Configurando auditorías

Los Windows nos proporcionan varias categorías de auditorías para sucesos de seguridad. Cuando diseñamos nuestra estrategia, necesitaremos también ver que sucesos de aciertos y fallos incluimos de entre las categorías existentes:

  • Sucesos de inicio de sesión de cuentas
  • sucesos de administración de cuentas
  • acceso al servicio de directorio
  • sucesos de inicio de sesión
  • acceso a objetos
  • cambios de directivas
  • uso de privilegios
  • seguimiento de procesos
  • sucesos de sistema

Podemos observar el estado actual de las auditorías para cada área usando la MMC de directivas de seguridad.

auditoria

Sucesos de inicio de sesión de cuentas

Cuando un usuario inicia sesión en un dominio, el proceso se procesa en un controlador de dominio(en adelanta DC). Cuando auditamos los sucesos de inicio de sesión de cuentas en todos los DC, los intentos de inicio de sesión se registrarán en el DC que valida la cuenta. Estos sucesos se crean cuando un paquete de autenticación valida –con éxito o no- las credenciales de un usuario o equipo. Cuando se usan credenciales de dominio los sucesos de inicio de sesión de cuentas se generan sólo en los registros de sucesos de los DC. En cambio si las credenciales son de equipo local, estos sucesos se crean en los registros de sucesos del servidor o equipo localmente.

Si definimos esta configuración de directiva, debemos especificar si auditamos los aciertos o los errores. Los primeros sólo generan una entrada de auditoría si el inicio de sesión tiene éxito y los segundos cuando hay un error.

La auditoría de los aciertos nos proporciona una grabación de los inicios de sesión de usuarios o equipos en un dominio o equipo local. Mientras que la de los errores puede darnos pistas sobre intentos de intrusión comprometiendo alguna cuenta.

Al examinar los aciertos y los errores dispondremos, no sólo de la cuenta –o del SID de la cuenta- que inicia sesión, sino también de:

  • Nombre del equipo en que se originó el intento de inicio de sesión. Si se tratase de un ataque suelen usarse caracteres no imprimibles en el nombre del equipo utilizado para enmascarar su identidad en el visor de eventos.
  • Nombre del dominio o de equipo de la cuenta que podría usarse desde un equipo en grupo de trabajo para intentar un ataque.
  • Los tipos de intentos de inicio de sesión:
    • Tipo

      Nombre

      Descripción

      2 Interactivo Incluye tanto el inicio desde Servicios de Terminal en Windows 2000 como los que están frente a la máquina físicamente.
      3 Red Acceso a archivos e impresoras, normalmente.
      4 Lote Iniciado mediante un proceso con derechos de inicio de sesión por lotes.
      5 Servicio Iniciado por servicios usando el inicio de sesión como servicio.
      6 Proxy No se ha implementado en ninguna de las versiones de Windows.
      7 Desbloqueo Se graba al desbloquear la consola de un equipo.
      8 Red texto claro Reservado para inicios de sesión con texto claro en la red.
      9 Nuevas credenciales Iniciado mediante el comando Run As (Ejecutar como) con el parámetro /netonly
      10 Interactivo remoto Inicios desde Servicios de Terminal en Windows Server 2003 y Windows XP.
      11 Interactivo de caché Se han usado las credenciales de la caché para el inicio de sesión en local en un equipo.
      13 Desbloqueo en caché Se desbloquea el equipo y las credenciales del usuario se han comprobado contra credenciales previamente cacheadas.
  • El proceso que origina el inicio de sesión que puede ser uno de los siguientes:
    • Advapi: Para llamadas de API para LogonUser.
    • IIS: Para inicios usando la cuenta anónima o intentos de inicio usando autenticación básica o de texto.
    • LAN manager: Para intentos usando el protocolo Lan Manager.
    • Kerberos: Para llamadas desde el proveedor de seguridad de Kerberos.
    • KSecDD: Para conexiones de red.
    • MS.RADIU: Para intentos de inicio de sesión desde IAS.
    • NTLM o NtLmSsp: Para intentos de inicio de sesión usando el protocolo NTLM.
    • Service Control Manager: Intentos de inicio de sesión de servicios.
    • Seclogon: Para intentos de inicio de sesión usando el comando Run As.
    • User32 o WinlogonMSGina: Para intentos de inicio de sesión interactivos.
  • El paquete de autenticación utilizado, que puede ser uno de los siguientes:
    • Kerberos
    • Negociado
    • NTLM
    • Microsoft_Authentication_Package_v10
  • La IP y el puerto origen del intento de inicio de sesión en Windows Server 2003 solamente.

Los Event Id con los que nos podemos encontrar en los sucesos de inicio de sesión de cuenta más comunes son:

Event ID Descripción
672 Un ticket de autentificación de servicio fue correctamente emitido y validado.
673 Se concedió un ticket del servicio de concesión de tickets.
674 Un principal de seguridad ha renovado un ticket del servicio de autentificación o del servicio de concesión.
675 Ha fallado la pre-autentificación de Kerberos
676 La solicitud del ticket de autentificación ha fallado. //No implementado en 2003 ni XP.
677 No se concedió un ticket del servicio de concesión de tickets. //No implementado en 2003 ni XP.
678 Una cuenta se mapeó con éxito a una cuenta de dominio.
679 Error en el mapeo de una cuenta a una cuenta de dominio.
680 Se identificó a la cuenta usada para el intento de inicio de sesión con éxito. También indica el paquete de autentificación utilizado para la autentificación de la cuenta.
681 Intento de inicio de sesión fallido con una cuenta de dominio. //No implementado en 2003 ni XP, en su lugar se graba un 672.
682 Un usuario ha reconectado una sesión de servicios de terminal desconectada.
683 Un usuario ha desconectado su sesión de servicios de terminal sin cerrar sesión. Las sesiones de TS pueden permanecer en un estado de conexión que permite a los procesos continuar ejecutándose después de finalizar la sesión. Un Evento 683 indica cuando el usuario no ha cerrado sesión y el evento 682 cuando se recupera la conexión previamente desconectada sin ser cerrada.

En Windows 2000 un error en el inicio de sesión genera un 681 y éste a su vez contendrá código que nos dará la razón del error de autenticación. El código aparece en valores decimales. Por ejemplo:

code2000681 

3221225572 La cuenta usada es incorrecta o está mal escrita.
3221225578 La contraseña usada es incorrecta o está mal escrita.
3221225583 Se está intentando iniciar sesión fuera de las horas permitidas.
3221225584 Se está intentando iniciar sesión desde un equipo no autorizado.
3221225585 La contraseña utilizada está caducada.
3221225586 La cuenta de usuario está deshabilitada por el administrador
3221225875 La cuenta está caducada.
3221226020 Se ha iniciado sesión con la bandera de cambiar contraseña al próximo inicio.
3221226036 La cuenta está bloqueada.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *