Guia de Procedimientos Active Directory

Page |0
2012
Configuracin de auditoras en Active Directory sobre Windows Server 2008R2
GUIA DE PROCEDIMIENTOS
TC. PEALOZA ORTEGA JONNY
http://auditando-ad.blogcindario.com/
Pgina |1
Identificacin.
Configuracin de auditoras en Active Directory sobre Windows Server 2008R2, Gua de procedimientos. Pealoza Ortega, Jonny Javier 2012. Cuenca-Ecuador E-mail: jhonnyjpo@yahoo.es http://auditando-ad.blogcindario.com/ OPEN ACCESS: Se promueve la reproduccin parcial o total de este documento citando la fuente y sin fines de lucro. En caso de citar este documento por favor utiliza la siguiente referencia: Pealoza Ortega, J.J. (2012) Configuracin de auditoras en Active Directory sobre Windows Server 2008R2, Gua de procedimientos.
Pgina |2
Contenidos
Identificacin................................................................................................................................................. 1 Presentacin ................................................................................................................................................. 3 Objetivo. ........................................................................................................................................................ 3 Despliegue..................................................................................................................................................... 4 Requisitos Previos. .................................................................................................................................... 4 Competencias........................................................................................................................................ 4 Herramientas......................................................................................................................................... 4 Configuraciones..................................................................................................................................... 4 Procedimientos. ........................................................................................................................................ 5 1. 2. 3. 4. 5. 6. 12. Valores de Activacin para auditorias. .......................................................................................... 5 Ingresando al men de auditoras. ............................................................................................... 5 Clasificacin de auditoras............................................................................................................. 6 Activar/Desactivar la configuracin de auditora .......................................................................... 7 Categoras (Tipo) de Auditorias. .................................................................................................... 8 Auditar un objeto ............................................................................................................................ 10 Revisin de registros. .................................................................................................................. 12
Ejemplos. ................................................................................................................................................. 14 Auditar el inicio y cierre de sesin de un usuario. .............................................................................. 14 Auditar el acceso a un archivo. ........................................................................................................... 15 Sugerencias. ............................................................................................................................................ 19
Pgina |3
Presentacin
En vista del crecimiento de las responsabilidades que tienen los empleados en las organizaciones e instituciones, se requiere cada vez ms de mecanismos de seguridad que garanticen el correcto funcionamiento, es aqu cuando el uso de Active Directory nos brinda un importante apoyo al momento de ligar responsabilidades a los autores en un suceso determinado, en mucha ocasiones esta funcionalidad est mal utilizada o no se la utiliza por diversos motivos como una larga curva de aprendizaje o el no dominio del idioma nativo(Ingles americano) en el que se presenta la documentacin. Por tal motivo en el presente documento se incluye un manual de procedimientos de los mecanismos implicados en las actividades de levantar, configurar y revisar auditoras en la herramienta Active Directory sobre el sistema operativo Windows Server 2008R2, se abordara e ilustrar los pasos necesarios para realizar estos procesos.
Objetivo.
Este manual busca brindar una gua prctica que facilite a estudiantes y profesionales en las tecnologas de la informacin, la implementacin de auditoras en Active Directory de una manera sencilla y concisa sintetizando los procedimientos necesarios para manejar las auditorias en Active Directory sobre Windows Server 2008 R2.
Pgina |4
Despliegue.
Requisitos Previos.
Competencias.
Para el correcto uso e interpretacin del presente manual es recomendable que el lector tenga un conocimiento previo de los siguientes temas: Administracin de Windows server 2008. Estar familiarizado con la herramienta Active Directory y directivas de grupo. Levantamiento y uso de mquinas virtuales.
Herramientas.
Para el caso en el lector desee reproducir o seguir este manual deber utilizar las siguientes herramientas: VMware Virtualization Software. o Este manual est desarrollado bajo una mquina virtual en VMware en su versin 8. Windows Server 2008. o Sera el equipo servidor y estar virtualizado. o Este manual se desarrolla bajo Windows Server 2008R2 DataCenter. Windows 7 como cliente, tambin virtualizado.
Configuraciones.
Las configuraciones requeridas antes de replicar los contenidos de este manual son: 1. 2. 3. 4. Activar el rol Active Directory en el servidor. Configurar una estructura organizacional en Active Directory. Crear por lo menos un usuario cliente dentro de usuarios y grupos de Active Directory. Colocar al equipo cliente dentro del dominio de la organizacin, para poder validar credenciales en el servidor. Al realizar estas configuraciones tendremos en nuestro administrador del servidor un aspecto similar al mostrado en la imagen a continuacin.
Pgina |5
(Autor) Figura 1 Configuracin requerida en Servidor
Procedimientos.
1. Valores de Activacin para auditorias.
Una configuracin de auditoria puede tener tres valores, auditar los aciertos del suceso, auditar los errores del suceso o ninguno de los dos, esta configuracin es el equivalente a decir que no se est auditando el suceso.
(Autor) Figura 2 Valores de configuracin de auditorias
2. Ingresando al men de auditoras.

Tenemos que ingresar en la siguiente ruta:
Pgina |6 Inicio > Herramientas Administrativas > Polticas de Seguridad Local
3. Clasificacin de auditoras.
Una vez aqu, elegimos la opcin: Configuracin avanzada de polticas de Auditoria > Polticas de auditoria del sistema
(Autor) Figura 3 Acceso a todas las auditorias
Pgina |7 Aqu podemos ver cada una de sus clasificaciones, pero si deseamos podemos verlas todas desde la ventana de comando ingresando auditpol /get /Cateogory:*: ntese las maysculas y minsculas y los espacios en blanco.
4. Activar/Desactivar la configuracin de auditora

La activacin y desactivacin es un procedimiento idntico para cada tipo de auditoria posible, ya que como se observ en el procedimiento 1 existen solo3 posibles valor, por este motivo la imagen que se muestra a continuacin describe la ventana de configuracin para cualquier tipo de auditoria. Desde el listado de los tipos de auditoras damos doble clic sobre la auditoria que deseemos y se muestra:
Pgina |8
Esta ventana es genrica para todos los tipos de auditoras por lo tanto tenemos:
5. Categoras (Tipo) de Auditorias.

Auditar sucesos de inicio de sesin de cuenta. Uso: Registrar el inicio y cierre de sesin de un equipo diferente al servidor del dominio. Nota: Se registrar cada inicio de sesin de cada usuario que pertenece al dominio. Predeterminado: Auditar Correctos (Success). Auditar la administracin de cuentas. Uso: Registra si se crea-cambia-elimina un usuario o grupo, se cambia el nombre de un usuario o se establece su contraseo o su estado cambia de activo a inactivo y viceversa. Nota: permite el seguimiento de las personas que configuran usuarios. Predeterminado: Auditar Correctos (Success) en dominio.
Pgina |9 Auditar el acceso del servicio de directorio Uso: Registra los sucesos sobre objetos de Active Directory y su lista SACL. Nota: Esta auditoria genera un gran nmero de entradas en los registros. Predeterminado: Indefinido. Auditar sucesos de inicio de sesin Uso: Registra los sucesos de inicio y cierre de sesin en cada instancia de un usuario. Nota: cada instancia se diferencia en identificacin en red u otros equipos. Predeterminado: Correcto (Success) Auditar el acceso a objetos Uso: Registra cuando un usuario accede a una carpeta, archivo, clave de registro, impresora, etc. Nota: Considere si realmente se necesita auditar estos sucesos por el volumen de entradas que genera. Predeterminado: Sin Auditoria. Auditar el cambio de directivas Uso: Registra los sucesos cuando hay cambios en los derechos de usuario. Nota: ofrece informacin de utilidad para las cuentas y para la investigacin. Predeterminado: Sin auditoria. Auditar el uso de privilegios Uso: Registra los sucesos cuando se ejecuta un derecho de usuario. Nota: genera grandes volmenes de registros y su clasificacin en de alta dificultad. Predeterminado: Sin auditoria. Auditar el seguimiento de procesos Uso: Registra los sucesos como activacin de programas, salida de procesos Nota: configuracin genera una gran cantidad de registros, es por este motivo que generalmente no se activa Predeterminado: Sin Auditoria. Auditar sucesos del sistema Uso: Registra los sucesos de reinicio y cierre de un equipo que se realice por un usuario u otro suceso Nota: Se generan muy pocas entradas pero son muy significativos. Predeterminado: Correcto. (Success)
P g i n a | 10
6. Auditar un objeto
1. Clic derecho en el archivo o carpeta que queremos auditar, clic en Propiedades y, despus, ficha Seguridad.
2. Clic en Avanzadas, luego, ficha Auditora.
P g i n a | 11 3. Definir el usuario. 4. Aplicar en, seleccionamos la ubicacin donde queremos realizarla. 5. Acceso, indicamos lo que queremos auditar.
P g i n a | 12
7. Revisin de registros.
Para realizar la revisin de los registros de auditoria utilizaremos el visor de sucesos de Windows Server, para esto nos ubicamos en: Inicio > Herramientas Administrativas > Visor de Sucesos
Filtrado:
Esta pantalla nos permite filtrar los sucesos, para que podamos ubicar un suceso que estemos buscando especficamente. Se muestra la siguiente ventana, que describe muestra el visor de eventos y sus caractersticas.
P a g e | 13
P g i n a | 14
Ejemplos.
Auditar el inicio y cierre de sesin de un usuario.
1. Activamos la auditoria de inicio y cierre de sesin para capturar Aciertos y errores.
2. Desde el cliente ingresamos con la cuenta vendedor, primero con una contrasea invalida y otra correctamente.
P g i n a | 15 3. No regresamos al servidor y vemos que tenemos dos entradas en el registro una por el error y la otra por el ingreso correcto.
Auditar el acceso a un archivo.

1- En el servidor crearemos una carpeta COMPARTIDA en C:/, dentro de esta crearemos el archivo auditar.txt.
2- Auditamos el acceso a objetos, solo auditaremos los errores.
P g i n a | 16 3- Compartimos la carpeta que creamos anteriormente, y le damos permisos solo de lectura al archivo, y permitimos un solo usuario simultneamente, se ilustra en:
4- Definimos las seguridades que deseamos dar al usuario vendedor, como se muestra en la siguiente imagen:
P g i n a | 17
5- Luego entraremos en el cliente, abriremos el archivo y trataremos de guardar algn cambio, lo que nos resultara en un error.
P g i n a | 18 6- Revisaremos el visor de suceso del servidor y veremos el registro del error al tratar de guardar los cambios en el archivo.
P g i n a | 19
Sugerencias.
A modo de recomendacin importante, tenemos que si bien la herramienta Active Directory nos provee varios mecanismos de auditoria, en diversos tipos y situaciones, no es conveniente activarlos todos, ya que muchos de ellos realizan tantas entradas de auditoria que pueden repercutir en el desempeo del servidor por tal motivo: Activar las auditorias solo para los eventos que reconozcamos como estrictamente necesarios. Para llevar a cabo la auditoria dentro de una organizacin funcional, es necesario realizar un estudio previo de los puntos clave de seguridad de la misma, para evaluar cules son los requerimientos de informacin que se tienen. Defina auditorias distintas para cada tipos de usuario o unidad organizacional ya que as podr tener un mejor desempeo y reducir el consumo de recursos.

Guia de Procedimientos Active Directory

Загружено:

Сведения о документе

Авторское право

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Guia de Procedimientos Active Directory

Загружено:

Авторское право:

Page |0

Configuracin de auditoras en Active Directory sobre Windows Server 2008R2

(Autor) Figura 1 Configuracin requerida en Servidor

(Autor) Figura 2 Valores de configuracin de auditorias

2. Ingresando al men de auditoras.

Pgina |6 Inicio > Herramientas Administrativas > Polticas de Seguridad Local

(Autor) Figura 3 Acceso a todas las auditorias

4. Activar/Desactivar la configuracin de auditora

5. Categoras (Tipo) de Auditorias.

2. Clic en Avanzadas, luego, ficha Auditora.

Auditar el acceso a un archivo.

2- Auditamos el acceso a objetos, solo auditaremos los errores.

Вам также может понравиться