Auditoría del uso de privilegios

Al habilitar esta auditoría registramos el momento en que un usuario o servicio utiliza uno de los derechos de usuario para llevar a cabo un procedimiento, con la excepción de unos pocos derechos de usuario que no se auditarán.

Los derechos que no se auditan:

  • Saltarse la comprobación de recorrido
  • Depuración de programas
  • Creación de un token
  • Reemplazar token de nivel de proceso
  • Generar auditorías de seguridad
  • Copia de seguridad de archivos y directorios(*)
  • Restaurar archivos y directorios(*)

* Windows Server 2003, 2000 y XP disponen de una configuración de directiva de grupo bajo Opciones de seguridad llamada Auditoría: auditar el uso del privilegio de copia de seguridad y restauración.

auditoriaprivilegios

 

La auditoría del uso de privilegios nos permite detectar eventos asociados con ataques bastante comunes, entre estos eventos tenemos a:

  • Apagado de un equipo local o remoto.
  • Carga/descarga de controladores de dispositivo.
  • Ver el registro de seguridad.
  • Tomar propiedad de objetos.
  • Actuar como parte del sistema operativo.

Debemos habilitar los errores como mínimo, ya que es un indicador de un problema de red y frecuentemente podría ser un signo de haber intentado aprovechar alguna brecha de seguridad. Los aciertos debemos habilitarlos en caso de razones específicas para hacerlo, ya que se produce una entrada cada vez que un usuario hace uso correcto de sus privilegios.

Published 25/4/2009 9:05 por Juansa
Archivado en:
Comparte este post:

Comentarios

# re: Auditoría del uso de privilegios

Tuesday, May 05, 2009 9:57 PM por Alejandro

Juansa:

Tengo una PC (sin dominio, solo Workgroup) en que el user principal es un power user.

Se me presenta el problema con determinadas actualizaciones de windows que me dicen que solo pueden instalarse con privilegios de administracion. Instalandose al momento de hacer shutdown.

Puedes ayudarme ?

# re: Auditoría del uso de privilegios

Wednesday, May 06, 2009 5:00 PM por Juansa

¿Por qué no te sirve que se instalen al apagar el equipo?

¿es un equipo con XP?

¿Cúales actualizaciones?

Saludos

# re: Auditoría del uso de privilegios

Wednesday, May 06, 2009 5:12 PM por Alejandro

@Juansa:

El problema esta en que tampoco se me actualiza cuando esta apagandose.

Si, tengo XP con XP3.

La actualizacion no se cual es pq me salio a partir de un shutdown que fui a hacer. Me salio el cartel clasico que no apagara pq estaba actualizando. Despues de eso siempre me sale al apagar el simbolo arriba del turn off de que tiene actualizacion pendiente.

Segun estuve leyendo en un forum si la actualizacion es critica o seguridad se instalan bien pero en un caso diferente necesita los privilegios de admin.

Es cierto esto ?

Saludos y gracias por atenderme.

# re: Auditoría del uso de privilegios

Wednesday, May 06, 2009 6:07 PM por Alejandro

XP con SP3, sorry.

Saludos.

# re: Auditoría del uso de privilegios

Thursday, May 07, 2009 2:23 PM por Juansa

Inicia como administrador y verifica con la página de windowsupdate qué actualización te está causando los problemas.

Además sería interesante ver si en el visor de sucesos de las herramientas administrativas hay eventos grabados que hagan referencia a dichos problemas.

Salut!

# re: Auditoría del uso de privilegios

Thursday, May 07, 2009 4:15 PM por Alejandro

OK, asi lo hare