Política o directiva de auditoría
Establecer una política de auditoría es una parte importante de la seguridad. Monitorizar la creación o modificación de objetos nos da una vía de seguimiento a problemas potenciales de seguridad, ayudando a asegurar la responsabilidad de usuario, y proporcionando evidencias en el evento de una brecha de seguridad.
Una política de auditoría define el tipo de eventos de seguridad que Windows Server 2003 graba en el registro de seguridad de cada equipo. Windows Server 2003 registra los eventos de seguridad en el equipo específico donde el evento ha sucedido.
Establecemos una política de auditoría para un equipo para:
- Seguir los eventos correctos y erróneos, como los intentos de inicio de sesión, los intentos de un usuario en concreto para leer un archivo específico, cambios en una cuenta de usuario o pertenencia a grupo y cambios en la configuración de seguridad.
- Minimizar el riesgo de un uso no autorizado de recursos.
- Mantener un registro de la actividad de usuario y de administrador.
Usaremos el visor de sucesospara ver los eventos que Windows Server 2003 graba en el registro de seguridad. También podemos guardar los registros para seguir pautas en el tiempo. Esto es útil para determinar aquéllas pautas en el uso de impresoras, accesos a archivos e intentos y uso no autorizado de recursos.
Podemos establecer una política de auditoría en un sólo equipo, directamente usando el snap-in de Directiva Local o indirectamente mediante Directiva de grupo que es la que más se utiliza en organizaciones grandes. Después de que una política de auditoría es diseñada e implementada, el registro de seguridad comienza a grabar información. Cada equipo de la organización tiene su propio registro de seguridad separado que graba los eventos locales.
Cuando implementamos una política de auditoría:
- Especificamos las categorías de los eventos que queremos auditar. No hay política de auditoría predeterminada.
- Establecemos el tamaño y comportamiento del registro de seguridad. Podemos verlo desde el Visor de Sucesos.
- Determinamos a que objetos queremos monitorizar su acceso y de que tipo de acceso, si queremos auditar el acceso al servicio de directorio o el acceso a objetos.
Los valores de auditoría por defecto para servidores son configurados administrativamente mediante plantillas. Las siguientes configuran valores de auditoría predeterminadas:
- Setup security.inf
- Hisecdc.inf
- Hisecws.inf
- Securedc.inf
- Securews.inf
Para ver los valores que cada plantilla configura, en el complemento de Plantillas de seguridad navegamos a Directivas LocalesDirectivas de Auditoría para cada plantilla.