Contenido

DERECHOS DE USUARIOS EN WINDOWS 2008 .............................................................................. 2

UTILIZAR LAS PLANTILLAS DE SEGURIDAD ................................................................................ 2
PLANTILLAS DE SEGURIDAD ............................................................................................................ 2
COMO SE APLICAN LAS PLANTILLAS DE SEGURIDAD? ........................................................... 2
COMPROBANDO LAS POLITICAS DE SEGURIDAD ....................................................................... 3
SECURITY CONFIGURATION AND ANALYSIS ............................................................................... 3
CONFIGURACION DE LA AUDITORIA.............................................................................................. 3
TIPOS DE EVENTOS A AUDITAR ....................................................................................................... 3
BITACORAS DE SEGURIDAD.............................................................................................................. 4
LOS ARCHIVOS DE BITACORAS.................................................................................................... 4
ADMINISTRACION DE LAS BITACORAS ......................................................................................... 4
EVENTOS COMUNES ........................................................................................................................ 5

Mdulo 10

Pgina 1

DERECHOS DE USUARIOS EN WINDOWS 2008

Algo sumamente importante que debemos de tomar siempre en cuenta es conocer la diferencia entre un derecho y un permiso
DERECHOS: va a determinar tareas especficas que un usuario puede realizar en una computadora o en un dominio, los derechos aplican
en el sistema y afectan la operacin de una computadora o del dominio, como ejemplo podemos mencionar, apagar una computadora,
cambiar la hora del sistema etc.
PERMISOS: se va a definir como el Tipo de Acceso dado a un usuario o a grupo sobre un objeto o propiedad de este, por ejemplo
podemos mencionar, permiso de lectura sobre el archivo llamado Planilla.xls, permiso de lectura sobre un objeto dentro de una OU.

UTILIZAR LAS PLANTILLAS DE SEGURIDAD

Una poltica de Seguridad es una combinacin de configuraciones de seguridad que van a afectar a una computadora. Estas polticas se
pueden utilizar para establecer:

Polticas de Cuentas

Polticas Locales
Tanto en una computadora como en el Active Directory.

PLANTILLAS DE SEGURIDAD
Existe lo que se llama la Gua de Seguridad, de Windows Server 2008, y la Gua de Seguridad de Windows XP, Windows Vista y
Windows 7, estas guas de seguridad, proveen un grupo de Herramientas, Documentos, Plantillas de Seguridad, que nos pueden ayudar a
asegurar de mejor forma, ya sea nuestro servidor Windows 2008, o nuestras estaciones de trabajo, en los diferentes ambientes en los
cuales estn trabajando.
Cualquiera de estas guas de seguridad, est disponible para ser descargada del sitio Web de Microsoft Download Center. Es importante
conocer estas guas de seguridad, ya que los Templates de Seguridad, que podemos encontrar all son muy buenos. Existen Templates de
Seguridad cuando tenemos que asegurar un Servidor de Archivos, para asegurar un Domain Controler, para asegurar un Servidor con
Sitos Web publicados etc. Podemos estar encontrando todo este detalle.

COMO SE APLICAN LAS PLANTILLAS DE SEGURIDAD?

Para crear Plantillas de Seguridad, y aplicarlas a Nivel de Dominio, o una computadora local. Para eso trabajamos en lo que es el Snap-in
de Security Template, vamos hacia nuestras plantillas c:\Windows\Security\Templates, clic derecho New Template, aqu nos pregunta el
nombre de la plantilla y su descripcin, ejemplo Template Name: XP ya que esta plantilla me va a servir para asegurar las estaciones de
trabajo XP, al crearla podemos observar una nueva plantilla que se llama XP, lo que resta por hacer es realizar todas las configuraciones,
que nosotros queramos, por ejemplo, bajo Acoount Polices, Account Lockout Policies, podemos poner polticas de bloqueo de cuentas,
para que a los 3 intentos nos bloquee la cuenta, Podemos estar poniendo tambin las Polticas de Auditoria, est bajo Local Policies,
Audit Policy, por ejemplo estar auditando todo lo que se refiere a los eventos de logon, (Audit Logon Events) auditor los xitos para saber
a qu horas ingresan las personas. Y aqu realizaramos entonces todas las configuraciones que nosotros creamos que son necesarias para
una computadora XP.
Luego que ya tenemos esta plantilla nos vamos al Snap-In del LOCAL COMPUTER POLICY, esto es si queremos utilizarla para una
maquina local, es decir vamos uno a uno aplicndola, y para aplicarla nos vamos al Computer Configuration, Windows Settings, Security
Settings, es donde vamos a importar la plantilla que hemos creado, clic derecho en Security Settings, Import Policy, y elegimos la poltica
que habamos creado XP.INF , con esto me importa todas las caractersticas que defin en la poltica XP.
Tambin lo podemos estar haciendo a Nivel de Dominio, es decir para que aplique a ms de una computadora, abrimos el Group Policy
Management, Forest, Domains, Group Policy Objects, sobre la GPO que vamos a estar importando la plantilla de seguridad ejemplo IT
General, clic derecho, edit, cuando se abre esta poltica vamos al Computer Configuration, Windows Settings, Security Settings, clic
derecho Import Policy, y all agregamos la poltica que definimos anteriormente XP.INF y con eso entonces ya la tenemos configurada en
nuestra GPO para aplicarse a nivel de dominio.

Mdulo 10

Pgina 2

COMPROBANDO LAS POLITICAS DE SEGURIDAD

SECURITY CONFIGURATION AND ANALYSIS
Para analizar configuraciones de seguridad diferentes, para eso hemos estado trabajando en el Snap-in del SECURITY TEMPLATES y
nos ha interesado la poltica del HISECDC (alta seguridad del Domain Controler) y nos interesara aplicar esta poltica a todos mis
Domain Controlers, ahora bien, que cambios tendra al estarle aplicando esta poltica de seguridad a los Domain Controlers, entonces para
conocer que va a cambiar al aplicar esta poltica, puedo utilizar la herramienta que es Security Configuration and Anlisis (configuracin
y anlisis de la seguridad) es una herramienta que trae su Snap-in el cual lo podemos agregar, y para funcionar lo que tenemos que hacer
es darle clic derecho, Open Data Base, con esto vamos a abrir una base de datos, al momento de abrir una base de datos, le ponemos el
nombre ejemplo hisecdc, esta base de datos nos va a servir como almacenamiento aqu van a caer todos los resultados del anlisis que
estemos realizando, le damos open, y luego nos pregunta, cual es la poltica o cual es el Template de seguridad que queremos analizar, en
este caso el template o plantilla de seguridad HISECDC.INF le damos open, entonces, lo que va a estar haciendo esto es analizar esta
plantilla de seguridad contra los settings de seguridad que tengo actualmente en mi Domain Controler. Le damos clic derecho y le
decimos Analyse Computer Now, empieza a analizar todos los settings de seguridad y me muestra el resultado. Y podemos estar viendo
por ejemplo la polticas de Password, vemos la columna del Computer Settings, esta columna me muestra los settings actuales que tiene la
computadora, y en la columna Database Settings, son los settings de seguridad que traen la plantilla que quiero analizar, en este caso es la
plantilla hisecdc, hay algunos que coinciden en las dos columnas y hay otros que no coinciden, los que no coinciden se marcaran con una
x, el cual nos vuelve a decir los settings de la poltica actual, versus, los settings que cambiaran si aplicamos la plantilla de seguridad que
estamos analizando, de esta manera, podemos estar analizando cuales son los cambios que podra llegar a tener, en el momento en que
llegara a aplicar, una plantilla de seguridad especifica.

CONFIGURACION DE LA AUDITORIA
La auditora es el proceso de dar seguimiento a las actividades de los usuarios y el Sistema Operativo, al almacenar cierto tipo de eventos,
en la bitcora de seguridad, ya sea de un servidor, o una estacin de trabajo.
Las auditorias las estaremos habilitando con el objetivo de:

Crear una lnea base de las operaciones normales de la red y computadoras.

Detectar los intentos de penetracin a la red o a una computadora.

Determinar si el sistema o la informacin ha sido comprometida durante o despus de un incidente de seguridad.

Prevenir daos futuros a la red o a las computadoras despus que un atacante ha penetrado la red.
Los tipos ms comunes de eventos a auditar son:

Acceso a objetos como lo son ver archivos y carpetas

Manejo de cuentas de usuarios y grupos.

Ingresos y salida del sistema por parte de los usuarios.

Una poltica de auditoria define el tipo de evento de seguridad que ser almacenado en la bitcora de seguridad de cada una de las
computadoras, las polticas de auditoria son configuradas para:

Dar seguimiento a eventos de xito o fracaso.

Minimizar el riesgo del uso inautorizado de los recursos.

Mantener un registro de la actividad de los usuarios y los administradores.

TIPOS DE EVENTOS A AUDITAR

Para configurar las polticas de auditoria, para eso vamos a estarlas trabajando o configurando en una GPO a nivel de dominio, pero
tambin puede implementarse o configurarse en una poltica local en cada una de las computadoras..
Abrimos el Group Policy Object Editor, editamos la GPO que queremos ejemplo IT General, bajo Computer Configuration, Windows
Settings, Security Settings, Local Policy, Audit Policy, aqu encontramos la polticas de auditoria, existen varios eventos que podemos
estar monitoreando, ejemplo:
Audit account logon events: eventos relacionados a registrar las diferentes autenticaciones de usuarios, por una base de datos de
seguridad, es decir ya sea por el Active Directory o por la base de datos de seguridad local en cada una de las computadoras.
Audit account management: Eventos para el manejo o la administracin de las cuentas
Audit directory service access: Acceso al servicio de directorios, esto es, todos los cambios o modificaciones que hagamos sobre los
objetos del AD.
Audit logon events: Estos eventos de logon nos sirven para registrar los usuarios que ingresan en una computadora en especfico, no
importando si son locales o de dominio.
Audit object acces: nos sirve para estar monitoreando el acceso a archivos, carpetas, e impresoras.

Mdulo 10

Pgina 3

Audit policy change: tambin podemos monitorear cambios en las polticas.

Audit privilege use: tambin podemos monitorear cuando un usuario ejerce un derecho en especial, recordemos que tenemos derechos y
permisos, aqu vamos a monitorear cuando un usuario ejerce un derecho especfico.
Audit process tracking: nos sirve para monitorear las aplicaciones estar monitoreando que es lo que las aplicaciones estn realizando,
esto generalmente lo va a estar utilizando un desarrollador.
Audit System Events: los eventos de sistema, aqu se van a registrar todos aquellos eventos que el sistema nos despliegue, ejemplo
reiniciar o apagar una computadora.
Para habilitarlos simplemente le damos un clic derecho, propiedades, y los habilitamos si queremos auditar los Success, o los Failure,
xito como fracaso, podemos habilitar ambos, sobre la poltica que queremos auditar, luego la ventana nos dice que poltica tenemos
definida, y si estamos auditando el xito o el fracaso o ambos, en cada una de ellas.
La habilitarlas empieza a guardar los eventos en la bitcora de seguridad, existen dos de estos eventos que no van a generarnos ningn
evento en la bitcora de seguridad, lo que es el Audit Directory Services Access, monitorear lo que est pasando con los objetos del AD, y
el Audit Object Access, que son los archivos carpetas o impresoras. Que es lo que ocurre, si yo le digo que quiero auditar el Object
Access, le doy clic derecho, y le digo que quiero habilitar los eventos exitosos, lo que va a ocurrir es que est habilitado, pero luego tengo
que ir a un archivo o a una carpeta, y all decirle que los quiero auditar, igual sucede para los objetos del AD. Tengo que ir hacia el objeto
del AD en especfico que quiero estar auditando y le digo que lo quiero auditar.
Existen algunas guas que nos van a ayudar, en la planeacin de las polticas de auditoria.

Determinar en qu computadoras se habilitara la auditoria.

Determinar que eventos se van a auditar, no debemos de estar poniendo todos los eventos que podamos, ya que esto genera
carga extra al sistema operativo.

Estar seguro si queremos auditar los xitos o Fracasos.

Determinar si se analizarn las tendencias

Revisar los LOGS frecuentemente. Ya que si no lo revisamos frecuentemente realmente el proceso o las polticas de auditoria
no tendran sentido.

BITACORAS DE SEGURIDAD
LOS ARCHIVOS DE BITACORAS
Para ubicar o visualizar, las diferentes bitcoras o Logs, en Windows Server 2003, para eso nos vamos al Computer Management, botn
derecho sobre Mi Pc, Management, o administrar, bajo System Tools, Event Viewer, aqu vamos a tener varias bitcoras o varios logs,
que son:
Bitcora de Application: aqu se registran todos los eventos relacionados a las diferentes aplicaciones, ejemplo SQL Server, Exchange
Server, etc.
Bitcora Directory Service: Bitcora del servicio de directorio en el cual se registran todos los eventos del Active Directory.
DNS Server: en el cual se generan los eventos relacionados al DNS
File Replication Service: que es el encargado de replicar archivos como por ejemplo las polticas de grupos, para que todos los
controladores de dominio tengan estos archivos.
Security: es donde caen todos aquellos eventos que vienen generados por las auditorias.
System: aqu estn todos aquellos eventos de los diferentes componentes y servicios de Windows 2003.

ADMINISTRACION DE LAS BITACORAS

Para configurar las diferentes propiedades a los Logs o Bitcoras, lo primero que debemos de hacer es ubicar las bitcora en la cual
queramos modificar sus propiedades, le damos un clic derecho, propiedades, en las propiedades podemos estar modificando el Nombre
que se despliega en el Event Viewer, podemos visualizar en donde se est almacenando en Log ejemplo
c:\windows\system32\config\NTDS.Evt , el tamao que tiene actualmente, y podemos estar definiendo el tamao mximo del archivo, es
importante que tengamos un parmetro 10MB equivalen aproximadamente a 20,000 eventos, y luego podemos estar modificando otras
opciones que ocurren cuando el tamao mximo se alcanza, la primera opcin es:

Overwirte events as need: que vaya sobre escribiendo los eventos con forme sea necesario empezando por los eventos ms
antiguos.

Overwrite events older tahn n Days: Sobre escriba los eventos que sean nicamente los eventos ms antiguos que tengan X das.

Mdulo 10

Pgina 4

Do not overwrite events: No sobre escriba los eventos, cuando llegue a su tamao mximo ya no va a seguir registrando ms
eventos, y todos los eventos que vengan despus de eso ya no van hacer registrados, hasta que limpiemos manualmente el log
de eventos.

Tambin tenemos un botn para estar realizando la limpieza del log, por ejemplo que queramos dejarlo sin nada, siempre nos va a
preguntar si queremos guardar la bitcora antes de limpiarla, y nos pregunta el nombre con el cual queramos guardarlo.
Quines pueden estar modificando el LOG? Solo los Administradores y la cuenta del sistema pueden estar modificando las propiedades
de cada bitcora.

EVENTOS COMUNES
Existen algunos eventos comunes, eventos que debemos de tomar en cuenta o siempre sera bueno recordarlos, ejemplo:

EVENTO 528: sirve para aquellos Logon Exitosos.

EVENTO 529: Son todos aquellos intentos de ingreso No exitosos.

EVENTO 539: Son todos aquellos intentos de ingreso utilizando cuentas bloqueadas.

EVENTO 517: Es que se ha limpiado el LOG de Seguridad.

EVENTO 513: Nos indica que le Sistema ha sido Apagado.

Auditar el seguimiento de procesos nos permite disponer de un registro detallado de la ejecucin de procesos, incluyendo el inicio de
programa, salida del proceso, duplicacin de manejadores y acceso indirecto a objetos. El seguimiento de procesos como mnimo, genera
un evento para el inicio y salida de cada proceso. De este modo si se habilitan los aciertos se generan un gran nmero de eventos en el
visor de sucesos.
Esta auditora resulta til para la solucin de problemas de aplicaciones y aprender cmo stas trabajan, sin embargo debemos habilitarla
porque tenemos razones claras para ello. Probablemente necesitaremos un mtodo automatizado de anlisis de los registros de sucesos
para analizar los archivos de registro con xito all donde hemos habilitado el seguimiento de procesos.
Los eventos ms comunes son:
592 Se ha creado un nuevo proceso.
593 Proceso finalizado.
594 Se ha duplicado un manejador para un objeto.
595 Se ha obtenido acceso indirecto a un objeto.
Al habilitar la auditora de los eventos de sistema, podemos rastrear cuando un usuario o proceso altera aspectos del entorno del equipo.
Los eventos comunes incluyen el vaciado de los registros de eventos de seguridad, el apagado del equipo local, y los cambios hechos en
los paquetes de autenticacin funcionando en el equipo.
Debe estar habilitada para grabar los reinicios del sistema y los intentos de limpieza de los registros de eventos.
512 El sistema operativo se est iniciando.
513 El sistema operativo se est apagando.
514 Un paquete de autenticacin se ha cargado mediante LSA.
515 Un proceso de inicio de sesin de confianza se ha registrado con LSA.
516 Los recursos internos asignados para el encolado de mensajes de eventos de seguridad se han agotado, esto llevar a la prdida de
algunos mensajes de eventos de seguridad.
517 Se ha limpiado el registro de Seguridad.
518 Se carg un paquete de notificacin mediante la SAM.
520 Se ha cambiado la hora del sistema.
Descripcin del evento de los recursos del AD.
5136 Este evento se registra cuando se modifica correctamente un atributo del directorio.
5137 Este evento se registra cuando se crea un objeto nuevo en el directorio.
5138 Este evento se registra cuando se recupera un objeto en el directorio.
5139 Este evento se registra cuando un objeto se desplaza en el directorio.

Mdulo 10

Pgina 5