Event Comb

Event Comb analiza sintácticamente los registros de eventos desde varios servidores a la vez, produciendo un hilo de ejecución separado por cada servidor incluido en el criterio de búsqueda. Con esta herramienta podemos reunir eventos de varios equipos que ejecuten Windows Server 2003, Windows 2000 y Windows XP. También podemos buscar por la ocurrencia de eventos mediante cualquier campo del evento grabado en los archivos de registro reunidos. Event Comb puede buscar en archivos log guardados también.

La herramienta se incluye o puede descargarse desde Resource Kit 2003 o AlTools.exe, ya que ambos la incluyen.

Event Comb nos permite:

  • Definir o un único event ID o múltiples event ID a buscar.
  • Definir un rango de event ID a buscar(Primer y último se incluyen).
  • Limitar la búsqueda a registros de eventos específicos.
  • Limitar la búsqueda a tipos de mensaje de evento específicos.
  • Limitar la búsqueda a orígenes de evento específicos.
  • Buscar un texto específico dentro de la descripción del evento.
  • Definir intervalos de tiempo específicos para búsqueda hacia atrás desde la fecha y hora actuales.

Una vez instalado alguno de los conjuntos de herramientas de los enlaces anteriores:

Inicio –> Ejecutar –> escribimos EventCombMT.exe y pulsamos Aceptar.

EventcombMT

Al iniciarse nos ofrece una ventana con instrucciones simples, pulsamos OK y tenemos delante el GUI para trabajar con él.

EventcombMT2

 

Lo primero a hacer es seleccionar los equipos que queremos incluir en la búsqueda de eventos. Para añadir equipos:

a) nos aseguramos que el dominio correcto ha sido detectado (en la imagen el dominio de mi entorno de pruebas), en caso de querer cambiar de dominio lo haremos manualmente escribiendo el nombre del dominio en el cuadro de texto Domain.

b) Para agregar equipos, clic derecho en el cuadro en blanco bajo Select To Search/Right Click To Add, lo que nos dará diversas opciones.

EventcombMT3

  • Get DCs in Domain

Agregar a la lista todos los controladores de dominio del dominio actual.

  • Add Single Server

Agregar a la lista un servidor o estación de trabajo por su nombre.

  • Add All GCs in This Domain

Agregar todos los controladores de dominio del dominio seleccionado que están configurados como servidores de catálogo global.

  • Get All Servers (Slow)

Agregar todos los servidores encontrados en el dominio usando el examinador de equipos. No se incluyen los controladores de dominio.

  • Get Servers from file

 Importar desde un archivo una lista de servidores a incluir en el ámbito de búsqueda. Cada servidor debe estar en su propia línea en el archivo de texto.

c) Una vez añadidos, seleccionamos aquéllos en los que queremos llevar a cabo la búsqueda (el servidor seleccionado se muestra destacado en la lista, podemos elegir varios manteniendo la tecla Ctrl pulsada y haciendo click en cada uno a seleccionar).

 

Una vez agregados y seleccionados los servidores a ser incluidos en la búsqueda de eventos, ya podemos realizar las selecciones restantes que deseemos: restringir el ámbito de la búsqueda seleccionando los registros de eventos y los tipos de eventos a incluir. Podemos guardar las búsquedas usadas para reutilizarlas en otra ocasión.

Los resultados de la búsqueda se guardan de forma predeterminada en C:Temp, aunque podemos cambiarlo. Un archivo resumen y un archivo por cada equipo incluido serán generados. Los archivos de equipo contendrán todos los eventos que cumplan con el criterio de búsqueda y que se han extraído de los registros de eventos.

Auditoría de seguimiento de procesos y de eventos de sistema.

Auditar el seguimiento de procesos nos permite disponer de un registro detallado de la ejecución de procesos, incluyendo el inicio de programa, salida del proceso, duplicación de manejadores y acceso indirecto a objetos. El seguimiento de procesos como mínimo, genera un evento para el inicio y salida de cada proceso. De este modo si se habilitan los aciertos se generan un gran número de eventos en el visor de sucesos.

Esta auditoría resulta útil para la solución de problemas de aplicaciones y aprender cómo éstas trabajan, sin embargo debemos habilitarla porque tenemos razones claras para ello. Probablemente necesitaremos un método automatizado de análisis de los registros de sucesos para analizar los archivos de registro con éxito allí donde hemos habilitado el seguimiento de procesos.

Los eventos más comunes son:

592 Se ha creado un nuevo proceso.
593 Proceso finalizado.
594 Se ha duplicado un manejador para un objeto.
595 Se ha obtenido acceso indirecto a un objeto.

 

Al habilitar la auditoría de los eventos de sistema, podemos rastrear cuando un usuario o proceso altera aspectos del entorno del equipo. Los eventos comunes incluyen el vaciado de los registros de eventos de seguridad, el apagado del equipo local, y los cambios hechos en los paquetes de autenticación funcionando en el equipo.

Debe estar habilitada para grabar los reinicios del sistema y los intentos de limpieza de los registros de eventos.

512 El sistema operativo se está iniciando.
513 El sistema operativo se está apagando.
514 Un paquete de autenticación se ha cargado mediante LSA.
515 Un proceso de inicio de sesión de confianza se ha registrado con LSA.
516 Los recursos internos asignados para el encolado de mensajes de eventos de seguridad se han agotado, esto llevará a la pérdida de algunos mensajes de eventos de seguridad.
517 Se ha limpiado el registro de Seguridad.
518 Se cargó un paquete de notificación mediante la SAM.
520 Se ha cambiado la hora del sistema.

Auditoría del uso de privilegios

Al habilitar esta auditoría registramos el momento en que un usuario o servicio utiliza uno de los derechos de usuario para llevar a cabo un procedimiento, con la excepción de unos pocos derechos de usuario que no se auditarán.

Los derechos que no se auditan:

  • Saltarse la comprobación de recorrido
  • Depuración de programas
  • Creación de un token
  • Reemplazar token de nivel de proceso
  • Generar auditorías de seguridad
  • Copia de seguridad de archivos y directorios(*)
  • Restaurar archivos y directorios(*)

* Windows Server 2003, 2000 y XP disponen de una configuración de directiva de grupo bajo Opciones de seguridad llamada Auditoría: auditar el uso del privilegio de copia de seguridad y restauración.

auditoriaprivilegios

 

La auditoría del uso de privilegios nos permite detectar eventos asociados con ataques bastante comunes, entre estos eventos tenemos a:

  • Apagado de un equipo local o remoto.
  • Carga/descarga de controladores de dispositivo.
  • Ver el registro de seguridad.
  • Tomar propiedad de objetos.
  • Actuar como parte del sistema operativo.

Debemos habilitar los errores como mínimo, ya que es un indicador de un problema de red y frecuentemente podría ser un signo de haber intentado aprovechar alguna brecha de seguridad. Los aciertos debemos habilitarlos en caso de razones específicas para hacerlo, ya que se produce una entrada cada vez que un usuario hace uso correcto de sus privilegios.

Auditoría de cambios en directivas

Esta auditoría nos permite realizar un seguimiento de cambios en tres áreas:

  • Asignación de derechos de usuario.
  • Directivas de auditoría.
  • Relaciones de confianza entre dominios.

Aunque la auditoría de cambios en directivas implica que este evento graba la directiva de seguridad de equipo, el evento se graba cuando la auditoría de administración de cuentas está habilitada con un ID 643. Los cambios en derechos de usuario se graban cuando los cambios en directivas se auditan. Un atacante puede elevar sus propios privilegios o los de otra cuenta añadiendo un privilegio de depurador o de copia de seguridad de archivos o carpetas. La auditoría de cambios en directiva también incluye los cambios de directiva en sí mismo y los cambios en las relaciones de confianza.

Debemos habilitar tanto los aciertos como los errores para un seguimiento correcto.

Eventos más comunes:

events3

Auditoría de acceso a objetos (SACL)

Como comentaba en la auditoría de acceso a objetos, necesitamos configurar la SACL para cada objeto que queramos auditar.

Una SACL se compone de ACEs (Entradas de control de acceso) y cada ACE contiene tres elementos:

  • El principal de seguridad (usuario, equipo o grupo) a ser auditado.
  • El tipo de acceso específico a auditarse, denominado máscara de acceso.
  • Una bandera para indicar que se auditan los errores, los aciertos, o ambos.

Si tenemos claro que queremos grabar los intentos de acceso en archivos, claves del registro o impresoras, debemos habilitar la auditoría y crear la SACL en el recurso.

Tened precaución cuando auditamos permisos de lectura&ejecución de archivos ejecutables ya que se producen gran cantidad de eventos a grabar. Un antivirus provoca cientos de accesos a objetos cada vez que escanea el sistema y la auditoría esté habilitada para control completo (full control).

Debemos definir sólo las acciones que queremos habilitar al configurar la SACL.

Antes de implementar la auditoría de archivos, claves del registro o impresoras, debemos asegurarnos que la misma no afecta al rendimiento del servidor y/o el recurso, y nos cree problemas en los procesos de trabajo.

Al habilitar la auditoría, podemos grabar los intentos fallidos y acertados de acceso a archivos, claves del registro y impresoras, se generan las entradas correspondientes, las más comunes:

comonaccessobjects

Si además se ejecutara Certificate Services podrían aparecer otros eventos relacionados con certificados.

Auditando eventos de inicio de sesión

Habilitar esta auditoría nos permitirá hacer un seguimiento de cada vez que un usuario inicia o cierra sesión  en un equipo. El evento se registra en el log de seguridad del equipo donde se produce el intento. De forma similar, cuando un usuario o equipo conecta a un equipo remoto, se genera una entrada en el log de seguridad del equipo remoto para el inicio de sesión en red. Estos eventos se crean cuando el inicio de sesión y el token se crea o elimina.

En Windows 2000, ya que los inicios de sesión en Terminal Services se tratan como inicios interactivos, una sesión remota de TS registra un evento de inicio de sesión. Si habilitamos la auditoría en un equipo con servicios de Terminal, debemos diferenciar entre los inicios de sesión de consola y los de Terminal Services. En Windows 2003 y XP, los servicios de Terminal están diferenciados de los inicios de sesión interactivos.

Los eventos de inicio de sesión auditan los intentos de los usuarios de iniciar sesión y de los equipos donde lo intentan. Observaremos de forma separada las entradas para cuentas de equipo y cuentas de usuario si el intento es en una conexión de red.

* Si hay equipos aún con w95/98 sólo se registrarán los inicios de sesión de los usuarios ya que estos s.o. no tienen cuentas de equipo en el directorio y por tanto no generan entradas eventos de inicio de sesión en red.

Los eventos de inicio de sesión pueden ser útiles para el seguimiento de los intentos de inicios de sesión interactivos en servidores o para investigar ataques contra equipos específicos. Los aciertos generan una entrada cuando el intento ha tenido éxito, mientras, obviamente, los errores se registran cuando el intento ha sido fallido.

Una sutil e imperceptible diferencia, pero muy importante, existe entre auditar inicios de sesión de cuentas y de inicios de sesión; mientras los primeros se registran en el equipo donde se autentica la cuenta, los segundos lo hacen donde se usa la cuenta.

En los DC donde esté habilitada la auditoría se graban solamente los intentos de inicio de sesión interactivos o de red en el propio DC. Generándose entradas de aciertos o errores dependiendo del éxito del intento.

Debemos habilitar siempre ambos, aciertos y errores. Los aciertos nos proporcionan una base sobre el comportamiento de inicio de sesión del usuario que puede sernos útil en casos de comportamientos extraños. De forma similar, el registro de eventos con éxito es una evidencia en cualquier equipo que investiguemos. Al realizar el seguimiento de los eventos de error, podemos ser capaces de prevenir ataques de red o evitar daños a la misma respondiendo activamente a los comportamientos sospechosos.

events2

Auditoría de acceso a objetos

Cuando habilitamos la auditoría sobre los objetos podemos realizar un seguimiento sobre los intentos, con éxito o fallidos, de acceso a archivos, impresoras y registro de recursos. Como en la auditoría de servicios de directorio, cuando habilitamos ésta también necesitaremos configurar la SACL en cada recurso que queremos auditar.

Pongamos por caso que queremos auditar el acceso a una carpeta (o archivo) local:

  • Antes de configurar la auditoría de archivos y carpetas, hemos de habilitar la auditoría de acceso a objetos(*). 
  1. Abrimos el Explorador de Windows.
  2. Clic derecho en el archivo o carpeta que queremos controlar, clic en Propiedades y, después, ficha Seguridad.
  3. Clic en Avanzadas, luego, ficha Auditoría.
  4. Ahora:
    • Configurarla para un usuario o grupo nuevo, clic en Agregar. En Escriba el nombre del objeto a seleccionar, escribimos el nombre del usuario o grupo y, luego aceptamos.
    • Quitarla para un grupo o usuario existente, clic en su nombre, Quitar, Aceptar, hemos finalizado.
    • Verla y/o modificarla la de un grupo o usuario existente, clic en su nombre, Modificar.
  5. Aplicar en, seleccionamos la ubicación donde queremos realizarla.
  6. Acceso, indicamos lo que queremos auditar, marcando las casillas que queremos:
    • Marcar/desmarcar Correctos para auditar o no los sucesos correctos.
    • Marcar/desmarcar Erróneos para auditar o no los sucesos erróneos.
    • Borrar todo.
  7. Si no queremos herencia para los archivos y subcarpetas activamos la casilla Aplicar estos valores de auditoría sólo a los objetos y/o contenedores dentro de este contenedor.
auditaCARPETA01 auditaCARPETA02 auditaCARPETA03
auditaCARPETA04 auditaCARPETA05 auditaCARPETA06

He iniciado sesión, ido a la carpeta RECURSO y creado una subcarpeta. En el visor de sucesos ha quedado constancia de tal acción.

auditaCARPETA07

  • Debemos iniciar sesión como miembro del grupo Administradores o tener los privilegios para Administrar el registro de auditoría y seguridad en Directiva de grupo para realizar estos procedimientos.
  • Después de habilitar la auditoría de acceso a objetos, mirar el registro de seguridad del Visor de sucesos para ver el resultado de los cambios.
  • Sólo podemos configurar la auditoría de archivos y carpetas en unidades NTFS.
  • Sí:
    • En el diálogo Entrada de auditoría para archivo o carpeta, cuadro Acceso, las casillas están difuminadas …
    • En el diálogo Configuración de seguridad avanzada para archivo o carpeta, el botón Quitar está difuminado …

    es porque la auditoría se ha heredado de la carpeta principal.

  • Como el registro de seguridad está limitado a un tamaño, hemos de calcular bien los archivos y carpetas que queremos controlar (aunque el tamaño del registro podemos aumentarlo si es necesario)

(*) Habilitar la auditoría de acceso a objetos

Localmente

loca01

 

Vamos a configuración de seguridad local.

loca02 
Izquierda -> Directiva de auditoría (Configuración de seguridad -> Directivas Locales -> Directiva de auditoría)

En el panel de detalles, clic doble en los sucesos que queremos configurar la directiva.

loca03 Marcamos la/s casilla/s convenientes de Correctos/Erróneos y pulsamos en Aceptar.

En DC’s con el paquete de herramientas de administración de Windows Server 2003

dc01

Vamos a la directiva de seguridad del controladr de dominio.

dc02 En el árbol de la consola clicamos en Directiva de auditoría (Configuración del equipo –> Configuración de Windows-> Configuración de seguridad –> Directivas locales –> Directiva de auditoría)
dc03

En el panel de detalles, clic doble en los sucesos que queremos configurar la directiva.

Si lo hacemos por primera vez, marcamos la casilla Definir esta configuración de directiva.

Marcamos la/s casilla/s convenientes de Correctos/Erróneos y pulsamos en Aceptar.

Dominio o una OU, desde un DC con el paquete de herramientas de administración.

dominioOUdesdeDC01

 Vamos al complemento de Usuarios y equipos de Active Directory.

dominioOUdesdeDC02 En el árbol de la consola, clic botón secundario en el dominio u OU al que queremos establecer la Directiva de grupo.
Clic en Propiedades.
dominioOUdesdeDC03

Ficha Directiva de grupo.

Clic en Editar y abrimos la GPO que queremos cambiar/modificar, o en Nuevo si lo que queremos es crear una nueva GPO y, después de darle nombre, clic en Editar.

dominioOUdesdeDC04

En el árbol de la consola clicamos en Directiva de auditoría (Configuración del equipo –> Configuración de Windows –> Configuración de seguridad –> Directivas locales –> Directiva de auditoría)

En el panel de detalles, clic doble en los sucesos que queremos configurar la directiva.

Si lo hacemos por primera vez, marcamos la casilla Definir esta configuración de directiva.

Marcamos la/s casilla/s convenientes de Correctos/Erróneos y pulsamos en Aceptar.

Dominio o una OU, desde un servidor miembro o estación de trabajo unida al dominio
dominioOUdesdeequipo01

Inicio->Ejecutar escribimos MMC y pulsamos ENTER(Abrimos la consola MMC).

dominioOUdesdeequipo02

Menú Archivo->Agregar o quitar complemento->Agregar.

Clic en Editor de objetos de directiva de grupo->Agregar.

dominioOUdesdeequipo03

En la ventana Seleccionar un objeto de directiva de grupo del Asistente para directivas de grupo, clic en Examinar.

dominioOUdesdeequipo05dominioOUdesdeequipo04 dominioOUdesdeequipo06

En Buscar un objeto directiva de grupo, seleccionamos una GPO, en el dominio, sitio o unidad organizativa, existente (o creamos una nueva), luego clic en Aceptar, para terminar clicando en Finalizar.

Cerramos y Aceptamos.

 dominioOUdesdeequipo07

En el árbol de la consola clicamos en Directiva de auditoría (Configuración del equipo->Configuración de Windows->Configuración de seguridad->Directivas locales->Directiva de auditoría)

En el panel de detalles, clic doble en los sucesos que queremos configurar la directiva.

Si lo hacemos por primera vez, marcamos la casilla Definir esta configuración de directiva.

Marcamos la/s casilla/s convenientes de Correctos/Erróneos y pulsamos en Aceptar.

Auditando accesos a servicios de directorio

Podemos auditar los cambios en el servicio de directorio Active Directory habilitando la auditoría correspondiente. Aunque tengamos habilitada la auditoría de sucesos de administración de cuentas, puede que queramos seguir los cambios a otros objetos de AD.

Para auditar los aciertos y los errores en objetos de AD o sus atributos, no sólo debemos habilitar la auditoría en todos los DC, sino que además debemos configurar los SACL (system access control list) para cada objeto o atributo que queramos auditar. Como añadido a la grabación de cambios en objetos y atributos de AD se grabarán sucesos como la replicación. Consecuentemente, habilitando esta auditoria para aciertos aumentaremos las entradas en el log de eventos, resultando en un incremento de tamaño del archivo log y con ello cierta dificultad en localizar significativos sucesos sin la ayuda de herramientas sofisticadas para filtrar el log.

Si definimos esta directiva, podemos indicar si auditamos aciertos o errores. Lo primero genera una entrada cuando un usuario accede con éxito a un objeto de AD que tiene una SACL especificada. Los errores generan entradas cuando un usuario intenta sin éxito acceder a un objeto de AD con una SACL especificada.

AD es una base de datos múltiple, lo que significa que cualquier cambio puede ser escrito en cualquier DC, debemos asegurarnos que la auditoría esté habilitada en todos los DC. La mejor manera de asegurarse es crear un objeto de directiva de grupo a nivel de dominio.

Todos los eventos de directorio, tanto aciertos como errores, tendrán un ID 565 o 566. Tendremos que examinar los detalles de cada 565 o 566 para ver si fue o no, correctamente realizado.

El evento 565 en windows 2000  nos permite el seguimiento de cambios en objetos de AD a nivel de propiedad, mientras que la administración de cuentas proporciona más utilidad para cambios de usuarios, grupos y equipos.