Amenazas y contramedidas
Capítulo 6: Registro de eventos
El registro de eventos realiza un seguimiento de los eventos en el equipo, y el registro de seguridad realiza un seguimiento de los eventos de auditoría. El contenedor del registro de eventos de la directiva de grupo se utiliza para definir los atributos relacionados con la aplicación, la seguridad y los registros de eventos del sistema como, por ejemplo, el tamaño máximo del registro, los derechos de acceso para los registros, así como la configuración y los métodos de retención. El libro de Microsoft® Excel® "Configuración de la seguridad y los servicios predeterminados de Windows", que se incluye con esta guía, documenta la configuración predeterminada del registro de eventos. En esta página
Configuración del registro de eventosPuede establecer la configuración del registro de eventos en la siguiente ubicación del Editor de objetos de directiva de grupo: Configuración del equipo\Configuración de Windows\Configuración de seguridad\Registro de eventos\Configuración para registros de eventos Tamaño máximo del registro de eventosEsta configuración de directiva especifica el tamaño máximo de los registros de eventos de aplicación, seguridad y sistema. Aunque las interfaces de usuario del Editor de objetos de directiva de grupo y del complemento Visor de eventos de Microsoft Management Console (MMC) permiten escribir valores de hasta cuatro gigabytes, ciertos factores hacen que el tamaño máximo eficaz de estos registros sea mucho menor. El servicio de registro de eventos utiliza archivos asignados en memoria y se ejecuta como uno de los servicios del proceso services.exe como eventlog.dll. Cuando los archivos se cargan de esta forma, todo el archivo se carga en la memoria del sistema. Todas las versiones actuales de Microsoft Windows tienen una limitación arquitectónica relacionada con los archivos asignados en memoria: ningún proceso puede tener más de un gigabyte de archivos asignados en memoria en total. Esta limitación significa que todos los servicios que se ejecutan en el proceso services.exe deben compartir el grupo de un gigabyte. La memoria se asigna en partes contiguas de 64 KB, y si el equipo no puede asignar memoria adicional para expandir archivos asignados en memoria, surgen problemas. Para el servicio del registro de eventos, el uso de archivos asignados en memoria implica que independientemente de la cantidad de memoria que especifique el parámetro Tamaño máximo del registro de eventos, los registros de eventos no podrán introducirse en el registro cuando el equipo no tenga más memoria disponible para el archivo asignado en memoria. No aparecerán mensajes de error; sencillamente los eventos no aparecerán en el registro de eventos o podrán sobrescribir otros eventos que se hayan registrado anteriormente. La fragmentación de archivos de registro en la memoria también ha demostrado que provoca problemas de rendimiento importantes en equipos ocupados. Debido a estas limitaciones, a pesar de que el límite teórico para los archivos asignados en memoria sugiere lo contrario y las interfaces de usuario del Visor de eventos y del Editor de objetos de directiva de grupo permiten especificar hasta cuatro gigabytes por registro, Microsoft ha comprobado que el límite práctico está alrededor de los 300 MB en la mayoría de los servidores, es decir, 300 MB para todos los registros de eventos combinados. En Microsoft Windows XP, servidores miembros y servidores independientes el tamaño combinado de los registros de eventos de aplicación, seguridad y sistema no debería superar los 300 MB. En los controladores de dominio, el tamaño combinado de estos tres archivos, más el servicio de directorio de Active Directory®, el DNS y los registros de replicación no deben superar los 300 MB. Estas limitaciones han causado problemas a algunos clientes de Microsoft, pero la única manera de eliminar las limitaciones implica cambios fundamentales en la forma en que se registran los eventos. Microsoft está reprogramando el sistema del registro de eventos para resolver estos problemas en la siguiente versión de Windows. Aunque no existe ninguna ecuación sencilla para determinar el tamaño de registro óptimo para un servidor concreto, se puede calcular un tamaño razonable. El promedio de una entrada de evento requiere alrededor de 500 bytes en cada registro y los tamaños de archivo de registro deben ser múltiplos de 64 KB. Si puede calcular el número medio de eventos que se generan cada día para cada tipo de registro en su organización, puede determinar un tamaño adecuado para cada tipo de archivo de registro. Por ejemplo, si su servidor de archivos genera 5.000 eventos al día en su registro de seguridad y desea garantizar que dispone de al menos 4 semanas de datos en todo momento, entonces deberá establecer el tamaño de este registro en aproximadamente 70 MB. (500 bytes * 5000 eventos/día * 28 días = 70 millones de bytes). Compruebe los servidores de forma ocasional en las siguientes cuatro semanas para comprobar sus cálculos y que los registros almacenan un número apropiado de eventos. Se deben definir el tamaño y el ajuste del registro de eventos de modo que cumplan los requisitos empresariales y de seguridad que determinó al diseñar el plan de seguridad de la empresa. Los valores posibles para la configuración Tamaño máximo del registro de eventos son:
VulnerabilidadSi aumenta de forma significativa el número de objetos que se auditan en la empresa, existe el riesgo de que el registro de seguridad alcance su capacidad máxima, lo que obliga al equipo a apagarse si habilitó el parámetro Auditoría: apagar el sistema de inmediato si no puede registrar auditorías de seguridad. Si se produce un cierre, el equipo no se podrá utilizar hasta que un administrador borre el registro de seguridad. Para evitarlo, puede deshabilitar el parámetro Auditoría: apagar el sistema de inmediato si no puede registrar auditorías de seguridad, que se describe en el capítulo 5 "Opciones de seguridad", y aumentar el tamaño del registro de seguridad. Alternativamente, puede configurar la rotación con registro automático que se describe en el artículo de Microsoft Knowledge Base "The event log stops logging events before reaching the maximum log size" en http://support.microsoft.com/default.aspx?kbid=312571. ContramedidaDebe activar directivas de tamaño de registro razonables en todos los equipos de su empresa para que los usuarios legítimos puedan ser responsables de sus acciones, las actividades no autorizadas se puedan detectar y seguir y los problemas del equipo se puedan detectar y diagnosticar. Impacto potencialCuando los registros de eventos alcanzan el máximo de su capacidad, dejan de registrar información, a menos que el método de retención de cada uno se establezca para que el equipo sobrescriba las entradas más antiguas con las más recientes. Para mitigar el riesgo de pérdida de datos recientes, puede configurar el método de retención para que los eventos más antiguos se borren según se necesite. La consecuencia de esta configuración es que los eventos más antiguos se eliminarán de los registros. Los atacantes pueden aprovechar esta configuración, ya que pueden generar un gran número de eventos superfluos para sobrescribir cualquier indicio de su ataque. Estos riesgos se pueden reducir en parte si automatiza el almacenamiento y la copia de seguridad de los datos del registro de eventos. Lo ideal es que todos los eventos supervisados de forma específica se envíen a un servidor que utilice Microsoft Operations Manager (MOM) o cualquier otra herramienta automatizada de supervisión. Esta configuración es especialmente importante porque un atacante que consiga poner en peligro un servidor podría borrar el registro de seguridad. Si todos los eventos se envían a un servidor de supervisión, podrá recopilar información de análisis sobre las actividades del atacante. Evitar que el grupo de invitados locales tenga acceso a los registros de eventosEsta configuración de directiva determina si los invitados pueden tener acceso a los registros de eventos de aplicación, seguridad y sistema. Los valores posibles para la configuración Evitar que el grupo de invitados locales tenga acceso a los registros de eventos son:
Nota: esta configuración de directiva no aparece en el objeto Directiva de equipo local. Esta configuración de directiva sólo afecta a equipos con Windows 2000 y las versiones posteriores de Windows. VulnerabilidadUn atacante que ha conseguido iniciar sesión en un equipo con privilegios de invitado puede obtener información importante sobre el equipo si puede consultar los registros de eventos. El atacante podría utilizar entonces esta información para realizar más ataques. ContramedidaHabilite el parámetro Evitar que el grupo de invitados locales tenga acceso a los registros de eventos para las directivas de los tres registros de eventos. Impacto potencialNinguno. Ésta es la configuración predeterminada. Conservar registros de eventosEsta configuración de directiva determina el número de días de datos del registro de eventos a retener para los registros de aplicación, seguridad y sistema si el método de retención que se especifica para el registro es Por días. Configure este parámetro sólo si el registro se archiva a intervalos programados y asegúrese de que el tamaño máximo del registro es lo suficientemente grande como para incluir el intervalo. Los valores posibles para la configuración Conservar registros de eventos son:
Nota: esta configuración de directiva no aparece en el objeto Directiva de equipo local. Un usuario debe tener asignado el derecho de usuario Administración del registro de seguridad y auditoría para tener acceso al registro de seguridad. VulnerabilidadSi archiva el registro a intervalos programados:
Asegúrese también de que el tamaño máximo de registro es lo suficientemente grande para acomodar el intervalo. ContramedidaConfigure el parámetro Conservar registros de eventos para las directivas de los tres registros de eventos en No está definido. Impacto potencialNinguno. Ésta es la configuración predeterminada. Método de retención del registro de eventosEsta configuración de directiva determina el método de ajuste de los registros de eventos de aplicación, seguridad y sistema. Si no quiere archivar el registro de aplicaciones:
Si quiere archivar el registro a intervalos programados:
Si debe retener todos los eventos en el registro:
Esta opción requiere que el registro se borre de forma manual. En esta configuración, los eventos nuevos se desechan cuando se alcanza el tamaño máximo de registro. Los valores posibles para la configuración Método de retención del registro de eventos son:
Nota: esta configuración de directiva no aparece en el objeto Directiva de equipo local. VulnerabilidadSi aumenta de forma significativa el número de objetos que se auditan en la empresa, existe el riesgo de que el registro de seguridad alcance su capacidad máxima, lo que obliga al equipo a apagarse. Si se produce un cierre, el equipo no se podrá utilizar hasta que un administrador borre el registro de seguridad. Para evitarlo, puede deshabilitar el parámetro Auditoría: apagar el sistema de inmediato si no puede registrar auditorías de seguridad, que se describe en el capítulo 5 "Opciones de seguridad", y aumentar el tamaño del registro de seguridad. Si establece el método de retención del registro de eventos en Manualmente o en Sobrescribir eventos por días es posible que los eventos recientes importantes no se registren o que ocurra un ataque DoS. ContramedidaConfigure el método de retención para los tres registros de eventos en la opción Sobrescribir eventos cuando sea necesario. Algunos recursos recomiendan configurar este parámetro en Manual; sin embargo, la carga administrativa que supone es demasiado grande para la mayoría de las organizaciones. Lo ideal es que todos los eventos significativos se envíen a un servidor de supervisión utilizando MOM o cualquier otra herramienta automatizada de supervisión. Impacto potencialCuando los registros de eventos alcanzan el máximo de su capacidad, dejan de registrar información, a menos que el método de retención se establezca para que el equipo pueda sobrescribir las entradas más antiguas con las más recientes. Delegación de acceso a los registros de eventosEn Microsoft Windows Server™ 2003, se pueden personalizar los permisos en todos los registros de eventos de un equipo. Esta función no estaba disponible en las versiones anteriores de Windows. Puede que algunas organizaciones deseen conceder acceso de sólo lectura a uno o más de los registros de eventos de sistema a algunos miembros del equipo de TI. La lista de control de acceso (ACL) se almacena como una cadena de lenguaje de definición de descriptores de seguridad (SDDL), en un valor REG_SZ denominado "CustomSD" para cada registro de eventos en el registro, como se muestra en el siguiente ejemplo: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\EventLog\CustomSD Si modifica este valor y reinicia el equipo, se aplicará el nuevo parámetro. Precaución: tenga cuidado al modificar los valores del Registro, ya que la función "deshacer” no existe en la herramienta Editor del Registro. Si comete un error, tendrá que corregirlo de forma manual. Además, puede configurar accidentalmente las ACL en un registro de eventos de forma que nadie pueda obtener acceso a ellas. Asegúrese de que comprende completamente el SDDL y los permisos predeterminados situados en cada registro de eventos antes de continuar. Asegúrese también de comprobar a fondo cualquier cambio antes de implementarlo en un entorno de producción. Para obtener más información acerca de cómo configurar la seguridad para los registros de eventos en Windows Server 2003, consulte "Cómo configurar la seguridad del registro de eventos localmente o mediante la directiva de grupo en Windows Server 2003" en http://support.microsoft.com/default.aspx?kbid=323076. Para obtener más información acerca de SDDL, consulte "Lenguaje de definición de descriptores de seguridad" en MSDN® en http://msdn.microsoft.com/library/default.asp?url=/library/en-us/secauthz/ Información adicionalLos siguientes vínculos proporcionan información adicional acerca del registro de eventos en Windows Server 2003 y Windows XP.
|
En este artículo
|
