Auditoria en win server 2008

AUDITORIA EN WINDOWS SERVER 2008 R2

ALUMNO: SAUL CURITOMAY CRUZ


Una auditoria hace un registro del seguimiento de los sucesos correctos y erróneos dentro de un dominio. Por ejemplo la modificación de un archivo o una directiva. Todo esto se registra en un registro de auditoria. Esta muestra la acción que se ha llevado a cabo, la cuenta del usuario la cual ha hecho el suceso y demás datos como la fecha y la hora en que se llevó a cabo el suceso. La auditoría también identifica el uso no autorizado de recursos dentro de una red y por eso es importante dentro de un esquema de seguridad.


PRINCIPALES OBJETIVOS QUE CONSTITUYEN LA AUDITORÍA

El control de la función informática. El análisis de la eficacia del Sistema Informático. La verificación de la implantación de la

Normativa. La revisión de la gestión de los recursos

informáticos.


IMPLENTACIÓN DEL SERVICIO DE AUDITORIA


Para la implementación de un sistema o servicio de Auditoria necesitamos un Diseño del Plan de Auditoría.

Diseñar un Plan de Auditoría

Implementar el plan ya diseñado

Visor de Sucesos Registro de Seguridad

Monitorización de recursos de red

Requisitos para una Auditoría


El plan de auditoria es utilizado para seleccionar los tipos de sucesos de seguridad que se van a registrar en una red. Los sucesos aparecerán en el registro de seguridad de los servidores con la herramienta administrativa que audite los sucesos. Hacer un seguimiento del éxito o el fracaso de los sucesos,

como cuando los usuarios inician sesiones, el intento de un usuario concreto de leer un archivo especifico.

Determinar las alteraciones de usuarios, grupos y normativas de seguridad, directivas de grupo (GPO) etc.

Eliminar o minimizar el riesgo del uso no autorizado de los recursos.


Los planes de auditoria se establecen equipo por equipo. Por ejemplo, para auditar sucesos que ocurren en un servidor, como inicios de sesión de los usuarios y cambios realizados a las cuentas de usuarios deben establecer un plan de auditoria en ese servido


Sólo los administradores pueden configurar la auditoria en archivos, directorios e impresoras de controladores de dominio.

Los miembros tanto del grupo Administradores como el grupo Operadores del servidor pueden ver y archivar los registros de seguridad, así como realizar otras tareas administrativas una vez establecida la auditoria.

Solo puede auditar archivos y directorios de volúmenes NTFS.


El visor de sucesos es una herramienta que proporciona información acerca de errores, advertencias y el resultado correcto o incorrecto de una tarea. Esta información se almacena en tres tipos de registro:

Sistema: contiene errores, advertencias generadas por el sistema operativo.

Seguridad: contiene información acerca del éxito o el fracaso de los sucesos auditados.

Aplicaciones: contiene errores, advertencias o información generada por los programas de sucesos esta pre configurada por el programador del programa.


Consiste en una base de datos donde se guardan todos los sucesos que se están auditando en el equipo local, pero puede verlos desde cualquier equipo todos aquellos que tengan privilegios administrativosse almacenan tres tipos de información Sistema Seguridad Aplicaciones


Los recursos de la red se autorizan para evaluar y después administrar el uso de los recursos en servidores de red. Por ejemplo, se puede ver si un usuario está conectado a un archivo al que otro usuario está intentando tener acceso.Durante la administración de servidores se pueden realizar las siguientes tareas: Ver lista de usuarios conectados Ver y administrar recursos compartidos Ver los recursos abiertos Enviar mensajes a los usuarios conectados Crear lista de usuarios que recibirán alertas.


TIPOS DE AUDITORIA AUDITORÍA INTERNAEs aquella que se hace con el personal de una misma empresa. Es decir no vienen personas de otra entidad para hacer el control.

AUDITORÍA EXTERNAComo su nombre lo dice es aquella en la cual la empresa contrata personal de afuera, de otras entidades para que se encarguen de su auditoría


Configuración de las directivas de auditoria Antes de implementar una auditoría, debe tomar una decisión sobre una directiva de auditoría. Una directiva de auditoría especifica las categorías de eventos relacionados con la seguridad que desea auditar. Cuando esta versión de Windows se instala por primera vez, todas las categorías de auditoría están deshabilitadas. Al habilitar varias categorías de eventos de auditoría, puede implementar una directiva de auditoría apropiada para las necesidades de seguridad de su organización.


Las categorías de eventos que puede elegir para auditar son: Auditar eventos de inicio de sesión de cuenta Auditar la administración de cuentas Auditar el acceso del servicio de directorio Auditar eventos de inicio de sesión Auditar el acceso a objetos Auditar el cambio de directivas Auditar el uso de privilegios Auditar el seguimiento de procesos Auditar eventos del sistema


Valores de las directivas de auditoriaLas vulnerabilidades, contramedidas y posibles impactos de todos los valores de configuración de auditoría son idénticos, por lo que sólo se detallan una vez en los siguientes párrafos. Debajo de esos párrafos se incluyen breves explicaciones de cada valor. Las opciones para los valores de configuración de auditoría son: Correcto Error Sin auditoria


Configuración de auditoria


Dentro de Directiva Local, nos dirigimos a la opción Directiva de Auditoria, que se encuentra dentro de Directivas locales


En Administrador del servidor, vamos a Diagnostico – Registro de Windows – Seguridad

Auditoria en win server 2008

Documents

Transcript of Auditoria en win server 2008