Implementando plantillas administrativas y auditorías -XIV-

Lo que nos recomienda MS para configurar Auditorías

  • Auditar los eventos correctos en la categoría de acceso del servicio de directorio.

Así podemos comprobar quien accedió a un objeto en AD y cuales operaciones realizó.

  • Auditar los eventos correctos en la categoría de acceso a objetos.

Nos aseguramos que los usuarios no están haciendo un uso incorrecto de su acceso a objetos protegidos.

  • Auditar eventos correctos y erróneos en la categoría del Sistema.

Auditando ambos podremos detectar una actividad inusual que puede indicar la presencia de un intruso intentando conseguir acceso al equipo o la red.

  • Auditar eventos correctos y erróneos en la categoría cambio de directivas en los controladores de dominio.

Si se observa un evento iniciado en la categoría de cambio de directiva significa que posiblemente alguien ha cambiado la autoridad de la seguridad local (LSA) de la configuración de directiva de seguridad. Si utilizamos GP para editar la configuración de directivas de auditoría no necesitamos auditar eventos en esta categoría en servidores miembros.

  • Auditar eventos correctos y erróneos en la categoría de administración de cuentas.

Auditando estos eventos podremos verificar los cambios realizados a las propiedades de cuentas y grupos. Los eventos erróneos nos muestran si usuarios no autorizados o intrusos están intentando cambiar las propiedades de cuenta o grupo.

  • Auditar los eventos correctos en la categoría de inicio de sesión.

Mediante los eventos correctos tenemos un registro de cuando inician o cierran sesión los usuarios desde un equipo. Si una persona no autorizada roba las credenciales de un usuario e inicia sesión, podremos sacar conclusiones del momento en que ocurrió.

  • Auditar los eventos correctos de en la categoría de inicio de sesión de cuenta en controladores de dominio.

Aquí podremos ver cuando los usuarios inician o cierran sesión desde el dominio. No se necesita auditar esta categoría en los servidores miembros.

  • Establecer un tamaño apropiado para el registro de seguridad.

Es importante configurar el tamaño del registro de seguridad, podemos basarnos en el número de eventos que nuestra configuración de directiva de auditoría genera.

Implementando plantillas administrativas y auditorías -XIII-

Llevamos a cabo auditorías para detectar y grabar sucesos de seguridad relacionados, como cuando un usuario intenta el acceso a un archivo o carpeta confidencial. Cuando auditamos un objeto se escribe una entrada en el registro de seguridad siempre que se acceda al objeto de cierta forma.

Después de habilitar una auditoría podemos guardar el seguimiento de aquéllos usuarios que acceden a ciertos objetos y analizar los agujeros de seguridad. El seguimiento de la auditoría muestra quienes han llevado a cabo las acciones y quienes lo han intentado de forma no autorizada.

Podemos habilitar una auditoría para archivos y carpetas:

  1. Localizamos el archivo o carpeta al que queremos auditar.
  2. Clic derecho, seleccionamos propiedades.
  3. En el cuadro de diálogo de propiedades, ficha Seguridad, pulsamos en Avanzadas.
  4. En la configuración de seguridad avanzada, ficha Auditoría, y hacemos uno de lo siguiente:
    1. Para habilitar la auditoría para un nuevo usuario o grupo pulsamos Agregar. Luego escribimos el nombre del usuario o el grupo y pulsamos en Aceptar.
    2. Para ver o cambiar la auditoría de un usuario o grupo, pulsamos en el nombre y luego en Editar.
    3. Para deshabilitar una auditoría para un usuario o grupo, pulsamos en el nombre y luego en Suprimir.
  5. Bajo Acceso, pulsamos en correcto, erróneo, o ambos, dependiendo del tipo de acceso que deseamos auditar.
  6. Si queremos evitar la herencia hacia los objetos hijo de las entradas de auditoría, seleccionamos Aplicar esta auditoría a los objetos y/o contenedores dentro de este contenedor sólo.

Cuando habilitamos auditorías para UOs estamos auditando los sucesos generados por los usuarios al acceder a los objetos de AD para los que tienen permisos. De forma predeterminada las auditorías se establecen para sucesos en la GPO predeterminada de controlador de dominio, y permanece no definida en estaciones de trabajo y servidores, donde no se aplica.

Asímismo de forma predeterminada sólo los miembros del grupo de Administradores tienen suficientes privilegios para configurar auditorías. Puede delegarse esta tarea o la configuración de auditorías para eventos de servidor a otra cuenta de usuario mediante la asignación del derecho Administrar los registros de auditoría y de seguridad en la Directiva de seguridad.

Si hemos de habilitar a no administradores para administrar y ver auditorías en un servidor miembro, primero debemos delegar dicha autoridad en un usuario o grupo. Para hacerlo:

  1. En el editor de GPO, árbol de la consola, navegamos hasta la rama: Configuración de equipoConfiguración de WindowsConfiguración de seguridadDirectivas LocalesAsignación de derechos de usuario.
  2. Pulsamos en Administrar registros de auditoría y registro de seguridad.
  3. En el menú Acción, pulsamos en propiedades.
  4. En el cuadro de diálogo de Administar registros de auditoría y seguridad, seleccionamos la casilla de verificación, Definir estos valores de directiva y pulsamos en agregar usuario o grupo.
  5. Escribimos el nombre del usuario o del grupo y pulsamos Aceptar.
  6. Aceptar.

Para habilitar la auditoría para una OU:

  1. En usuarios y equipos de active directory, clic derecho en la OU que queremos auditar y luego en propiedades.
  2. En el cuadro de diálogo, ficha seguridad, pulsamos en Avanzadas. (Para ver las propiedades de seguridad debemos pulsar en características avanzadas del menú Ver de usuarios y equipos de Active Directory.
  3. En el cuadro de diálogo de configuración avanzada de seguridad, ficha auditoría, hacemos uno de lo siguiente:
    1. Para habilitar la auditoría para un nuevo usuario o grupo, pulsamos en Agregar. Escribimos el nombre del usuario o grupo y pulsamos en Aceptar.
    2. Para eliminar una auditoría para un grupo o usuario, pulsamos en el nombre usuario o grupo, clic en suprimir y Aceptar.
    3. Para ver o cambiar una auditoría para un grupo o usuario, clic en el nombre de usuario o grupo y pulsamos en Editar.
  4. Clic en la ubicación donde queremos aplicar la auditoría.
  5. Bajo Acceso, indicar que acciones deseamos auditar mediante la selección de las casillas apropiadas:
    • Para auditar eventos correctos, seleccionamos la casilla Correcto.
    • Para auditar eventos erróneos, seleccionamos la casilla erróneo.
    • Para detener las auditorías desmarcamos la casilla, o todas las casillas.
  6. Si queremos evitar la herencia utilizaremos la casilla de Aplicación de estas entradas a objetos y/o contenedores dentro de este contenedor solamente.

 

Implementando plantillas administrativas y auditorías XII

Consejos para planear una auditoría y Cómo activar una directiva de auditoría

Si auditamos demasiados tipos de sucesos quizás creemos excesivo tiempo de procesamiento, que puede resultar en una disminución de rendimiento en el sistema. Así que cuando vamos a planear una auditoría deberíamos tener en cuenta:

  • Determinar los equipos a los que se les aplicará la auditoría. Planificar que auditar para cada uno, ya que Windows Server 2003 audita sucesos en cada equipo separadamente.
  • Determinar los tipos de sucesos a auditar, como el acceso a archivos, inicios de sesión, etc…
  • Determinar si auditar el acierto o el error del suceso, o ambos. Siguiendo los aciertos puede indicarte, a menudo, como W2k3 o los usuarios acceden a archivos o impresoras específicas.
  • Determinar si es necesario el seguimiento de pautas de uso del sistema. De ser así, planificar el archivo de los registros de sucesos.
  • Revisar los registros de seguridad frecuentemente y con regularidad de acuerdo a una agenda. La sola configuración de una auditoría no nos alertará de las brechas de seguridad.

Habilitar una directiva de auditoría

Hay dos procedimientos para habilitar una directiva de auditoría, dependiendo de si el equipo está en un dominio o en un grupo de trabajo.

En un equipo local:

  1. Desde las herramientas administrativas abriremos Directiva de Seguridad Local.
  2. En el árbol de la consola, expandimos Directivas Locales y doble clic en Directiva de auditoría.
  3. En el panel de detalles, doble clic en la dpolítica que queremos habilitar/deshabilitar.
  4. Marcamos uno o ambos y pulsamos en Aceptar:
    1. Auditar aciertos, seleccionamos la casilla de verificación Correcto.
    2. Auditar errores, seleccionamos la casilla de verificación Erróneo.

En un dominio o Unidad Organizativa:

  1. En GPM, creamos o buscamos una GPO vinculada a una OU y la editamos.
  2. En el árbol de consola, nos situamos en Configuración de equipo, Configuración de Windows, Configuración de seguridad, Directivas Locales, Directivas de auditoría.
  3. En el panel de detalles, doble clic sobre la directiva que queremos habilitar/deshabilitar.
  4. Marcamos uno o ambos y pulsamos en Aceptar:
    1. Auditar aciertos, seleccionamos la casilla de verificación Correcto.
    2. Auditar errores, seleccionamos la casilla de verificación Erróneo.

Implementando plantillas administrativas y auditorías XI

Clases de eventos para auditar

El primer paso a seguir cuando se quiere crear una estrategia de auditoría del sistema es determinar que tipo de acciones o operaciones necesitamos registrar.

¿Cuales son los eventos que debemos auditar? Normalmente no se quieren auditar todos y cada uno de los eventos, ya que auditarlos todos requeriría una cantidad grande de recursos del sistema y podría influir negativamente en su propio rendimiento. Deben establecerse cuales son los que auditar, y sólo aquéllos que se crean necesarios y útiles para una referencia futura.

Los eventos a auditar en Windows Server 2003 pueden dividirse en dos categorías:

  • Eventos realizados con éxito

Un evento realizado con éxito indica que la acción o operación se ha completado correctamente. Están indicados con un icono llave.

  • Eventos erróneos

Un evento con error indica que la acción o operación se intentó, pero no se completó. Se indican con un icono candado.

Los eventos erróneos son muy útiles para el seguimiento de intrusiones en el entorno, mientras que los realizados correctamente son mucho más difíciles de interpretar. La mayoría de estos últimos son indicación de una actividad normal y un atacante que accede al sistema también los genera.

A menudo un modelo de eventos es tan importante como los propios eventos. Por ejemplo una serie de errores seguido de un acierto puede de indicar una intrusión con éxito.

De forma similar una desviación del modelo también indica actividades sospechosas.

Si hemos de implementar una directiva de auditoría, hemos de seleccionar los tipos de eventos que queremos que Windows Server 2003 audite. La tabla siguiente nos describe los eventos que puede auditar:

Evento Ejemplo
Sucesos de inicio de sesión de cuenta Audita los intentos de inicio de sesión en una cuenta local de un equipo. Si la cuenta de usuario es una cuenta de dominio, este suceso también aparece en el controlador de dominios.
Administración de cuentas Audita la creación, modificación y eliminación de cuentas de usuario o grupo, junto con cambios y restablecimientos de contraseña.
Acceso del servicio de directorio Audita el acceso a objetos en el servicio de directorio de Active Directory®.
Sucesos de inicio de sesión Audita los intentos de inicio de sesión en estaciones de trabajo y servidores de miembros.
Acceso a objetos Audita los intentos de obtener acceso a objetos como archivos, carpetas, claves de registro o impresoras con configuraciones de auditoría definidas dentro de la lista de control de acceso al sistema (SACL) de los mismos.
Cambio de directivas Audita los cambios en las directivas de auditoría, cuenta, confianza o de asignación de derechos de usuario.
Uso de privilegios Audita cada una de las instancias que se crean cuando un usuario ejerce un derecho, como el cambio de la hora del sistema
Seguimiento de procesos Audita el comportamiento de la aplicación, como el inicio y la finalización de un programa.
Sucesos del sistema Audita los sucesos del sistema informático, como el inicio y el apagado, y los sucesos que repercuten en la seguridad del sistema o el registro de seguridad.

Implementando plantillas administrativas y auditorías X

Política o directiva de auditoría

Establecer una política de auditoría es una parte importante de la seguridad. Monitorizar la creación o modificación de objetos nos da una vía de seguimiento a problemas potenciales de seguridad, ayudando a asegurar la responsabilidad de usuario, y proporcionando evidencias en el evento de una brecha de seguridad.

Una política de auditoría define el tipo de eventos de seguridad que Windows Server 2003 graba en el registro de seguridad de cada equipo. Windows Server 2003 registra los eventos de seguridad en el equipo específico donde el evento ha sucedido.

Establecemos una política de auditoría para un equipo para:

  • Seguir los eventos correctos y erróneos, como los intentos de inicio de sesión, los intentos de un usuario en concreto para leer un archivo específico, cambios en una cuenta de usuario o pertenencia a grupo y cambios en la configuración de seguridad.
  • Minimizar el riesgo de un uso no autorizado de recursos.
  • Mantener un registro de la actividad de usuario y de administrador.

Usaremos el visor de sucesospara ver los eventos que Windows Server 2003 graba en el registro de seguridad. También podemos guardar los registros para seguir pautas en el tiempo. Esto es útil para determinar aquéllas pautas en el uso de impresoras, accesos a archivos e intentos y uso no autorizado de recursos.

Podemos establecer una política de auditoría en un sólo equipo, directamente usando el snap-in de Directiva Local o indirectamente mediante Directiva de grupo que es la que más se utiliza en organizaciones grandes. Después de que una política de auditoría es diseñada e implementada, el registro de seguridad comienza a grabar información. Cada equipo de la organización tiene su propio registro de seguridad separado que graba los eventos locales.

Cuando implementamos una política de auditoría:

  • Especificamos las categorías de los eventos que queremos auditar. No hay política de auditoría predeterminada.
  • Establecemos el tamaño y comportamiento del registro de seguridad. Podemos verlo desde el Visor de Sucesos.
  • Determinamos a que objetos queremos monitorizar su acceso y de que tipo de acceso, si queremos auditar el acceso al servicio de directorio o el acceso a objetos.

Los valores de auditoría por defecto para servidores son configurados administrativamente mediante plantillas. Las siguientes configuran valores de auditoría predeterminadas:

  • Setup security.inf
  • Hisecdc.inf
  • Hisecws.inf
  • Securedc.inf
  • Securews.inf

Para ver los valores que cada plantilla configura, en el complemento de Plantillas de seguridad navegamos a Directivas LocalesDirectivas de Auditoría para cada plantilla.

Cortafuegos -VI- Arquitecturas

Modelos basados en Red

Los cortafuegos basados en red, como implica su nombre, protegen redes enteras o subredes más que equipos individuales. Un cortafuegos basado en red es normalmente un equipo dedicado o un dispositivo que no ejecutan otro software que no sea de Cortafuegos, y quizás programas relacionados o modulos como caching, indetección/prevención de intrusiones, y programas anti-virus. Hay dos enfoques para agregar estas características extra:

  • Las características extra están integradas en la propia aplicación de cortafuegos o se instalan en el mismo equipo vía add-on.
  • Las características extra se implementan separadamente o en equipos separados que trabajan en unión del equipo o dispositivo cortafuegos.

Redes privadas virtuales y algunos niveles de detección de intrusiones  están integradas en la mayoría de aplicaciones de cortafuegos de red. Caching, anti-virus y algunos otros extras pueden estar integrados en el programa cortafuegos (como ISA server), pueden ser instalados como add-ons en el mismo equipo (como Checkpoint), o pueden ser implementados en equipos o dispositivos distintos (como Cisco PIX).

Los cortafuegos basados en red son más caros que los personales, debido a su mayor complejidad y funcionalidad. Están diseñados para manejar mucho más tráfico que un cortafuegos personal y soportan más protocolos y conexiones sinultáneas. La mayoría están diseñados par usar herramientas de administración sofisticadas que permiten su administración remota, centralizada o de múltiples cortafuegos, y monitorización configurable y detallada, funciones de registro e informes. El rango de los cortafuegos basados en red va desde el relativamente simple cortafuegos de perímetro diseñado para trabajar como el único cortafuegos a los cortafuegos a nivel de empresa que pueden encadenarse juntos en una estructura jerárquica para proporcionar múltiples capas de protección, desde a nivel de paquetes a nivel de aplicaciones, o que pueden proveer balanceo de carga a través de un cluster de cortafuegos al mismo nivel de la red.

Implementando plantillas administrativas y auditorías IX

¿Qué es una auditoría?

Digamos que una auditoría es un proceso que sigue las actividades de usuario y sistema operativo mediante la grabación de los tipos de eventos seleccionados en el registro de seguridad de un servidor o estación de trabajo. El registro de seguirdad contiene varias entradas de auditoría, que contienen la siguiente información:

  • La acción que se realizó.
  • El usuario que la llevó a cabo.
  • Aplicación o error del evento y cuando ocurrió.
  • Información adicional, como el equipo donde ocurrió el evento.

¿Por qué realizar auditorías?

Habilitar auditorías y monitorizar los registros auditados para:

  • Crear una línea básica de red normal y operaciones de equipo.
  • Detectar intentos de intrusión a la red o el equipo.
  • Determinar que sistemas y datos se han visto comprometidos durante o después de un incidente de seguridad.
  • Prevenir mayores daños a redes o equipos después que un intruso haya penetrado en la red.

Las necesidades de seguridad de una organización ayuda a determinar la cantidad de auditoría utilizada. Por ejemplo: un entorno mínimo puede elegir auditar los inicios de sesión fallidos para monitorizar potenciales ataques de fuerza bruta. Un nivel más grande puede elegir auditar tanto los fallos como los inicios de sesión correctos, para seguir cualquier acceso a la red no autorizado por usuarios que lo realizan.

Aunque la auditoría puede proporcionar valiosa información, excesivas auditorías llenan el registro de información innecesaria. Esto puede potencialmente afectar el rendimiento del sistema y hacerlo extremadamente díficil para encontrar información relevante.

Los tipos más comunes de eventos para auditar son cuando:

  • Se acceden a objetos, como archivos y carpetas.
  • Administrar cuentas de usuario y grupos.
  • Inicio y cierre de sesión de usuarios en el sistema

 

Implementando plantillas administrativas y auditorías VIII

Comprobando las directivas de seguridad del equipo

Antes de la implementación de una plantilla de seguridad a muchos grupos o equipos, es importante analizar los resultados de la aplicación de una configuración para asegurarse que no surgan efectos adversos en aplicaciones, conectividad o seguridad. Un minucioso análisis también te ayuda a identificar agujeros de seguridad y cambios en la configuración estándar. Podemos usar el snap-in Configuración y análisis de
seguridad para crear y revisar posibles escenarios y un ajuste en la configuración.

Herramienta de configuración y análisis de seguridad.

Es la más comunmente utilizada para el análisis de la seguridad de un equipo.

Realiza una comparación entre la configuración de seguridad de un equipo local con una configuración alternativa que se importa desde una plantilla y que está almacenada en una base de datos separada. Cuando el análisis se completa, podemos navegar por los valores de seguridad en el árbol de la consola para ver los resultados. Las discrepancias se remarcar con una bandera roja. Las coherencias lo son con una marca verde. Aquéllos que no están marcados ni con una ni con otra no están configurados en la base de datos.

Después de analizar los resultados mediante esta herramienta, podemos llevar a cabo varias tareas, entre las cuales están:

  • Eliminar las discrepancias mediante la configuración de los valores en la base de datos para que coincidan con los valores actuales del equipo. Para ello, hacemos doble clic sobre el valor en el panel de detalles.
  • Importar otra plantilla, combinando sus valores y los sobreescritos donde hay un conflicto. Para importar otra plantilla, clic derecho Configuración y análisis de seguridad y después en Importar plantilla.
  • Exportar los valores actuales de la base de datos a una plantilla. Para exportar a otra plantilla, clic derecho Configuración y análisis de seguridad y después en Exportar plantilla.

Comprobación de la seguridad

  1. Agregamos el complemento Configuración y análisis de seguridad a una consola MMC.
  2. Clic derecho en Configuración y análisis de seguridad y pulsamos Abrir base de datos.
  3. En el cuadro de diálogo de Abrir base de datos, seleccionamos una base existente o escribimos un nombre para la creación de una nueva y después pulsamos en Abrir.
    1. Las bases existentes ya contienen valores importados. Si estamos creando una base nueva, el cuadro de Importar plantilla se mostrará. Seleccionamos una Base y pulsamos en Abrir.
  4. Clic derecho en Configuración y análisis de seguridad y pulsamos en Analizar el equipo ahora.
  5. En el cuadro de diálogo de efectuar análisis, elegir una ubicación para el archivo de registro del análisis y pulsamos en Aceptar.
  6. En el árbol de la consola, expandimos Configuración y análisis de seguridad.
  7. Navegar entre los valores de seguridad en el árbol de la consola y comparar los valores de la base de datos y las del equipo desde el panel de detalles.