Objetivo de la Auditoría

Cuando hablamos de auditoría lo primero que nos viene a la cabeza es una pregunta:
¿por qué necesito auditar un ordenador? Son varios los motivos por los que no sólo es
importante sino necesario, hacer un seguimiento de los equipos informáticos con los que
trabajamos.

La primera razón es para saber qué hardware tenemos instalado. Cuando compramos un
equipo sabemos perfectamente lo que tiene, pero en las empresas es habitual que con el
uso diario falle algo y se cambie un componente. También es frecuente que para
mejorar el rendimiento se añada memoria o un disco duro por ejemplo. Todos estos
cambios hacen que con el tiempo, el ordenador inicial que compramos no se parezca en
mucho al que actualmente tenemos. Con un buen programa de auditoría se puede
conocer el hardware que hay instalado lo que nos facilita la tarea a la hora de planear
futuras ampliaciones o mejoras.

Otra razón es conocer los programas que tenemos instalados. A lo largo de la vida de un
equipo es frecuente que instalemos y desinstalemos programas. Esto no sólo repercute
en el rendimiento del equipo sino que en muchas ocasiones es frecuente que las
instalaciones dejen ficheros residentes que no se borran por completo (ocupan espacio y
ya no son necesarios).

Con la proliferación de Internet, virus y ataques externos es necesario tener en cuenta

una buena política de seguridad en nuestras máquinas para prevenir y no tener que
preocuparnos cuando ya las cosas se han estropeado. En la línea de la prevención
también están las auditorías, ya que permiten conocer lo que hay en cada momento en
nuestro equipo de tal forma que podamos detectar por ejemplo programas extraños que
no hayamos instalado nosotros.

La seguridad no solo consiste en ver los programas que hay instalados. Un buen
programa de auditoría permitirá monitorizar una red de ordenadores, de tal forma que
podamos averiguar qué equipos forma parte de la red, qué usuarios tienen privilegios de
acceso y ciertos parámetros de la configuración de la red. El conjunto de esta
información es vital a la hora de proteger nuestros equipos de ataques informáticos y
facilita la labor, ya que no hay que ir equipo a equipo mirando estos datos. La mayoría
de los programas de auditoría permitirán conocer esta información desde un servidor
centralizado.

Finalmente un motivo más para auditar equipos o redes de equipos es la realización de

estadísticas que permitan medir el rendimiento haciendo estudios comparativos entre
informes.

Hasta ahora se ha explicado por qué es importante monitorizar nuestros ordenadores,

pero cómo podemos hacerlo de verdad es otro tema. Una opción es desarrollar un
software específico que permita auditar lo que realmente queremos, pero el desarrollo es
caro y no suele estar al alcance de todos. Otra opción es adquirir un software que ya esté
desarrollado. Si bien no suelen tener todo lo que queremos si suelen ser bastante
completos. Aquí proponemos el uso de Aida32, un programa de uso sencillo y que
dependiendo del uso que hagamos es gratuito.
Generación de Informes con Aida32

Aida32 es un programa de auditoría muy completo. Si entrar en detalle permite obtener

información de un equipo muy variada: resumen de lo que hay en el equipo, detalle de
la placa base, sistema operativo, parámetros del servidor, características del monitor,
información multimedia, dispositivos de almacenamiento, entrada y resto del hardware,
información de las direct x, programas instalados, información de la red, parámetros
varios de configuración y una comparativa de la memoria.

Toda esta información se puede mostrar en diversos informes. Aida32 permite generar
informes con toda o parte de la información y mostrarlos de diferente forma. Los
formatos de salida son los siguientes: texto simple, HTML,MHTML, XML, CSV, MIF,
INI, ADO.

Especialmente interesante es el formato ADO. Eligiendo y configurando en las

preferencias esa opción se pueden insertar los resultados del informe en una base de
datos. Si en un futuro se quieren ampliar los informes del programa con estadísticas que
no están se puede hacer estudiando la información que hay en la base de datos. Entre las
bases de datos con las que trabaja está Access, Oracle, SQL Server y MySQL, cuyas
estructuras vienen incluidas con Aida32.

¿Cómo podemos auditar y obtener estadísticas de una red de ordenadores con

Aida32?

Aida32 propone en su documentación dos formas de auditar una red de equipos. Aquí
comentaremos la más segura (no es en tiempo real pero el retardo es mínimo y
aceptable teniendo en cuenta la seguridad que proporciona).

Lo único que hay que hacer es instalar Aida32 en un equipo y poner la carpeta en la que
esté con acceso de solo lectura para todos los equipos de la red que se quieren auditar.

Aquí recomendamos crear otra carpeta con permisos de lectura – escritura , igualmente
accesible para todos los equipos de la red a auditar. En esta carpeta se volcarán los
informes de auditoría en formato CSV. Si se prefiere se puede prescindir de esta carpeta
y volcar los informes a una base de datos de las anteriormente citadas, pero téngase en
cuenta que esta opción implicaría mucho más tráfico de red y provocará retrasos en las
comunicaciones.

En cada uno de los equipos a auditar se lanzará el siguiente comando desde una ventana
del DOS:

/CSV
servido aida3
carpeta_aida /Rservidorcarpeta_informenombre_informe/AUDIT
r 2
/SILENT /SAFE

servidor (con doble barra invertida delante) es el nombre de la máquina donde está
instalado el programa Aida32;

carpeta_aida es la carpeta con permisos de solo lectura en la que está instalado;

carpeta_informes es la carpeta con permisos de lectura – escritura en la que se
dejarán los informes;

nombre_informe es el nombre del informe. Si se quiere que aparezca el nombre de la

máquina de la que procede el informe se puede poner $HOSTNAME;

/CSV es el formato de salida del informe. Si se quiere se puede poner /ADO (para bases
de datos);

/AUDIT, /SILENT y /SAFE son parámetros necesarios para mantener la seguridad.

Una vez hecho esto se tiene en la carpeta de los informes una lista de ficheros (uno por
cada ordenador auditado). Lo único que hay que hacer para ver informes conjuntos es
poner en marcha Aida32 y arrastrar todos los ficheros al marco de la izquierda.
Inmediatamente aparecerán la lista de equipos que han sido monitorizados.

Una vez hecho esto se tiene en la carpeta de los informes una lista de ficheros (uno por
cada ordenador auditado). Lo único que hay que hacer para ver informes conjuntos es
poner en marcha Aida32 y arrastrar todos los ficheros al marco de la izquierda.
Inmediatamente aparecerán la lista de equipos que han sido monitorizados.

Junto con la lista de equipos aparecen unos informes estadísticos que se han generado
automáticamente con la información de la auditoría. Si se añaden más informes de
equipos se actualizan estas estadísticas, que entre otras cosas son muy útiles para
evaluar el rendimiento de los equipos de forma individual y en el conjunto de la red.

Dónde se puede conseguir el programa

Aida32 para sistemas operativos Windows, se puede descargar desde la página del autor
en http://www.aida32.hu/aida-download?bit=32 . El producto es freeware y no es
necesario hacer nada más si es para uso personal. Sin embargo, si es para uso
profesional es necesario notificar su uso al autor vía correo electrónico o desde la página
web http://www.aida32.hu/registration.

Aida32 tiene tres versiones (personal, network y enterprise). Aquí recomendamos la

última por ser la más completa y por tener toda la funcionalidad explicada a lo largo del
artículo.

Novedades respecto a la forma anteriormente propuesta

En el primer artículo se proponía una forma de auditar en la que había un ordenador en

el que se instalaba Aida32. Conectados en red estaban el resto de equipos que se querían
auditar, y lo que hacían era lanzar una petición al ordenador con Aida32 para que
generase un informe en formato CSV con esa información.

La petición que había que hacer desde cualquiera de los ordenadores a auditar era:
 

Aunque no se dijo en el otro artículo, como se trataba de una ejecución remota del
programa desde la línea de comandos, se podría incluir esta orden en una tarea
programada del sistema operativo. Así, se conseguiría automatizar el proceso sin tener
que ser realizado de forma manual desde cada uno de los equipos a auditar.

Pero lo que se propone ahora es una forma distinta de auditar: desde un equipo se
realizará la auditoría de todos los demás equipos de la red. Dicho equipo hará la
auditoría cuando considere conveniente (según las necesidades que marque cada
organización). Para hacerlo, se necesita que todos los equipos tengan instalado el
Aida32 (y no solo uno como ocurría en la primera propuesta). Otra novedad es que los
informes ya no se generan en ficheros con formato CSV, sino que se dejarán en una
base de datos.

Una vez instalado Aida32 en todos los equipos y configurado adecuadamente, se podrán
hacer auditorías de todos los equipos de la red, controlando el proceso desde un único
equipo.

En los siguientes apartados se detalla cada uno de estos pasos a dar antes de proceder a
la realización de la auditoría.

Instalación de Aida32 en el equipo auditor

El equipo auditor será aquel que controle todo el proceso de la auditoría. Este equipo
tendrá el Aida32 instalado por completo sin restricción alguna. Por tanto lo único que
hay que hacer es instalar el programa tal y como se obtiene del distribuidor.

Una vez instalado hay que configurar las preferencias que indican la información que se
incluirá en la auditoría. Para hacerlo seleccione Archivo à Preferencias y elija la opción
Componentes de auditoría. Ahí, marque cada uno de los elementos que se quiera que
aparezcan en los informes de auditoría de los equipos. Esta operación solo hay que
hacerla en el equipo que hará las tareas de auditor.

Instalación de Aida32 en los equipos auditados

En el caso de los equipos a auditar sí que hay que establecer una serie de restricciones.
Dado que tendrán instalado un Aida32 idéntico al que tendrá el equipo auditor, hay que
tomar ciertas medidas de seguridad para que un equipo a auditar no se convierta en un
equipo auditor.

Para evitar esto, hay que suprimir una serie de ficheros que sin quitar funcionalidad de
la aplicación, sí dificultan que se puedan realizar las tareas que un equipo auditor
tendría que hacer. Se mantendrán aquellos archivos necesarios para que desde el equipo
auditor se pueda recoger la información del equipo a auditar.
De todos los ficheros de la aplicación, solo hay que dejar los siguientes:

aida32.bin
aida32.dat
aida32.exe
aida32.ini
aida32.mem
aida32.s64
aida32.sys
aida32.vxd
aidaplugin_diskbench.dll
aidaplugin_monitordiag.dll
aidaplugin_netbench.dll
es.lng

El resto de ficheros de pueden borrar sin que se vea afectado el funcionamiento de la

aplicación de la forma que nos interesa.

De todos estos ficheros, destaca el aida32.ini, que es el que guarda los parámetros de la
configuración. En él se detallan datos como el formato de salida de los informes, y
como en nuestro caso van a una base de datos, se indicará la configuración de todo lo
necesario para establecer las conexiones. En el siguiente apartado se detalla cómo se
configuran las preferencias.

Adicionalmente, en los equipos auditados interesa que aida32 se ejecute de forma

automática sin que el usuario del equipo auditado tenga que hacerlo de forma manual.
Para hacer esto, lo mejor es lanzar un proceso con aida32 como si fuera uno más de los
que se arrancan con el inicio de sesión.

Esto se puede hacer modificando la entrada del registro

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
en la que se añadirá la entrada Aida32 y se podrá valor rutaAida32aida32.exe
/hiddenserver /silent /safe, donde

rutaAida32 es el disco y carpeta donde se ha instalado el programa,

/hiddenserver es una opción para el programa se ejecute en segundo plano pero

aceptando todas las peticiones que se le manden,

/silent es un modo oculto de ejecución del programa de tal forma que el usuario del
equipo auditado no se entere de cuándo se le está auditando,

/safe es otra opción para ejecutar aida32 en modo seguro, no permitiendo que se lancen
dos instancias del programa.

Configuración de las preferencias ADO en los equipos

Como ya se ha indicado en el apartado anterior, los informes de auditoría se guardarán

en una base de datos. Esta opción hay que configurarla en Aida32 en todos los equipos a
auditar.
Un truco es configurarlo en un equipo y luego copiar el fichero aida32.ini en el resto, ya
que este fichero es el que tiene la configuración que se ha puesto en las preferencias.

La configuración se hace en el menú Archivo à Preferencias. Ahí se elige la opción

ADO, y se rellenan los parámetros que vienen en la pantalla según sea la base de datos
que se utilice.

En caso de ser MySQL (que es gratuita), hay que indicar el servidor en el que reside la
base de datos (puede ser el mismo que el de Aida32 u otro). En dicho servidor es
necesario que se haya creado una base de datos que tenga la estructura dada en la
distribución del Aida32.

Si se tratase de Microsoft Access, también hay que indicar la ubicación de la base de

datos. En este caso, es muy importante utilizar la opción de incremento de identidad
automático, ya que si no se marca esta opción los informes no se insertarán
correctamente.

En cualquier caso, para comprobar que se han configurado correctamente los

parámetros, basta pulsar el botón Test.

Otras preferencias a configurar en equipos auditados y auditores

La forma de auditar que aquí se propone (instalar Aida32 en todos los equipos, sean
auditores o auditados) ofrece la posibilidad de controlar desde la máquina auditora
ciertas operaciones realizadas sobre las máquinas auditadas.

Así se puede permitir el acceso a los archivos de los equipos auditados, capturar
pantallas del escritorio, ejecutar programas remotos, abortar la ejecución de Aida32, o
reiniciar el equipo.

Para permitir estos accesos los equipos auditados tendrán que tener señaladas las
opciones adecuadas en la ventana Archivo à Preferencias à Servidor.

Si se añaden estas opciones, se puede hacer lo mismo que se dijo en el apartado

anterior: configurar un equipo y copiar su fichero aida32.ini en el resto de equipos que
se auditarán.

En cualquier caso, un equipo auditor no tendrá opción alguna señalada en este apartado,
evitando así que se pudieran realizar estas operaciones sobre él.

Proceso de auditoría

Una vez que se ha instalado Aida32 en los equipos a auditar y en el auditor, y se han
configurado según se quiera las opciones de la base de datos, se puede comenzar a
auditar los equipos.

Desde el equipo auditor, se abrirá Aida32 y se elegirá la opción Informe à Asistente de

informe en Red… Aparecerá una pantalla y se hará lo siguiente:

 En la pantalla de Bienvenida se pulsa Continuar.

  A continuación solicita el Perfil, y se elige la opción Páginas necesarias para la
auditoría. El contenido del informe de la auditoría se habrá elegido en las preferencias
cuando se instaló Aida32 en el equipo auditor.
 Lo siguiente que pide es el Formato del informe. Aquí se marcará la opción ADO.
 El siguiente paso es la elección de los Ordenadores remotos. Aparecerá una lista con
los últimos ordenadores auditados. De esa lista se elegirán los que se quieren auditar
de nevo. Si falta alguno, se puede añadir pulsando el botón Nuevo, donde dejará elegir
un equipo mediante su dirección IP, o varios equipos dentro de un rango de
direcciones IP, rango que se podrá acotar según interese.
 Tras la elección de los equipos a auditar, viene la página en la que se pregunta las
opciones de Salida de informe. Si se ha elegido el formato ADO, no es necesario poner
nada.
 Una vez rellenado todo se Finaliza y comienza la auditoría de la lista de equipos que se
haya indicado.

Como ya se ha dicho, la opción de instalar Aida32 tanto en equipo auditor como en

equipos auditados, permitía operaciones adicionales a las de auditoría. Para hacer uso de
ellas es necesario establecer en Archivo à Conexión al servidor Aida32… una
comunicación directa entre equipo auditor y auditado. Al hacerlo solicitará la dirección
IP del equipo auditado.

Si todo va bien, aparecerá un mensaje confirmando la conexión, y un menú adicional

llamado Cliente. En él se tendrán las operaciones disponibles que el equipo auditor
puede realizar sobre el equipo auditado. El que una operación esté disponible o no,
dependerá de la configuración que se haya hecho en cada uno de los equipos a auditar
cuando se instaló Aida32.

Ventajas y desventajas de esta forma de auditoría

En la primera forma propuesta, el informe con el contenido de la auditoría se genera

manualmente. Aun cuando se pusiera en una tarea programada, la primera forma supone
que la auditoría se hace en un momento fijo de tiempo (cuando se decida en la
programación de la tarea). Sin embargo, con el proceso propuesto aquí, la auditoría de
los equipos se hace en el momento que el auditor lo desee, controlando el proceso en
todo momento.

Con la opción de instalar Aida32 en todos los equipos se puede establecer una conexión
con cualquiera de ellos, pudiendo realizar tareas adicionales a las de auditoría, como por
ejemplo, lanzar la ejecución de un programa, establecer una conversación mediante
mensajes o incluso, copiar archivos en el equipo remoto. Estas operaciones son
inviables cuando se opta por la instalación de un único Aida32 como se propuso en el
primer artículo.

Con un servidor en cada equipo (auditados y auditores) se consigue otro beneficio: la

utilización más eficiente de la red. Al lanzarse la generación del informe desde un
equipo central auditor, se decide el número de equipos que se quieren auditar. Si la red
está muy cargada, se puede decidir generar un número de informes que no supongan
mucho flujo de información. Por contra, si se hace la auditoría en una hora en que haya
poco tráfico de red, es posible lanzar la generación de los informes de forma masiva.
Sin embargo, si solo tuviéramos un servidor remoto como se proponía en el primer
artículo, la generación de los informes hay que programarla de forma muy cuidadosa,
tratando de evitar que coincidan muchos en un momento dado ya que eso podría
suponer una sobrecarga de la red y el consecuente malestar de los usuarios que la
necesitasen para llevar a cabo su trabajo.

Hasta ahora todo parece que son ventajas, pero no es así. Tener un servidor por equipo
supone ser vulnerable. Téngase en cuenta que un equipo auditado potencialmente es un
equipo auditor ya que tiene instalado el Aida32. Para reducir al máximo este riesgo, es
importante seguir cada uno de los pasos propuestos en apartados anteriores, destacando
especialmente las opciones /hiddenserver /silent /safe, que evitan que se puedan lanzar
dos instancias de Aida32. También es importante que la carpeta donde está Aida32 esté
lo más oculta posible para que no sea visible por cualquier usuario. Aun tomando todas
estas precauciones, esta forma de auditar es más insegura que la propuesta en el primer
artículo.

Otro inconveniente es que la forma de auditar aquí propuesta exige que los equipos
estén en red durante todo el proceso de monitorización y/o auditoría. En la otra forma,
se pueden generar los informes cuando se sepa que hay conexión ya que este era un
proceso casi manual.

Como conclusión queda decir que una forma no es mejor que la otra. Ambas tienen sus
ventajas e inconvenientes. La mejor opción es aquella que tenga en cuenta qué es lo que
necesita cada organización. Si sólo interesa auditar sin importar que la información esté
actualizada en todo momento es más recomendable la opción de un único servidor
remoto. Por el contrario, si interesa tener la mayor información posible de los equipos
de la red y que pueda ser obtenida en todo momento, la forma que interesa es la
propuesta en este artículo.

Dónde se puede conseguir el programa

Aida32 para sistemas operativos Windows, se puede descargar desde la página del autor
en http://www.aida32.hu/aida-download?bit=32. El producto es freeware y no es
necesario hacer nada más si es para uso personal. Sin embargo, si es para uso
profesional es necesario notificar su uso al autor vía correo electrónico o desde la página
web http://www.aida32.hu/registration.

Aida32 tiene tres versiones (personal, network y enterprise). Aquí recomendamos la

última por ser la más completa y por tener toda la funcionalidad explicada a lo largo del
artículo.