Imprimir

Cómo auditar eventos de seguridad en Windows XP

Escrito por Fernando Muñoz on 14 Agosto 2006.

1
Compartir
En una anterior entrega ya hable de cómo aplicar de forma automatizada plantillas de seguridad predeterminadas en nuestro equipo, en esta ocasión simplemente me ceñiré a una descripción más o menos detallada de cada auditoria y a como resolver posibles problemas derivados de habilitar estas auditorias de seguridad. Las auditorias de seguridad son algo importante en equipos que forman parte de una red empresarial, e inclusive en un entorno doméstico. Habilitar auditorias de seguridad en nuestros equipos cuando estos son utilizados por varias personas nos permitirá depurar posibles responsabilidades y determinar, que o quien ha provocado un determinado comportamiento de nuestro equipo.

1. ¿Cómo acceder y habilitar las auditorias de seguridad?

Las auditorias de seguridad a las que nos referimos en el presente artículo, son accesibles, tecleando directamente desde inicio – ejecutar, el comando secpol.msc cuelgan todas ellas de la carpeta Directivas de Auditoria, también son accesibles, si vamos a inicio / herramientas administrativas / directivas de seguridad local. Para habilitarlas no tenemos más que hacer doble clic sobre cualquiera de la auditorias que se nos listan. La pantalla que se nos presentará  es común a todas las auditorias listadas y nos da dos opciones, auditar los aciertos y los errores. Los aciertos, como norma general nos generarán un gran volumen de información, por lo que en ocasiones quizás sea conveniente auditar solo los errores. La información que se genera mediante estas auditorias es accesible desde el visor de sucesos, que tenemos presente en Panel de Control, Herramientas Administrativas, Visor de Sucesos, apartado, Seguridad.

  •  Auditoria de Acceso a Objetos.

Mediante esta auditoria lo que conseguimos es auditar el acceso a cualquier tipo de objeto. Es decir, que auditará los accesos a carpetas, archivos, claves del registro, impresoras, etc… que estén presentes en nuestro sistema.

Las auditorias de aciertos lógicamente generarán un evento en el visor de sucesos cada vez que un usuario acceda correctamente a cualquier tipo de objeto. Los errores se generarán cuando nuestro usuario acceda sin éxito a estos objetos, de todas formas no es raro que durante las operaciones normales del sistema se generen también errores de acceso a determinados objetos. 

Precisamente esta auditoria nos permite llevar a cabo un práctica que puede ser interesante,


  •   Cómo auditar el acceso a las claves del registro de XP.

Y es que auditar el acceso al registro, nos podrá ayudar a determinar si un intruso o una aplicación desconocida está cambiando valores  en el registro y que valores está cambiando. Para activarla, deberemos habilitar la Auditoria de Acceso a Objetos mediante el procedimiento descrito y posteriormente llevar a cabo este proceso. 

  1. Inicio, ejecutar y teclear regedit.
  2. Navegar hasta la clave que queramos auditar, y hacer clic con el botón derecho sobre la misma, eligiendo el apartado permisos de nuestro menú contextual,
  3. Pulsamos sobre “opciones avanzadas”, y hacemos clic sobre la pestaña auditoria
  4. Hacemos clic sobre agregar, y tecleamos nuestro nombre de usuario con el que actualmente estemos logueados, y que deberá ser una cuenta administrativa.
  5. Se nos presentará una pantalla a continuación que nos dará a elegir entre diferentes acciones que queramos auditar sobre esta clave. Si pulsamos sobre control total, se nos tildarán todas las acciones, y cualquier movimiento sobre esta clave será auditado, los nombres son muy descriptivos, por ejemplo la acción Crear Subclave, nos informará de cualquier valor que se cree en la rama correspondiente del registro.
  6. En el visor de sucesos, en su apartado seguridad, y haciendo doble clic sobre el evento en cuestión, encontraremos información completa sobre que aplicación ha intentando acceder a esa clave y que valor a cambiado.
  • Auditar el acceso al servicio de directorio.

Esta auditoria es poco útil en general para usuarios que no pertenezcan a un Directorio Activo, o Active Directory, presente en dominios de Windows. En líneas generales habilitando esta política auditamos los accesos bien correctos, bien erróneos a Microsoft Active Directory.

  •  Auditar cambios de directivas  

Como su nombre indica, esta auditoria registra los cambios producidos en la aplicación de directivas de asignación de derechos de usuarios o de auditoria,  registrándose un evento en el visor de sucesos cada vez que se cambie una de estas directivas de forma correcta o sin éxito, según habilitemos las diferentes opciones para habilitar o bien los aciertos o bien los errores.

 

  • Auditar el seguimiento de procesos.

La habilitación de esta auditoria nos puede generar una gran cantidad de información en el Visor de Sucesos, por lo que normalmente no la auditamos. Su habilitación provoca que se haga un seguimiento a la activación de programas, salida de procesos, y acceso indirecto a objetos.

 

  • Auditar el uso de privilegios. 

Audita cada ocasión en que se hagan uso de los correspondientes derechos de usuarios para realizar una acción. Aun así, hay acciones que de forma predeterminada no son auditadas, como la Restauración de archivos, y la copias de seguridad de archivos y directorios, por ejemplo.


  • Auditar la administración de cuentas,

Provoca que se auditen la administración de cuentas, y en concreto, cada vez que se cambie, elimine, o desactive un usuario del sistema y cada vez que se cambie la contraseña de un usuario

  • Auditoria de Inicio de Sesión. 

Registra un suceso cada vez que un usuario inicia o cierra sesión o se hace una conexión de red.


  • Auditoria de Inicio de Sesión de Cuenta.

Se registran un suceso por cada vez que un usuario inicia o cierra sesión desde otro equipo


  • Auditoria de Sucesos del Sistema. 

Esta auditoria nos proporcionará una información bastante relevante, y generará un evento en el visor de sucesos cada vez que el equipo se cierre o reinicie afectando a la seguridad del sistema. No se suelen generar demasiados eventos por este motivo, y Microsoft recomienda activar esta auditoria por ser su información bastante útil y significativa. 

 

2. EL REGISTRO DE LOS SUCESOS,

Como ya hemos visto, lo sucesos que se generan desde nuestras auditorias de seguridad se almacenan en un registro, el cual es accesible desde el Visor de Sucesos, ubicado,  en Herramientas Administrativas / Visor de Sucesos. Los eventos que nos interesan en este articulo se almacenarán en el apartado Seguridad, del visor de sucesos. Cuando el archivo que almacena estos sucesos alcanza el tamaño máximo configurado en nuestro equipo, Windows XP, impedirá iniciar sesión a cualquier usuario que no pertenezca al grupo de administradores, desplegándonos este mensaje.

"El registro de seguridad en este sistema está lleno"

Para resolverlo, deberemos iniciar sesión con el usuario Administrador,  y a continuación abrir el visor de sucesos,  hacer clic con el botón derecho del ratón sobre el apartado seguridad y seleccionar propiedades, desde el área, Tamaño de archivo,  deberemos seleccionar la opción, sobrescribir sucesos cuando sea necesario. Eso provocará que no se llene el registro de seguridad evitando que nos salga este mensaje. También podemos aumentar el tamaño máximo del registro, de 512 Kb, que es el predefinido al que deseemos. 

Otra alternativa es utilizar el registro y este comando que os dejo a pie de artículo para configurar estas propiedades sin necesidad de iniciar una sesión grafica en el equipo. Es decir, que mediante el presente comando, podriamos llevar a cabo el proceso desde una consola de recuperación o iniciando el sistema en modo seguro con sólo símbolo de sistema.

REG ADD "HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Security" /V Retention /T REG_DWORD /D 0 /F

También podemos llevar a cabo el proceso descrito mediante la descarga de este script que podéis encontrar en nuestro repositorio. 

En el registro la rama que se encarga de guardar las opciones configuradas en propiedades,  de nuestro Visor de sucesos, apartado seguridad, están ubicadas en la rama

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\Security

En el panel de la derecha veremos varios valores, los que nos interesan son:

  •  File,  que almacena la ruta y el nombre del archivo donde se guardan los errores generados por nuestras auditorias en el visor de sucesos.
  •  Maxsize, Este valor configura el tamaño máximo del archivo, su valor predefinido es como hemos dicho, 512 Kb.
  •  Retention,  Valor Hexadecimal, utilizado para configurar si el registro de sucesos de seguridad debe ser sobrescrito, borrado manualmente o guardado durante un numero determinado de día. El valor predefinido es,  93a80, o lo que es lo mismo, Windows guardará este archivo durante 7 dias antes de sobrescribirlo con nuevos valores.
  • Sources,  Este valor nos dice que programas pueden escribir en este registro de seguridad.
  •  RestrictGuestAccess. Es un valor DWORD, que se utiliza para restringir el acceso a al registro de seguridad del visor de sucesos, a la cuenta de invitado, es importante tenerlo configurado con Valor “1”, que es lo que impediría acceder al registro de seguridad a la cuenta de invitado, un valor “0”, (cero) le daría acceso a esta cuenta. El valor predeterminado es uno.
{jos_sb_discuss:2}

Compartir

Comentarios   

 
0 #9 Guest 08-01-2009 10:34
http://www.fermu.com/lang-es/articulos/windows/36-articulos-y-tutoriales/component/option,com_remository/func,fileinfo/id,207/lang,es/content/view/466/2/lang,es/component/option,com_remository/func,fileinfo/id,207/lang,es/

nos e encuentra !!!!
Citar
 
 
0 #8 Guest 08-01-2009 10:33
ha fallado :cry::
Citar
 
 
0 #7 Guest 15-12-2008 19:39
muy bueno
Citar
 
 
0 #6 Guest 25-11-2008 15:01
Hola:
¿Cómo audito los aciertos de inicio de sesión si en Auditoria de Inicio de Sesión el checkbox 'correcto' está inactivo?

Gracias. Muy buen artículo.
Citar
 
 
0 #5 Guest 04-11-2008 21:43
Excelente comentario ¡¡¡ Ese tipo de informacion debería estar mas al alacance de los usuarios comunes. Muy bien de nuevo ¡¡
Citar
 
 
0 #4 Guest 02-04-2008 10:25
El script esta muy bueno, mis computadoras comenzaron a mensajear "El registro de seguridad en este sistema está lleno", pero con este script se solucionó el problema
Citar
 
 
0 #3 Guest 28-02-2008 12:01
:eek:: que bueno brother.
Citar
 
 
0 #2 Guest 03-01-2008 23:00
exelente aporte gracias
Citar
 
 
0 #1 Guest 19-09-2007 13:20
Muy interesante y provechosa la información que has posteado, acabo de hacer un copia y pega para tenerla disponible también en mi blog por supuesto, citando la fuente original y recomendando este sitio.

Muy buen articulo, felicidades.
Citar
 

Escribir un comentario


Código de seguridad
Refescar

jTweet

Autentíficate

Gente Online

Hay 167 invitados y ningún miembro en línea