23 jun 2014

Auditando eventos de nuestros sistemas Windows. Parte 1

Buenas a todos, en el post de hoy comenzaremos una pequeña cadena de posts para hablaros sobre la auditoría de eventos de los sistemas operativos Windows.

La auditoría de eventos de seguridad de Windows es una funcionalidad del sistema operativo muy eficaz que os ayudará a mantener la seguridad del mismo, controlando aquellas situaciones anómalas que puedan suceder en el entorno, dejando evidencia de todo ello en una serie de ficheros que podréis salvar por si en el futuro fuese necesario recuperarlos, como por ejemplo durante un análisis forense pericial.

Las directivas de auditoría nos permitirán especificar las categorías de eventos de seguridad que deseamos monitorizar (o auditar en términos de Microsoft). 

Desde el visor de eventos del sistema podremos acceder a los registros de seguridad:
Si por ejemplo nos interesase monitorizar una carpeta, en la que los usuarios de nuestro sistema almacenan información crítica, y así controlar que ciertos usuarios no visualicen, copien, alteren o eliminen sus contenidos, puede ser interesante habilitar la auditoría de eventos sobre la misma.

Para activar la auditoría de eventos de seguridad sobre una carpeta basta con acceder al menú de propiedades de la carpeta (botón derecho del ratón), y pulsar sobre "Opciones avanzadas". A continuación haremos clic sobre la pestaña "Auditoría":

Por razones de seguridad nos solicitará permisos de administración para realizar la activación:
Ahora agregaremos una nueva auditoría y seleccionaremos el tipo, carpetas y archivos a los que afectará y los permisos:

Si todo ha ido bien, desde el visor de eventos del sistema podremos controlar todos los eventos que afecten a nuestra carpeta:

Entre otras cosas, esta funcionalidad de Windows no permitirá auditar los siguientes eventos:
  • Auditar eventos de inicio de sesión de cuenta 

  • Auditar la administración de cuentas 

  • Auditar el acceso del servicio de directorio 

  • Auditar eventos de inicio de sesión 

  • Auditar el acceso a objetos 

  • Auditar el cambio de directivas 

  • Auditar el uso de privilegios 

  • Auditar el seguimiento de procesos 

  • Auditar eventos del sistema
Si nuestros equipos son muy activos es probable que tengamos miles de eventos diarios, por lo que será interesante acertar con la política de almacenamiento de los logs, no sea que perdamos evidencias que en el futuro podrían llegar a ser indispensables:


Los logs, se consolidan en la carpeta System32\winevt\Logs (captura realizada sobre Windows 8.1):


En el próximo post os enseñaremos algunos trucos para salvar estos logs y liberar espacio de nuestras máquinas.

Saludos!

1 comentario:

  1. Hola muy buen post, espero que no sea tarde para la lectura y una pregunta que me interesa saber.. seria posible que apareciese un evento de warning en el visor cada vez que alguien borra algo de una carpeta compartida. y por ultimo si no es mucho pedir alguna referencia mas sobre esto de visor de eventos, osea algun documento mas que hable sobre ello y muchas gracias

    Un Saludo

    ResponderEliminar