Auditorías: auditando sucesos de administración de cuentas
Ya que cualquiera con acceso a una cuenta administrativa tiene la autoridad de conceder a otras cuentas derechos y privilegios aumentados y además, crear cuentas adicionales, la auditoría de estos sucesos se convierte en una parte primordial del diseño e implementación de la seguridad de red en una organización. A menos de que dispongamos de métodos sofisticados de identificación, biometrías y medidas de alta seguridad, puede ser difícil e incluso imposible garantizar que la persona que usa una cuenta administrativa es el usuario a quien realmente le pertenece. Asimismo, auditarlos es una de las maneras en que una organización puede responsabilizar de sus acciones a los administradores.
Habilitando la auditoría de estos sucesos nos permitirá grabar eventos como:
- Cuando se crea, cambia o elimina una cuenta de usuario o grupo.
- Cuando se renombra, deshabilita o habilita una cuenta de usuario.
- Cuando se establece o cambia una contraseña.
- Cuando se cambia una directiva de seguridad de un equipo.
Aunque los cambios en los derechos de usuario aparecen como sucesos de administración de cuentas a primera vista, en realidad son sucesos de cambio de directivas. Si ambas directivas de auditoría están deshabilitadas, un administrador pícaro puede ser capaz de superar la seguridad de una red sin dejar rastro.
Debemos habilitar la auditoría tanto de aciertos como de errores de los sucesos de administración de cuentas. Los aciertos generan una entrada cuando cualquier suceso se produce con éxito. Los errores, en cambio, generan una entrada de los sucesos fallidos. Aunque los eventos con éxito son más a menudo que no, completamente inocentes, nos proporcionan una grabación de actividades invalorables cuando una red ha sido comprometida.
Eventos más comunes:
