WINDOWS SERVER AUDITORIAS

1º ASIR IMPLANTACIÓN DE SISTEMAS OPERATIVOS

 AUDITORIAS DO SISTEMA

1. Auditorías
2. Auditar sucesos de seguridade
3. A directiva de auditoría
4. Auditar o acceso a obxectos
5. Auditar o acceso a arquivos e cartafoles
6. Rexistros de seguridade
1. Auditorías

 As auditorías permiten supervisar os sucesos

relacionados coa seguridade do equipo.
 Os tipos de sucesos máis comúns que se poden
auditar son:
 O acceso a obxectos, como arquivos e cartafoles
 A administración de contas de usuarios e grupos
 O inicio e a finalización de sesión dos usuarios
 En cada un dos sucesos auditados xérase un
rexistro de seguridade que se pode visualizar co
Visor de Eventos
2. Auditar sucesos de seguridade

 O establecemento de auditorías é un aspecto

importante na seguridade do equipo:
 permite controlar a creación ou a modificación de
obxectos
 facer un seguimento dos problemas de seguridade
potenciais
 axuda a asegurar a responsabilidade do usuario e
proporciona probas en caso dunha infracción da
seguridade
 2. Auditar sucesos de seguridade

 Os pasos principais para implementar a auditoría de

seguridade nun equipo son:
 Especificar as categorías dos sucesos que se desexan
auditar.
 Definir o tamaño e o comportamento do rexistro de
seguridade.
 Si deséxase auditar o acceso a servizos de directorios ou o
acceso a obxectos, deberanse determinar os obxectos aos
que se desexa controlar o acceso e modificar os
descriptores de seguridade correspondentes.
3. A directiva de auditoría

 Unha directiva de auditoría especifica as

categorías de sucesos relacionados coa seguridade
que se desexa auditar. Cando se instala Windows
Server por primeira vez, actívanse varias categorías
de auditoría.
 As categorías de sucesos que se poden auditar son:
 Auditar o acceso a obxectos: intentos de acceso a recursos
 Auditar o acceso a servizo de directorio: intentos de acceso
3. A directiva de auditoría

 Auditar o cambio de directivas: intento de cambios de

directivas
 Auditar o seguimento de procesos: accesos de programas
 Auditar o uso de privilexios: intentos de cambios de
configuracións
 Auditar a administración de contas: modificación de contas.
 Auditar os sucesos de inicio de sesión: accesos
 Auditar os sucesos de inicio de sesión de conta: accesos fóra
de hora, con contas deshabilitadas, contrasinais caducados, …
 Auditar os sucesos do sistema: sucesos específicos do sistema
como apagados ou reinicios
3. Directiva de auditoría

 Hai 2 entradas para xestionar

as directiva de auditoria.
 Non é conveniente empregar
ambas para realizar a
configuración
 Habilitamos a seguinte
directiva:
3. A directiva de auditoría

Rexistra os sucesos correctos

correspondentes á directiva Rexistra os sucesos erróneos
seleccionada correspondentes á directiva
seleccionada
4. Auditar o acceso a obxectos

 Cada obxecto dispón dun conxunto de información

de seguridade asociado a el denominado descritor
de seguridade.
 Unha parte indica os grupos ou usuarios que teñen
acceso a un obxecto, así como os permisos
concedidos (ou denegados) a devanditos grupos ou
usuarios.
 Esta parte do descritor de seguridade coñécese como
lista de control de acceso discrecional (DACL)
 4. Auditar o acceso a obxectos

Con todo, ademais de conter información de permisos, un descriptor de seguridade

para un obxecto tamén contén información dos sucesos que se van a auditar. A esta
información de auditoría coñéceselle como lista de control de acceso ao sistema
(SACL) e indica:
 As contas de grupo ou usuario que se van a auditar ao ter acceso a un obxecto
 Os sucesos de acceso que se van a auditar para cada grupo ou usuario
 Un atributo Acerto ou Erro para cada suceso de acceso, en función dos permisos
concedidos a cada usuario e grupo da DACL do obxecto
En xeral os tipos de acceso que se poden auditar dependen de si se audita o acceso a
arquivos e cartafoles ou a obxectos do Directorio Activo.
5. Auditar o acceso a arquivos e cartafoles

 Pódese auditar o acceso a arquivos e

cartafoles en volumes NTFS para
identificar quen realizou
determinados tipos de accións cos
arquivos e os cartafoles.
 Hanse de especificar os arquivos e
cartafoles, o usuario e os tipos de
accións que se van a auditar (pódese
aplicar a auditoría a un obxecto e, a
través de herdanza, aplicarse a
calquera obxecto secundario)
5. Auditar o acceso a arquivos e cartafoles

Para especificar os arquivos e cartafoles, o usuario e

os tipos de accións que se van a auditar (pódese
aplicar a auditoría a un obxecto e, a través de
herdanza, aplicarse a calquera obxecto secundario)

Para especificar os arquivos e os tipos de acceso a

arquivos que van a auditarse, hase de facer desde o
Explorador de Windows
5. Auditar o acceso a arquivos e cartafoles

PASOS PARA AUDITAR O ACCESO A UNIDADES, CARTAFOLES E/Ou ARQUIVOS

Ficha seguridade na
unidade, directorio ou
arquivo que se desexa
auditar

Auditar o acceso
a arquivos e
cartafoles
5. Auditar o acceso a arquivos e cartafoles

Marcar correcto para

que se agregue unha
entrada no rexistro de
seguridade cando o
suceso leve a cabo
correctamente

Marcar incorrecto para

que se agregue unha
entrada no rexistro de
seguridade cando o
suceso leve a cabo
correctamente
 5. Auditar o acceso a arquivos e cartafoles

Permitir que as
entradas de auditoría
deste obxecto
hérdense a todos os
subdirectorios
secundarios
 6. Rexistros de seguridade

Para ver os sucesos que se engadiron ao rexistro de seguridade, correspondentes ás entradas de

auditoría que se foron establecendo:
 Recomendacións Microsoft para as políticas de
auditoría
 https://docs.microsoft.com/es-es/windows-server/
identity/ad-ds/plan/security-best-practices/audit-
policy-recommendations