ve& que un usuario inicia o cierra sesin en un equipo. .l evento se registra en el log de seguridad del equipo donde se produce el intento. De orma similar, cuando un usuario o equipo conecta a un equipo remoto, se genera una entrada en el log de seguridad del equipo remoto para el inicio de sesin en red. .stos eventos se crean cuando el inicio de sesin y el to3en se crea o elimina. En Windows 2000, ya que los inicios de sesin en Terminal Services se tratan como inicios interactivos, una sesin remota de TS registra un evento de inicio de sesin. Si habilitamos la auditora en un equi o con servicios de Terminal, debemos di!erenciar entre los inicios de sesin de consola y los de Terminal Services. En Windows 200" y #$, los servicios de Terminal est%n di!erenciados de los inicios de sesin interactivos.

"os eventos de inicio de sesin auditan los intentos de los usuarios de iniciar sesin y de los equipos donde lo intentan. 4bservaremos de orma separada las entradas para cuentas de equipo y cuentas de usuario si el intento es en una cone(in de red. 5 Si hay equi os a&n con w'()'* slo se registrar%n los inicios de sesin de los usuarios ya que estos s.o. no tienen cuentas de equi o en el directorio y or tanto no generan entradas eventos de inicio de sesin en red. "os eventos de inicio de sesin pueden ser )tiles para el seguimiento de los intentos de inicios de sesin interactivos en servidores o para investigar ataques contra equipos espec icos. "os aciertos generan una entrada cuando el intento ha tenido '(ito, mientras, obviamente, los errores se registran cuando el intento ha sido allido. 6na sutil e imperceptible di erencia, pero muy importante, e(iste entre auditar inicios de sesin de cuentas y de inicios de sesin7 mientras los primeros se registran en el equipo donde se autentica la cuenta, los segundos lo hacen donde se usa la cuenta. .n los DC donde est' habilitada la auditora se graban solamente los intentos de inicio de sesin interactivos o de red en el propio DC. 8enerndose entradas de aciertos o errores dependiendo del '(ito del intento. Debemos habilitar siempre ambos, aciertos y errores. "os aciertos nos proporcionan una base sobre el comportamiento de inicio de sesin del usuario que puede sernos )til en casos de comportamientos e(tra%os. De orma similar, el registro de eventos con '(ito es una evidencia en cualquier equipo que investiguemos. Al reali&ar el seguimiento de los eventos de error, podemos ser capaces de prevenir ataques de red o evitar da%os a la misma respondiendo activamente a los comportamientos sospechosos.

Auditora de acceso a objetos

Cuando habilitamos la auditora sobre los objetos podemos reali&ar un seguimiento sobre los intentos, con '(ito o allidos, de acceso a archivos, impresoras y registro de recursos. Como en la auditora de servicios de directorio, cuando habilitamos 'sta tambi'n necesitaremos con igurar la !AC" en cada recurso que queremos auditar. Pongamos por caso que queremos auditar el acceso a una carpeta #o archivo$ local9

Antes de con igurar la auditora de archivos y carpetas, hemos de habilitar la auditora de acceso a objetos#5$. :. Abrimos el .(plorador de ;indo/s.

2. Clic derecho en el archivo o carpeta que queremos controlar, clic en Propiedades y,

despu's, icha Seguridad.

3. Clic en Avanzadas, luego, icha Auditora.

<. Ahora9

Con igurarla para un usuario o grupo nuevo, clic en Agregar. .n Escriba el nombre del objeto a seleccionar, escribimos el nombre del usuario o grupo y, luego aceptamos. =uitarla para un grupo o usuario e(istente, clic en su nombre, Quitar, Aceptar, hemos inali&ado. >erla y?o modi icarla la de un grupo o usuario e(istente, clic en su nombre, Modificar.

5. Aplicar en, seleccionamos la ubicacin donde queremos reali&arla. 6. Acceso, indicamos lo que queremos auditar, marcando las casillas que queremos9

A. @arcar?desmarcar Correctos para auditar o no los sucesos correctos. @arcar?desmarcar Errneos para auditar o no los sucesos errneos. Borrar todo.

!i no queremos herencia para los archivos y subcarpetas activamos la casilla Aplicar estos valores de auditora slo a los objetos !o contenedores dentro de este contenedor .

2e iniciado sesin, ido a la carpeta B.C6B!4 y creado una subcarpeta. .n el visor de sucesos ha quedado constancia de tal accin.

Debemos iniciar sesin como miembro del grupo Administradores o tener los privilegios para Administrar el registro de auditora seguridad en Directiva de grupo para reali&ar estos procedimientos. Despu's de habilitar la auditora de acceso a objetos, mirar el registro de seguridad del >isor de sucesos para ver el resultado de los cambios. !lo podemos con igurar la auditora de archivos y carpetas en unidades C*D!.

!9

o o

.n el dilogo Entrada de auditora para archivo o carpeta, cuadro Acceso, las casillas estn di uminadas E .n el dilogo Configuracin de seguridad avanzada para archivo o carpeta, el botn Quitar est di uminado E

es porque la auditora se ha heredado de la carpeta principal.

Como el registro de seguridad est limitado a un tama%o, hemos de calcular bien los archivos y carpetas que queremos controlar #aunque el tama%o del registro podemos aumentarlo si es necesario$

#5$ Habilitar la auditora de acceso a objetos

+ocalmente

>amos a con iguracin de seguridad local.

+&quierda FG Directiva de auditora #Con iguracin de seguridad FG Directivas "ocales FG Directiva de auditora$

.n el panel de detalles, clic doble en los sucesos que queremos con igurar la directiva.

@arcamos la?s casilla?s convenientes de Correctos?.rrneos y pulsamos en Aceptar.

En ,-.s con el aquete de herramientas de administracin de Windows Server 200"

>amos a Directiva de seguridad del controlador de dominio.

.n el rbol de la consola clicamos en Directiva de auditora #Con iguracin del equipo HG Con iguracin de ;indo/sFG Con iguracin de seguridad HG Directivas locales HG Directiva de auditora$

.n el panel de detalles, clic doble en los sucesos que queremos con igurar la directiva. !i lo hacemos por primera ve&, marcamos la casilla "efinir esta configuracin de directiva . @arcamos la?s casilla?s convenientes de Correctos?.rrneos y pulsamos en Aceptar.

,ominio o una /0, desde un ,- con el aquete de herramientas de administracin.

>amos al complemento de 6suarios y equipos de Active Directory.

.n el rbol de la consola, clic botn secundario en el dominio u 46 al que queremos establecer la Directiva de grupo. Clic en Propiedades.

Dicha "irectiva de grupo. Clic en Editar y abrimos la 8P4 que queremos cambiar?modi icar, o en #uevo si lo que queremos es crear una nueva 8P4 y, despu's de darle nombre, clic en Editar.

.n el rbol de la consola clicamos en Directiva de auditora #Con iguracin del equipo HG Con iguracin de ;indo/s HG Con iguracin de seguridad HG Directivas locales HG Directiva de auditora$ .n el panel de detalles, clic doble en los sucesos que queremos con igurar la directiva. !i lo hacemos por primera ve&, marcamos la casilla "efinir esta configuracin de directiva . @arcamos la?s casilla?s convenientes de Correctos?.rrneos y pulsamos en Aceptar.

,ominio o una /0, desde un servidor miembro o estacin de traba1o unida al dominio

+nicioFG.jecutar escribimos @@C y pulsamos .C*.B#Abrimos la consola @@C$.

@en) Arc$ivo%&Agregar o 'uitar complemento%&Agregar . Clic en Editor de objetos de directiva de grupo%&Agregar .

.n la ventana Seleccionar un objeto de directiva de grupo del Asistente para directivas de grupo, clic en E(aminar.

.n Buscar un objeto directiva de grupo, seleccionamos una 8P4, en el dominio, sitio o unidad organi&ativa, e(istente #o creamos una nueva$, luego clic en Aceptar, para terminar clicando en )inalizar. Cerramos y Aceptamos.

.n el rbol de la consola clicamos en Directiva de auditora #Con iguracin del equipoF GCon iguracin de ;indo/sFGCon iguracin de seguridadFGDirectivas localesFGDirectiva de auditora$ .n el panel de detalles, clic doble en los sucesos que queremos con igurar la directiva. !i lo hacemos por primera ve&, marcamos la casilla "efinir esta configuracin de directiva . @arcamos la?s casilla?s convenientes de Correctos?.rrneos y pulsamos en Acepta

Auditora de acceso a objetos *SAC+,

Como comentaba en la auditora de acceso a objetos, necesitamos con igurar la !AC" para cada objeto que queramos auditar. 6na !AC" se compone de AC.s #.ntradas de control de acceso$ y cada AC. contiene tres elementos9

.l principal de seguridad #usuario, equipo o grupo$ a ser auditado. .l tipo de acceso espec ico a auditarse, denominado mscara de acceso. 6na bandera para indicar que se auditan los errores, los aciertos, o ambos.

!i tenemos claro que queremos grabar los intentos de acceso en archivos, claves del registro o impresoras, debemos habilitar la auditora y crear la !AC" en el recurso. Tened recaucin cuando auditamos ermisos de lectura2e1ecucin de archivos e1ecutables ya que se roducen gran cantidad de eventos a grabar. 0n antivirus rovoca cientos de accesos a ob1etos cada ve3 que escanea el sistema y la auditora est4 habilitada ara control com leto 5!ull control6. Debemos de inir slo las acciones que queremos habilitar al con igurar la !AC". 7ntes de im lementar la auditora de archivos, claves del registro o im resoras, debemos asegurarnos que la misma no a!ecta al rendimiento del servidor y)o el recurso, y nos cree roblemas en los rocesos de traba1o. Al habilitar la auditora, podemos grabar los intentos allidos y acertados de acceso a archivos, claves del registro y impresoras, se generan las entradas correspondientes, las ms comunes9

!i adems se ejecutara Certi icate !ervices podran aparecer otros eventos relacionados con certi icados.

Auditora de cambios en directivas

.sta auditora nos permite reali&ar un seguimiento de cambios en tres reas9

Asignacin de derechos de usuario. Directivas de auditora. Belaciones de con ian&a entre dominios.

Aunque la auditora de cambios en directivas implica que este evento graba la directiva de seguridad de equipo, el evento se graba cuando la auditora de administracin de cuentas est habilitada con un +D -<I. "os cambios en derechos de usuario se graban cuando los cambios en directivas se auditan. 6n atacante puede elevar sus propios privilegios o los de otra cuenta a%adiendo un privilegio de depurador o de copia de seguridad de archivos o carpetas. "a auditora de cambios en directiva tambi'n incluye los cambios de directiva en s mismo y los cambios en las relaciones de con ian&a. Debemos habilitar tanto los aciertos como los errores para un seguimiento correcto. Eventos m-s comunes.

Auditora del uso de privilegios

Al habilitar esta auditora registramos el momento en que un usuario o servicio utili&a uno de los derechos de usuario para llevar a cabo un procedimiento, con la e(cepcin de unos pocos derechos de usuario que no se auditarn. "os derechos que no se auditan9

!altarse la comprobacin de recorrido Depuracin de programas Creacin de un to3en Beempla&ar to3en de nivel de proceso 8enerar auditoras de seguridad Copia de seguridad de archivos y directorios#5$ Bestaurar archivos y directorios#5$

5 ;indo/s !erver 011I, 0111 y JP disponen de una con iguracin de directiva de grupo bajo 4pciones de seguridad llamada Auditora9 auditar el uso del privilegio de copia de seguridad y restauracin.

"a auditora del uso de privilegios nos permite detectar eventos asociados con ataques bastante comunes, entre estos eventos tenemos a9

Apagado de un equipo local o remoto. Carga?descarga de controladores de dispositivo. >er el registro de seguridad. *omar propiedad de objetos. Actuar como parte del sistema operativo.

Debemos habilitar los errores como mnimo, ya que es un indicador de un problema de red y recuentemente podra ser un signo de haber intentado aprovechar alguna brecha de seguridad. "os aciertos debemos habilitarlos en caso de ra&ones espec icas para hacerlo, ya que se produce una entrada cada ve& que un usuario hace uso correcto de sus privilegios.

Auditora de seguimiento de procesos de eventos de sistema/

Auditar el seguimiento de procesos nos permite disponer de un registro detallado de la ejecucin de procesos, incluyendo el inicio de programa, salida del proceso, duplicacin de manejadores y acceso indirecto a objetos. .l seguimiento de procesos como mnimo, genera un evento para el inicio y salida de cada proceso. De este modo si se habilitan los aciertos se generan un gran n)mero de eventos en el visor de sucesos. .sta auditora resulta )til para la solucin de problemas de aplicaciones y aprender cmo 'stas trabajan, sin embargo debemos habilitarla porque tenemos ra&ones claras para ello. Probablemente necesitaremos un m'todo automati&ado de anlisis de los registros de sucesos para anali&ar los archivos de registro con '(ito all donde hemos habilitado el seguimiento de procesos.

"os eventos ms comunes son9

,K0 ,KI ,K< ,K,

!e ha creado un nuevo proceso. Proceso inali&ado. !e ha duplicado un manejador para un objeto. !e ha obtenido acceso indirecto a un objeto.

Al habilitar la auditora de los eventos de sistema, podemos rastrear cuando un usuario o proceso altera aspectos del entorno del equipo. "os eventos comunes incluyen el vaciado de los registros de eventos de seguridad, el apagado del equipo local, y los cambios hechos en los paquetes de autenticacin uncionando en el equipo. Debe estar habilitada para grabar los reinicios del sistema y los intentos de limpie&a de los registros de eventos.

,:0 ,:I ,:< ,:, ,:,:A ,:L ,01

.l sistema operativo se est iniciando. .l sistema operativo se est apagando. 6n paquete de autenticacin se ha cargado mediante "!A. 6n proceso de inicio de sesin de con ian&a se ha registrado con "!A. "os recursos internos asignados para el encolado de mensajes de eventos de seguridad se han agotado, esto llevar a la p'rdida de algunos mensajes de eventos de seguridad. !e ha limpiado el registro de !eguridad. !e carg un paquete de noti icacin mediante la !A@. !e ha cambiado la hora del sistema.