lunes, 4 de agosto de 2008

Windows y las Pistas de Auditoria

En Windows contamos con la “Directiva de Seguridad Local” la cual permite definir o parametrizar de que eventos/sucesos queremos que Windows guarde la información, podemos ingresar a esta opción de la siguiente forma: Inicio – Configuración – Panel de Control – Herramientas Administrativas – Directiva de Seguridad Local. Con esta herramienta podemos habilitar/deshabilitar entre otras las siguientes opciones:

• Directivas de cuenta
o Directiva de contraseñas
 Forzar el historial de contraseñas
 Longitud mínima de contraseña
 Vigencia máxima de contraseña
o Directiva de bloqueo de cuentas
 Duración del bloqueo de cuenta
 Reestablecer la cuenta de bloqueos después de
 Umbral de bloqueos de la cuenta

• Directivas locales
o Directiva de auditoría (Opciones deshabilitadas por defecto)
 Auditar el acceso a objetos
 Auditar el acceso del servicio de directorio
 Auditar el cambio de directivas
 Auditar el seguimiento de procesos
 Auditar el uso de privilegios
 Auditar la administración de cuentas
 Auditar sucesos de inicio de sesión
 Auditar sucesos de inicio de sesión de cuenta
 Auditar sucesos del sistema
o Asignación de derechos de usuario
 Administrar los registros de auditoría y seguridad
 Cambiar la hora del sistema
 Restaurar archivos y directorios
o Opciones de seguridad
 Inicio de sesión interactivo: no requerir Ctrl + Alt + Supr
 Dispositivos: permitir el desbloqueo sin tener que iniciar sesión
 Cuentas: cambiar el nombre de la cuenta administrador

La habilitación de las anteriores opciones se conoce como Hardering de Windows, puesto que se hacen más fuerte/seguro el sistema operativo. Habilitadas las opciones deseadas de la Directiva de Seguridad Local, lo siguiente es ir monitoreando o realizar revisiones post en busca de eventos ilíticos, esto lo podemos realizar ingresando al siguiente programa: Inicio – Configuración – Panel de Control – Herramientas Administrativas – Visor de Sucesos.

En el Visor de Sucesos podemos visualizar los sucesos agrupados en: Aplicación, Seguridad, Sistema, Internet Explorer, por cada uno de estos elementos se despliega la siguiente información: Tipo, Fecha, Hora, Origen, Categoría, Suceso, Usuario, Equipo. Esta información si es algo complicado buscar o analizar en el Visor de Sucesos de Windows, la podemos exportar en formato plano para luego realizar el análisis con CAATTs: Excel, Access, IDEA, ACL, Gestor F1 Audisis y aplicar Técnicas de Detección de Fraudes.

Un ejemplo algo trivial podría ser: Queremos saber si se cambio la hora en un equipo que tiene Windows (NT, XP) suponiendo que el equipo cuenta con un programa de control de asistencia, y no tiene restricciones de usuario (Se ingresa con un usuario Administrador de Windows).

Para poder realizar esta tarea necesitamos habilitar la Directiva de auditoría, la opción Auditar sucesos del sistema, una vez hecho esto cada vez que se cambie la hora se generará un suceso que será guardado con los números de evento 520 y 577, de esta forma podemos monitorear y detectar los eventos guardados por Windows. Para tener fuerza probatoria de responsabilizar a un determinado usuario por el ilícito como siempre comentamos, no basta con recurrir a la tecnología (habilitar los sucesos), esto debe ir acompañado de una entrega formal del equipo haciendo responsable al usuario y asignándole la propiedad temporal debiendo firmar la conformidad el usuario.


Revisión de las Pistas de Auditoria

Finalmente, los datos almacenados de suceso/eventos tanto los normales como los que no lo son que podemos denominarlos como errores, irregulares, ilegales, ilícitos, o fraudes deben ser monitoreados constantemente, justamente para detectarlos a tiempo y también para que este tipo de controles sirvan como un elemento disuasivo y pasen de simples controles detectivos a ser controles preventivos.

La ISO 17799 indica:

“10.10.2. Los procedimientos para el uso del monitoreo de las instalaciones de procesamiento de información deben ser establecidos y los resultados de las actividades de monitoreo deben ser revisadas regularmente.”

Las personas encargadas de realizar las tareas de revisión en orden de prioridad deberían ser los siguientes, cada uno desde su punto de vista particular de acuerdo a sus funciones, formación y experiencia:
• Auditor (Interno)
• Auditor de Sistemas (Interno)
• Oficial de Seguridad de la Información (Interno)
• Administrador de la Base de Datos (Interno)
• Auditor (Externo)

No hay comentarios:

web stats