Auditorías: auditando sucesos de administración de cuentas

Ya que cualquiera con acceso a una cuenta administrativa tiene la autoridad de conceder a otras cuentas derechos y privilegios aumentados y además, crear cuentas adicionales, la auditoría de estos sucesos se convierte en una parte primordial del diseño e implementación de la seguridad de red en una organización. A menos de que dispongamos de métodos sofisticados de identificación, biometrías y medidas de alta seguridad, puede ser difícil e incluso imposible garantizar que la persona que usa una cuenta administrativa es el usuario a quien realmente le pertenece. Asimismo, auditarlos es una de las maneras en que una organización puede responsabilizar de sus acciones a los administradores.

Habilitando la auditoría de estos sucesos nos permitirá grabar eventos como:

  • Cuando se crea, cambia o elimina una cuenta de usuario o grupo.
  • Cuando se renombra, deshabilita o habilita una cuenta de usuario.
  • Cuando se establece o cambia una contraseña.
  • Cuando se cambia una directiva de seguridad de un equipo.

Aunque los cambios en los derechos de usuario aparecen como sucesos de administración de cuentas a primera vista, en realidad son sucesos de cambio de directivas. Si ambas directivas de auditoría están deshabilitadas, un administrador pícaro puede ser capaz de superar la seguridad de una red sin dejar rastro.

Debemos habilitar la auditoría tanto de aciertos como de errores de los sucesos de administración de cuentas. Los aciertos generan una entrada cuando cualquier suceso se produce con éxito. Los errores, en cambio, generan una entrada de los sucesos fallidos. Aunque los eventos con éxito son más a menudo que no, completamente inocentes, nos proporcionan una grabación de actividades invalorables cuando una red ha sido comprometida.

Eventos más comunes:

events

3 comentarios sobre “Auditorías: auditando sucesos de administración de cuentas”

  1. @Juansa:

    Existe el modo de monitorear el Registro de Windows y/o protegerlo usando los provilegios de las cuentas de usuario ?
    Estoy buscando un modo en windows o una aplicacion que controle el registro para si alguien quiere escribir algo en el registro entonces deba pedir algun permiso. Si tuviera reglas seria mas util.
    Un ejemplo es el Registry Watch del Lavasoft Adaware lo hace pero solo en modo Pro.
    Y no conozco alguna otra aplicacion que lo haga.

    Saludos y gracias por adelantado.

    Alex

  2. Si hablamos de un dominio las cuentas de usuario no pueden monitorizar el registro y éste se encuentra protegido.
    El modo que uso en equipos que tienen iniciada sesión y quiero modificar alguna cosa es arrancarlo en inicio secundario (run as) y proceder a los cambios.
    No he probado el de Lavasoft.
    En general, para privilegios e inicio de herramientas/programas etc… yo he estado usando el RunAsAdmin, que inicia con los privilegios que quieres, pidiéndote usuario y contraseña.
    No sé si es lo que buscas.
    Saludos

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *