Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Mdulo 10
Pgina 1
Polticas de Cuentas
Polticas Locales
Tanto en una computadora como en el Active Directory.
PLANTILLAS DE SEGURIDAD
Existe lo que se llama la Gua de Seguridad, de Windows Server 2008, y la Gua de Seguridad de Windows XP, Windows Vista y
Windows 7, estas guas de seguridad, proveen un grupo de Herramientas, Documentos, Plantillas de Seguridad, que nos pueden ayudar a
asegurar de mejor forma, ya sea nuestro servidor Windows 2008, o nuestras estaciones de trabajo, en los diferentes ambientes en los
cuales estn trabajando.
Cualquiera de estas guas de seguridad, est disponible para ser descargada del sitio Web de Microsoft Download Center. Es importante
conocer estas guas de seguridad, ya que los Templates de Seguridad, que podemos encontrar all son muy buenos. Existen Templates de
Seguridad cuando tenemos que asegurar un Servidor de Archivos, para asegurar un Domain Controler, para asegurar un Servidor con
Sitos Web publicados etc. Podemos estar encontrando todo este detalle.
Mdulo 10
Pgina 2
CONFIGURACION DE LA AUDITORIA
La auditora es el proceso de dar seguimiento a las actividades de los usuarios y el Sistema Operativo, al almacenar cierto tipo de eventos,
en la bitcora de seguridad, ya sea de un servidor, o una estacin de trabajo.
Las auditorias las estaremos habilitando con el objetivo de:
Prevenir daos futuros a la red o a las computadoras despus que un atacante ha penetrado la red.
Los tipos ms comunes de eventos a auditar son:
Mdulo 10
Pgina 3
Determinar que eventos se van a auditar, no debemos de estar poniendo todos los eventos que podamos, ya que esto genera
carga extra al sistema operativo.
Revisar los LOGS frecuentemente. Ya que si no lo revisamos frecuentemente realmente el proceso o las polticas de auditoria
no tendran sentido.
BITACORAS DE SEGURIDAD
LOS ARCHIVOS DE BITACORAS
Para ubicar o visualizar, las diferentes bitcoras o Logs, en Windows Server 2003, para eso nos vamos al Computer Management, botn
derecho sobre Mi Pc, Management, o administrar, bajo System Tools, Event Viewer, aqu vamos a tener varias bitcoras o varios logs,
que son:
Bitcora de Application: aqu se registran todos los eventos relacionados a las diferentes aplicaciones, ejemplo SQL Server, Exchange
Server, etc.
Bitcora Directory Service: Bitcora del servicio de directorio en el cual se registran todos los eventos del Active Directory.
DNS Server: en el cual se generan los eventos relacionados al DNS
File Replication Service: que es el encargado de replicar archivos como por ejemplo las polticas de grupos, para que todos los
controladores de dominio tengan estos archivos.
Security: es donde caen todos aquellos eventos que vienen generados por las auditorias.
System: aqu estn todos aquellos eventos de los diferentes componentes y servicios de Windows 2003.
Overwirte events as need: que vaya sobre escribiendo los eventos con forme sea necesario empezando por los eventos ms
antiguos.
Overwrite events older tahn n Days: Sobre escriba los eventos que sean nicamente los eventos ms antiguos que tengan X das.
Mdulo 10
Pgina 4
Do not overwrite events: No sobre escriba los eventos, cuando llegue a su tamao mximo ya no va a seguir registrando ms
eventos, y todos los eventos que vengan despus de eso ya no van hacer registrados, hasta que limpiemos manualmente el log
de eventos.
Tambin tenemos un botn para estar realizando la limpieza del log, por ejemplo que queramos dejarlo sin nada, siempre nos va a
preguntar si queremos guardar la bitcora antes de limpiarla, y nos pregunta el nombre con el cual queramos guardarlo.
Quines pueden estar modificando el LOG? Solo los Administradores y la cuenta del sistema pueden estar modificando las propiedades
de cada bitcora.
EVENTOS COMUNES
Existen algunos eventos comunes, eventos que debemos de tomar en cuenta o siempre sera bueno recordarlos, ejemplo:
EVENTO 539: Son todos aquellos intentos de ingreso utilizando cuentas bloqueadas.
Auditar el seguimiento de procesos nos permite disponer de un registro detallado de la ejecucin de procesos, incluyendo el inicio de
programa, salida del proceso, duplicacin de manejadores y acceso indirecto a objetos. El seguimiento de procesos como mnimo, genera
un evento para el inicio y salida de cada proceso. De este modo si se habilitan los aciertos se generan un gran nmero de eventos en el
visor de sucesos.
Esta auditora resulta til para la solucin de problemas de aplicaciones y aprender cmo stas trabajan, sin embargo debemos habilitarla
porque tenemos razones claras para ello. Probablemente necesitaremos un mtodo automatizado de anlisis de los registros de sucesos
para analizar los archivos de registro con xito all donde hemos habilitado el seguimiento de procesos.
Los eventos ms comunes son:
592 Se ha creado un nuevo proceso.
593 Proceso finalizado.
594 Se ha duplicado un manejador para un objeto.
595 Se ha obtenido acceso indirecto a un objeto.
Al habilitar la auditora de los eventos de sistema, podemos rastrear cuando un usuario o proceso altera aspectos del entorno del equipo.
Los eventos comunes incluyen el vaciado de los registros de eventos de seguridad, el apagado del equipo local, y los cambios hechos en
los paquetes de autenticacin funcionando en el equipo.
Debe estar habilitada para grabar los reinicios del sistema y los intentos de limpieza de los registros de eventos.
512 El sistema operativo se est iniciando.
513 El sistema operativo se est apagando.
514 Un paquete de autenticacin se ha cargado mediante LSA.
515 Un proceso de inicio de sesin de confianza se ha registrado con LSA.
516 Los recursos internos asignados para el encolado de mensajes de eventos de seguridad se han agotado, esto llevar a la prdida de
algunos mensajes de eventos de seguridad.
517 Se ha limpiado el registro de Seguridad.
518 Se carg un paquete de notificacin mediante la SAM.
520 Se ha cambiado la hora del sistema.
Descripcin del evento de los recursos del AD.
5136 Este evento se registra cuando se modifica correctamente un atributo del directorio.
5137 Este evento se registra cuando se crea un objeto nuevo en el directorio.
5138 Este evento se registra cuando se recupera un objeto en el directorio.
5139 Este evento se registra cuando un objeto se desplaza en el directorio.
Mdulo 10
Pgina 5