Directiva de auditoría

Directiva de auditoría

Actualizado:
En esta página
Descripción del móduloDescripción del módulo
ObjetivosObjetivos
Marco de aplicaciónMarco de aplicación
Uso del móduloUso del módulo
IntroducciónIntroducción
Valores de auditoríaValores de auditoría
Auditar sucesos de inicio de sesión de cuentaAuditar sucesos de inicio de sesión de cuenta
Auditar la administración de cuentasAuditar la administración de cuentas
Auditar el acceso del servicio de directorioAuditar el acceso del servicio de directorio
Auditar sucesos de inicio de sesiónAuditar sucesos de inicio de sesión
Auditar el acceso a objetosAuditar el acceso a objetos
Auditar el cambio de directivasAuditar el cambio de directivas
Auditar el uso de privilegiosAuditar el uso de privilegios
Auditar el seguimiento de procesosAuditar el seguimiento de procesos
Auditar sucesos del sistemaAuditar sucesos del sistema
Ejemplo de auditoría: resultados de un suceso de inicio de sesión Ejemplo de auditoría: resultados de un suceso de inicio de sesión
El usuario inicia sesión en su equipo.El usuario inicia sesión en su equipo.
El usuario se conecta a la carpeta compartida denominada Recursos compartidosEl usuario se conecta a la carpeta compartida denominada Recursos compartidos
El usuario abre el archivo documento.txt.El usuario abre el archivo documento.txt.
El usuario guarda el archivo documento.txt.El usuario guarda el archivo documento.txt.

Descripción del módulo

Este módulo describe cómo establecer diferentes configuraciones que se aplican a la auditoría. También ofrece un ejemplo de sucesos de auditoría creados por varias tareas comunes. Un registro de auditoría registra una entrada siempre que los usuarios realizan determinadas acciones que usted especifica. Puede auditar tanto los intentos correctos como incorrectos en las acciones.

La auditoría de seguridad es extremadamente importante para cualquier sistema empresarial, ya que los registros de auditoría pueden ser la única indicación que tenga de que se ha producido una infracción de seguridad. Si descubre una infracción de cualquier otra forma, la configuración de auditoría adecuada generará un registro de auditoría que contenga información importante sobre la infracción.

Objetivos

Utilice este módulo para establecer las siguientes directivas de auditoría:

Configuración de auditoría

Auditar sucesos de inicio de sesión de cuenta

Auditar la administración de cuentas

Auditar el acceso del servicio de directorio

Auditar sucesos de inicio de sesión

Auditar el acceso a objetos

Auditar el cambio de directivas

Auditar el uso de privilegios

Auditar el seguimiento de procesos

Auditar sucesos del sistema

Ejemplo de auditoría: Resultados de un suceso de inicio de sesión

El usuario inicia sesión en su equipo

Se conecta a la carpeta compartida denominada Recursos compartidos

Abre el archivo documento.txt

Lo guarda

Marco de aplicación

Este módulo se aplica a los siguientes productos y tecnologías:

Sistema operativo Microsoft® Windows® Server™ 2003

Servicio de directorio de Microsoft Active Directory®

Microsoft Windows XP

Uso del módulo

El objetivo de este módulo es ofrecer una referencia para la configuración de seguridad de la directiva de auditoría disponible en las versiones actuales de los sistemas operativos Microsoft Windows. Esta es una guía complementaria a otras dos publicaciones de Microsoft: Guía de seguridad de Windows Server 2003, disponible en: http://www.microsoft.com/Spain/technet/seguridad/guias/guia_ws2003.asp y la Guía de seguridad de Windows XP.

Este módulo reúne las principales secciones que aparecen en la interfaz de usuario de modificación de directivas de grupo. Comienza con una breve explicación de los aspectos que tratará, seguida de una lista con los encabezados de las subsecciones. Dichos encabezados corresponden a un valor de configuración o un grupo de ellos. Para todos los valores de configuración hay una breve explicación de lo que hace la contramedida.

Introducción

Un registro de auditoría registrará una entrada siempre que los usuarios realicen determinadas acciones que usted especifica. Por ejemplo, la modificación de un archivo o una directiva puede desencadenar una entrada de auditoría. La entrada de auditoría muestra la acción que se ha llevado a cabo, la cuenta de usuario asociada y la fecha y hora de la acción. Puede auditar tanto los intentos correctos como incorrectos en las acciones.

El estado del sistema operativo y las aplicaciones de un equipo es dinámico. Por ejemplo, puede que sea necesario que los niveles de seguridad cambien de forma temporal para permitir la resolución inmediata de un problema relacionado con la administración o la red; muy a menudo, estos cambios se olvidan y nunca se deshacen. Esto significa que puede que un equipo ya no cumpla los requisitos de seguridad de la empresa.

El análisis regular permite a un administrador hacer un seguimiento y garantizar un nivel adecuado de seguridad en cada equipo como parte de un programa de administración de riesgos de la empresa. El análisis se centra en información altamente especificada sobre todos los aspectos del sistema relacionados con la seguridad. Esto permite que un administrador ajuste los niveles de seguridad y, lo más importante, detecte cualquier defecto de seguridad que pueda darse en el sistema con el tiempo.

La auditoría de seguridad es extremadamente importante para cualquier sistema empresarial, ya que los registros de auditoría puede que den la única indicación de que se ha producido una infracción de seguridad. Si se descubre la infracción de cualquier otra forma, la configuración de auditoría adecuada generará un registro de auditoría que contenga información importante sobre la infracción.

A menudo, los registros de errores son mucho más informativos que los registros de aciertos, ya que los errores suelen indicar problemas. Por ejemplo, si un usuario inicia sesión correctamente en el sistema, puede considerarse como algo normal. Sin embargo, si un usuario intenta sin éxito iniciar sesión en un sistema varias veces, esto puede indicar que alguien está intentando obtener acceso al sistema utilizando el Id. de usuario de otra persona. El registro de seguridad registra sucesos de auditoría. El contenedor de registro de sucesos de directiva de grupo se utiliza para definir atributos relacionados con la aplicación, la seguridad y los registros de sucesos del sistema como, por ejemplo, el tamaño máximo del registro, los derechos de acceso para los registros, así como la configuración y los métodos de retención. El libro de Microsoft Excel "Windows Default Security and Services Configuration" que se incluye con esta guía ofrece información sobre la configuración predeterminada. Haga clic aquí para descargarlo.

Los valores de configuración de la directiva de auditoría se pueden establecer en la siguiente ubicación del Editor de objetos de directiva de grupo:

Configuración de equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Directiva de auditoría

Valores de auditoría

Las vulnerabilidades, contramedidas y posibles impactos de todos los valores de configuración de auditoría son idénticos, por lo que sólo se detallan una vez en los siguientes párrafos. Debajo de esos párrafos se incluyen breves explicaciones de cada valor.

Las opciones para los valores de configuración de auditoría son:

Correcto

Erróneo

Sin auditoría

Vulnerabilidad

Si no se configura ninguna auditoría, será complicado o imposible determinar lo que sucedió durante un incidente de seguridad. No obstante, si se configura la auditoría para que demasiadas actividades autorizadas generen sucesos, el registro de sucesos de seguridad se llenará de datos poco útiles. Configurar la auditoría para un gran número de objetos puede influir también en el rendimiento general del sistema.

Contramedida

Todos los equipos de su organización deberían tener directivas de auditoría razonables habilitadas para que los usuarios legítimos puedan ser responsables de sus acciones y las actividades no autorizadas se puedan detectar y seguir.

Impacto potencial

Si no se configura ninguna auditoría o si la auditoría tiene una configuración muy baja en los equipos de la organización, no habrá evidencias disponibles, o serán insuficientes, para el análisis de la red después de que se produzcan los incidentes de seguridad. Por otra parte, si se habilitan demasiadas auditorías el registro de seguridad se llenará de entradas carentes de sentido.

Auditar sucesos de inicio de sesión de cuenta

El valor de configuración Auditar sucesos de inicio de sesión de cuenta determina si se debe auditar cada instancia de un usuario que inicie o cierre una sesión desde otro equipo, en la que el equipo que registra el suceso de auditoría se utiliza para validar la cuenta. Si define este valor de configuración de directiva, puede especificar si desea auditar los aciertos, los errores o no auditar el tipo de suceso. Las auditorías de aciertos generan una entrada de auditoría cuando un intento de inicio de sesión de cuenta tiene éxito, lo que ofrece información útil para establecer la responsabilidad y para la investigación tras el incidente, de forma que se pueda determinar quién consiguió iniciar sesión y en qué equipo. Las auditorías de errores generan una entrada de auditoría cuando en un intento de inicio de sesión de cuenta se produce un error, lo que resulta útil para la detección de intrusos, pero este valor de configuración también crea una posible condición de denegación de servicio (DoS), ya que un atacante puede generar millones de errores de inicio de sesión y llenar el registro de sucesos de seguridad.

Si se habilita una auditoría de aciertos para los sucesos de inicio de sesión de cuenta en un controlador de dominio, se registrará una entrada para cada usuario que se valide en el controlador de dominio, aunque el usuario esté iniciando sesión en una estación de trabajo asociada al dominio.

Auditar la administración de cuentas

El valor de configuración Auditar la administración de cuentas determina si se deben auditar todos los sucesos de administración de cuentas de un equipo.

Algunos ejemplos de sucesos de administración de cuentas incluyen:

Se crea, cambia o elimina una cuenta de usuario o grupo.

Cambia el nombre de una cuenta de usuario, o bien, se desactiva o se activa una.

Se establece o cambia una contraseña.

Si define este valor de configuración de directiva, puede especificar si desea auditar los aciertos, los errores o no auditar el tipo de suceso. Las auditorías de aciertos generan una entrada de auditoría cuando cualquier suceso de administración de cuentas se lleva a cabo satisfactoriamente y deberían estar habilitadas en todos los equipos de la empresa. Es importante que las organizaciones puedan realizar un seguimiento de las personas que crearon, cambiaron o eliminaron una cuenta al responder a los incidentes de seguridad. Las auditorías de errores generan una entrada de auditoría cuando cualquier suceso de administración de cuentas produce un error.

Auditar el acceso del servicio de directorio

El valor de configuración Auditar el acceso del servicio de directorio determina si se debe auditar el suceso de un usuario que tiene acceso a un objeto de Microsoft Active Directory que tiene su propia lista de control de acceso al sistema (SACL) especificada. Una SACL es una lista de usuarios y grupos cuyas acciones sobre un objeto se deben auditar en una red basada en Microsoft Windows 2000. Si define este valor de configuración de directiva, puede especificar si desea auditar los aciertos, los errores o no auditar el tipo de suceso. Las auditorías de aciertos generan una entrada de auditoría cuando un usuario obtiene acceso correctamente a un objeto de Active Directory que tiene una SACL especificada. Las auditorías de errores generan una entrada de auditoría cuando un usuario intenta obtener acceso sin éxito a un objeto de Active Directory que tiene una SACL especificada. La habilitación de la auditoría del acceso del servicio de directorio y la configuración de las SACL en los objetos de directorio puede generar un gran volumen de entradas en los registros de seguridad de los controladores de dominio, sólo debería habilitar esos valores si realmente desea utilizar la información creada.

Recuerde que puede establecer una SACL en un objeto de Active Directory utilizando la ficha Seguridad del cuadro de diálogo Propiedades de ese objeto. Esto es parecido a auditar el acceso a objetos, salvo que se aplica sólo a los objetos de Active Directory y no a los objetos del sistema de archivos y del registro.

Auditar sucesos de inicio de sesión

El valor de configuración Auditar sucesos de inicio de sesión determina si se debe auditar cada instancia de un usuario que inicie, cierre una sesión o realice una conexión de red al equipo que registra el suceso de auditoría. Si está registrando sucesos de auditoría de inicio de sesión correctos de cuenta en un controlador de dominio, los intentos de inicio de sesión de la estación de trabajo no generan auditorías de inicio de sesión. Sólo los intentos de inicio de sesión de red e interactivos en el controlador de dominio propiamente dicho generan sucesos de inicio de sesión. En resumen, los sucesos de inicio de sesión de cuenta se generan donde se encuentra la cuenta; los sucesos de inicio de sesión se generan donde se produce el intento de inicio de sesión.

Si define este valor de configuración de directiva, puede especificar si desea auditar los aciertos, los errores o no auditar el tipo de suceso. Las auditorías de aciertos generan una entrada de auditoría cuando un intento de inicio de sesión tiene éxito, esto ofrece información de utilidad para las cuentas y para la investigación tras el incidente de forma porque puede determinar quién consiguió registrarse en cada equipo. Las auditorías de errores generan una entrada de auditoría cuando un intento de inicio de sesión produce un error, lo que es útil para la detección de intrusos, pero este valor de configuración también crea una posible condición de denegación de servicio (DoS), ya que un atacante puede generar millones de errores de inicio de sesión y llenar el registro de sucesos de seguridad.

Auditar el acceso a objetos

El valor de configuración Auditar el acceso a objetos determina si se debe auditar el suceso de un usuario que obtiene acceso a un objeto como, por ejemplo, un archivo, una carpeta, una clave de Registro, una impresora, etc., que tiene su propia lista de control de acceso al sistema especificada. Si define este valor de configuración de directiva, puede especificar si desea auditar los aciertos, los errores o no auditar el tipo de suceso. Las auditorías de aciertos generan una entrada de auditoría cuando un usuario obtiene acceso correctamente a un objeto que tiene una SACL especificada. Las auditorías de errores generan una entrada de auditoría cuando un usuario intenta obtener acceso sin éxito a un objeto que tiene una SACL especificada; hay que contar con que se produzcan algunos sucesos de error durante las operaciones de sistema normales. Por ejemplo, muchas aplicaciones, como Microsoft Word, siempre intentan abrir archivos con privilegios tanto de lectura como de escritura, si no lo consiguen intentan abrirlos con privilegios de sólo lectura. Cuando esto ocurre, se registra un suceso de error si ha habilitado la auditoría de errores y la SACL adecuada en ese archivo.

La habilitación de la auditoría de acceso de objetos y la configuración de las SACL en los objetos puede generar un gran volumen de entradas en los registros de seguridad de los sistemas de su empresa, por ello, sólo debería habilitar esos valores si realmente desea utilizar la información registrada.

Nota: la habilitación de la capacidad de auditar un objeto, como un archivo, una carpeta, una impresora o una clave de Registro es un proceso que consta de dos pasos en Microsoft Windows Server 2003. Tras habilitar la directiva de auditoría de acceso a objetos, debe determinar los objetos cuyo acceso desee supervisar y, a continuación, modificar sus SACL como corresponda. Por ejemplo, si desea auditar cualquier intento por parte de los usuarios de abrir un archivo determinado, puede establecer el atributo de éxito o error directamente en el archivo que desee supervisar para ese suceso en particular mediante el Explorador de Windows o la directiva de grupo.

Auditar el cambio de directivas

El valor de configuración Auditar el cambio de directivas determina si se debe auditar cada caso de cambio de las directivas de asignación de derechos de usuario, de auditoría o de confianza. Si define este valor de configuración de directiva, puede especificar si desea auditar los aciertos, los errores o no auditar el tipo de suceso. Las auditorías de aciertos generan una entrada de auditoría cuando un cambio en las directivas de asignación de derechos de usuario, de auditoría o de confianza se realiza correctamente, lo que ofrece información de utilidad para las cuentas y para la investigación tras el incidente de forma que pueda determinar quién consiguió modificar las directivas en el dominio o en los equipos individuales. Las auditorías de error generan una entrada de auditoría cuando se produce un error al realizar un cambio en las directivas de asignación de derechos de usuario, de auditoría o de confianza.

Auditar el uso de privilegios

El valor de configuración Auditar el uso de privilegios determina si se debe auditar cada caso en el que un usuario ejecute un derecho de usuario. Si define este valor de configuración de directiva, puede especificar si desea auditar los aciertos, los errores o no auditar el tipo de suceso. Las auditorías de aciertos generan una entrada de auditoría cuando el ejercicio de un derecho de usuario tiene éxito. Las auditorías de errores generan una entrada de auditoría cuando el ejercicio de un derecho de usuario produce un error. El volumen de sucesos generados al habilitar este valor de configuración es muy alto y muy difícil de clasificar. Sólo debe habilitar esta configuración si ha planeado cómo va a utilizar la información que se ha generado.

De forma predeterminada, el uso de los siguientes derechos de usuario no genera sucesos de auditoría, aunque se haya especificado la auditoría de aciertos o la de errores para Auditar el uso de privilegios:

Omitir la comprobación de recorrido

Depurar programas

Crear un objeto Token

Reemplazar un token de nivel de proceso

Generar auditorías de seguridad

Realizar copias de seguridad de archivos y directorios

Restaurar archivos y directorios

Auditar el seguimiento de procesos

El valor de configuración Auditar el seguimiento de procesos determina si se debe auditar información de seguimiento detallada de sucesos como la activación de programas, la salida de procesos, la duplicación de identificadores y el acceso indirecto a objetos. Si define este valor de configuración de directiva, puede especificar si desea auditar los aciertos, los errores o no auditar el tipo de suceso. Las auditorías de aciertos generan una entrada de auditoría cuando el proceso que se está siguiendo tiene éxito. Las auditorías de errores generan una entrada de auditoría cuando el proceso que se está siguiendo produce un error.

La habilitación del valor de configuración Auditar el seguimiento de procesos generará una cantidad considerable de sucesos, por lo que generalmente se establece en Sin auditoría. Sin embargo, estos valores pueden resultar muy útiles durante la respuesta a un incidente a partir del registro detallado de los procesos iniciados y la hora de inicio de los mismos.

Auditar sucesos del sistema

El valor de configuración Auditar sucesos del sistema determina si se debe auditar el reinicio o cierre de un equipo realizado por un usuario o un suceso que afecte a la seguridad del sistema o al registro de seguridad. Si define este valor de configuración de directiva, puede especificar si desea auditar los aciertos, los errores o no auditar el tipo de suceso. Las auditorías de aciertos generan una entrada de auditoría cuando un suceso del sistema se ejecuta correctamente. Las auditorías de errores generan una entrada de auditoría cuando se intenta ejecutar un suceso del sistema sin éxito. Como se registrarán muy pocos sucesos adicionales al habilitar las auditorías de aciertos y de errores para los sucesos del sistema y todos esos sucesos son muy significativos, se recomienda habilitar esta configuración en todos los equipos de la organización.

Ejemplo de auditoría: resultados de un suceso de inicio de sesión

Ahora que ya hemos visto las distintas configuraciones de auditoría disponibles en Windows, puede ser útil estudiar un ejemplo concreto. La auditoría se realiza desde el punto de vista de un sistema individual, en lugar de utilizar una perspectiva más integral preferida por el usuario. Los sucesos se registran en sistemas individuales; para determinar lo que ha ocurrido, puede que necesite examinar los registros de seguridad de varios sistemas y asociar los datos.

El resto de este módulo muestra los sucesos principales que se escriben en los registros de sucesos del controlador de dominio, el servidor de archivos y el equipo de usuario final cuando un usuario autorizado inicia sesión en su equipo y obtiene acceso a un archivo de una carpeta compartida alojada en el servidor de archivos. De nuevo, sólo se documentan los sucesos principales como demostración, otros sucesos generados por esas actividades se omiten para evitar la confusión. Los nombres de las cuentas y los recursos relacionados con este ejemplo son:

Dominio = DOM

Controlador de dominio = DC1

Servidor de archivos = FS1

Equipo de usuario final = XP1

Usuario = Pablo

Carpeta compartida en FS1 = Recursos compartidos

Documento en la carpeta compartida = documento.txt

El usuario inicia sesión en su equipo.

Sucesos registrados en el equipo del usuario final

Auditoría de aciertos para el Id. de suceso 528, Inicio de sesión/Cierre de sesión de usuario para el usuario DOM/Pablo en el equipo XP1

Sucesos registrados en el controlador de dominio

Auditoría de aciertos para el Id. de suceso 540, Inicio de sesión/Cierre de sesión de usuario para el usuario DOM\Pablo en el equipo DC1

Sucesos registrados en el servidor de archivos

No se aplica

El usuario se conecta a la carpeta compartida denominada Recursos compartidos

Sucesos registrados en el equipo del usuario final

No se aplica

Sucesos registrados en el controlador de dominio

Auditoría de aciertos para el Id. de suceso 673, Inicio de sesión de cuenta para el usuario Pablo@DOM.com para el nombre de servicio FS1$,

Auditoría de aciertos para el Id. de suceso 673, Inicio de sesión de cuenta para el usuario F$$@DOM.com para el nombre de servicio FS1$,

Auditoría de aciertos para el Id. de suceso 673, Inicio de sesión de cuenta para el usuario XP1$@DOM.com para el nombre de servicio FS1$,

Nota: todas estas son solicitudes de vales de servicio Kerberos.

Sucesos registrados en el servidor de archivos

Auditoría de aciertos para el Id. de suceso 540, Inicio de sesión/Cierre de sesión de usuario para el usuario DOM\Pablo en el equipo FS1,

Auditoría de aciertos para el Id. de suceso 560, Acceso a objetos para el usuario DOM\Pablo al objeto denominado C:\Recursos compartidos con tipos de acceso READ_CONTROL, ReadData (o ListDirectory), ReadEA y ReadAttributes

Auditoría de aciertos para el Id. de suceso 560, Acceso a objetos para el usuario DOM\Pablo al objeto denominado C:\Recursos compartidos\documento.txt con tipos de acceso READ_CONTROL, ReadData (o ListDirectory), ReadEA y ReadAttributes

El usuario abre el archivo documento.txt.

Sucesos registrados en el equipo del usuario final

No se aplica

Sucesos registrados en el controlador de dominio

No se aplica

Sucesos registrados en el servidor de archivos

Auditoría de aciertos para el Id. de suceso 560, Acceso a objetos para el usuario DOM\Pablo al objeto denominado C:\Recursos compartidos\documento.txt con tipos de acceso READ_CONTROL, ReadData (o ListDirectory), WriteDate (o AddFile), AppendDate (o AddSubdirectory o CreatePipeInstance), ReadEA, WriteEA, ReadAttributes y WriteAttributes

Auditoría de aciertos para el Id. de suceso 560, Acceso a objetos para el usuario DOM\Pablo al objeto denominado C:\Recursos compartidos\documento.txt con tipos de acceso ReadAttributes

Auditoría de aciertos para el Id. de suceso 560, Acceso a objetos para el usuario DOM\Pablo al objeto denominado C:\Recursos compartidos con tipos de acceso ReadAttributes

El usuario guarda el archivo documento.txt.

Sucesos registrados en el equipo del usuario final

No se aplica

Sucesos registrados en el controlador de dominio

No se aplica

Sucesos registrados en el servidor de archivos

Auditoría de aciertos para el Id. de suceso 560, Acceso a objetos para el usuario DOM\Pablo al objeto denominado C:\Recursos compartidos\documento.txt con tipos de acceso SYNCHRONIZE, ReadData (o ListDirectory), WriteDate (o AddFile), AppendDate (o AddSubdirectory o CreatePipeInstance), ReadEA, WriteEA, ReadAttributes y WriteAttributes

Auditoría de aciertos para el Id. de suceso 560, Acceso a objetos para el usuario DOM\Pablo al objeto denominado C:\Recursos compartidos\documento.txt con tipos de acceso READ_CONTROL, SYNCHRONIZE y ReadData (o ListDirectory)

Aunque este ejemplo parezca una compleja serie de sucesos, ha sido enormemente simplificado. Los pasos anteriores generarían docenas de sucesos de inicio de sesión, cierre de sesión y uso de privilegios en el controlador de dominio y el servidor de archivos. Además, cuando el usuario abre el archivo, se genera una gran cantidad de sucesos de acceso a objetos y cada vez que el usuario guarda el archivo se crean muchos más sucesos. Como puede ver, utilizar los datos generados por las auditorías puede ser una tarea extremadamente laboriosa sin la ayuda de herramientas automatizadas como Microsoft Operations Manager.


**
**