Sucesos de Seguridad del Visor de Sucesos

Introduccin
El visor de sucesos de seguridad es la herramienta que permite al administrador auditar todos los eventos relacionados con la seguridad del sistema. Por defecto, la auditoria de seguridad est deshabilitada por lo que lo primero que debemos hacer es habilitarla. En este proceso, debemos decidir si queremos auditar un equipo o todo un dominio. Un Equipo: Directiva de seguridad local, directivas locales, directivas de auditoria. Un Dominio: En la directiva de seguridad del dominio, en usuarios y equipos del DA

En la consola de auditoria hay nueve categoras de eventos que se pueden auditar pudiendo elegir entre auditar los xitos, los fallos o ambos: Auditar el acceso a objetos : Debe estar habilitada para poder realizar auditorias de acceso a carpetas, impresoras Auditar el acceso al servicio de directorio : Registra los accesos al directorio activo. Es similar al anterior, pero para los objetos del DA. Estos objetos (usuarios, grupos, impresoras publicadas) tienen una ACL igual que cualquier carpeta y por ello son susceptibles de ser auditados. Auditar cambio de directivas : Cambios en las directivas, incluyendo asignacin de privilegios y modificaciones en las directivas de auditoria. Auditar el seguimiento de procesos : Permite auditar cada programa que se ejecuta en el equipo y por cuanto tiempo Auditar el uso de privilegios : Audita el momento en el que un usuario utiliza un privilegio de manera satisfactoria o errnea. Auditar la administracin de cuentas : Registra la creacin, modificacin y borrado de las cuentas y grupos incluyendo los cambios de contraseas. Auditar inicios de sesin : Inicios interactivos o conexiones por red a la mquina. Estos registros son generados en la mquina en la que sucede el inicio de sesin. Auditar inicios de sesin de cuenta : Autenticacin en el equipo local a travs de la red. Este registro se genera en el lugar en el que reside la cuenta. Audita cada vez que una cuenta valida en el domino, con independencia de la mquina desde la que se est iniciando. Auditar sucesos del sistema : Registra sucesos relacionados con la seguridad tales como los apagados o los reinicios. Tambin los sucesos que afectan al registro de seguridad del visor de sucesos como puede ser su borrado.

Toda la informacin que genere la auditoria de estas categoras acabar en el visor de sucesos de seguridad.

Auditoria de inicios de sesin

La auditoria de los inicios de sesin presenta ciertas dificultades en los entornos NT dado que cuando se inicia sesin en una estacin de trabajo con una cuenta de dominio, no se est iniciando sesin en el controlador de dominio, ste nicamente est autenticando. El suceso de inicio de sesin est ocurriendo en la mquina local y est siendo registrado localmente. Cuando conectamos a una unidad compartida, si estamos iniciando sesin en el servidor, de modo que los sucesos se registrarn en el servidor.

Para resolver este problema, Windows 2000 provee de una categora llamada Auditoria de inicios de sesin de cuenta, para centralizar todos los inicios de sesin en los controladores de dominio. Esta categora registra las autenticaciones contra el controlador de domino.

Auditoria de acceso a objetos

Con Windows 2000 se puede auditar el acceso los siguientes objetos: Ficheros, carpetas y unidades : Botn derecho y propiedades, seguridad, avanzada, auditoria. Impresoras : Botn derecho y propiedades, seguridad, avanzada, auditoria. Registro : Abra Regedt32, elija seguridad, permisos, avanzada, auditoria. Directorio Activo: En el complemento de Usuarios y equipos del DA, botn derecho en el objeto que desee auditar y propiedades, seguridad, avanzada, auditoria.

Sucesos ms frecuentes
Inicio y cierre de sesin:
Si est habilitada la categora de Auditar inicio de sesin, quedar registro de los inicios de sesin interactivos (localmente o va Terminal Server) o remotos (como la conexin a una unidad). En el visor de sucesos encontramos informacin acerca de lo que ha ocurrido y como ha ocurrido. Existe, en cada suceso de este tipo, un campo llamado logon type que nos informa de la naturaleza del inicio de sesin: Interactiva (2) Red (3) Proceso por lotes (Programador de tareas) (4) Inicio de servicio (5) Estacin de trabajo desbloqueada (7) Inicio de sesin por red usando contrasea en texto plano (8) Inicio de sesin con runas (9)

Tambin existe un event ID: Satisfactorios: o 528: Inicio de sesin local satisfactorio o 540: Inicio de sesin por red satisfactorio. (Mapeo de unidad, uso de registro remoto) Windows 2000 genera muchos registros de este tipo sin demasiada importancia. o 538: Cierre de sesin Erroneos: o 529: Nombre de usuario o contrasea desconocidos. o 531: Intento de inicio de sesin con cuenta deshabilitada. o 539: Intento de inicio de sesin con cuenta bloqueada. o 530: Intento de inicio de sesin fuera del horario permitido o 532: La cuenta especificada ha caducado o 535: La contrasea especificada ha caducado o 533: Intento de inicio de sesin en una estacin prohibida. o 534: El usuario ha intentado acceder por la red a una mquina sin privilegios o 534: El usuario ha intentado acceder localmente y no tiene permisos. o 534: Se ha intentado iniciar la sesin como un proceso por lotes. o 537: Si se ha denegado el inicio de sesin por otra causa.

En el campo Dominio quedar registro del dominio en el cual reside la cuenta. El nombre del dominio estar en formato NetBIOS. Si se trata de una cuenta de usuario local, aqu se registrar el nombre NetBIOS de la mquina.

Logon process y Authentication Package permiten determinar que protocolo de autenticacin se ha utilizado para validar. Windows 2000 utiliza NTLM o Kerberos para validar en red. Kerberos es menos vulnerable que NTLM. Workstation name registra el nombre de la mquina desde la que se est realizando el inicio de sesin. En el caso de autenticar por Kerberos, no aparece.
Para enlazar un inicio de sesin (528 o 540) con un cierre de sesin (538) hay que revisar el campo Logon Id number que aparece en ambos sucesos. Una vez identificado el inicio de sesin solo hay que buscar una cadena que coincida con ese Logon Id number. Desafortunadamente, Windows 2000 tiene el mismo bug que Windows NT y hay veces que no registra el suceso 538, aunque solo se observa en inicios de sesin interactivos.

Software para realizar auditorias A tener en cuenta

Observe, en un dominio, los sucesos 528 y 540 en los cuales el campo Domain coincida con el nombre NetBIOS de la mquina. Esto quiere decir que se est accediendo a la mquina con la cuenta de administrador local. Muchos atacantes utilizan esa cuenta en lugar de las de domino porque son mas vulnerables (LC3, LC4, john the ripper). Windows 2000 puede validar clientes heredados con los protocolos LM, NTLM y NTLMv2 que son ms vulnerables que Kerberos. Con herramientas de terceros podemos llegar a capturar los hash que recorren el medio en los inicios de sesin con estos protocolos y ms tarde analizarlo y encontrar las contraseas.

Solo se utiliza Kerberos cuando existe una relacin de confianza entre los dos Windows 2000 que estn validando y cuando nos referimos a la otra mquina por nombre DNS (cuando usamos la direccin IP se usa NTLM)

Suceso de auditora Error de auditoria al iniciar o cerrar sesin

Amenaza potencial Intento de acceso no permitido mediante contraseas aleatorias

Auditoria sin errores al iniciar o cerrar sesin . Un usuario utiliza Acceso ilegal mediante otro usuario para validar la sesin. La cuenta no utilizada la esta contrasea robada usando un usuario que ha usurpado las credenciales. Auditoria sin errores de derechos de usuario, administracin de Uso incorrecto de usuarios y grupos, directivas de cambio de seguridad, y sucesos de privilegios reinicio, de apagado y del sistema Auditoria con o sin errores de sucesos de acceso a archivos y a Acceso inadecuado a los objetos. Auditoria con o sin errores en el Administrador de archivos de archivos de mayor acceso de lectura y escritura a los archivos de mayor importancia por importancia parte de usuarios o grupos sospechosos. Auditoria con o sin errores de impresoras de acceso a archivos y sucesos de acceso a objetos. Auditoria con o sin errores en el Acceso inadecuado a Administrador de impresin de acceso a las impresoras por parte de impresoras usuarios o grupos sospechosos. Auditoria con o sin errores del acceso de escritura a archivos de programas (extensiones .EXE y .DLL). Auditoria con o sin errores del seguimiento de procesos. Ejecute programas sospechosos; examine en Comienzo de un Virus el registro de seguridad los intentos imprevistos de modificar archivos de programas o crear procesos inesperados. Ejecutar slo al supervisar de forma activa el registro del sistema.

Elementos relacionados
Parando el servidor cuando el registro de seguridad est lleno Puede ocurrir que el registro de seguridad se llene y que la seguridad en esa mquina sea primordial. En ese caso es interesante que la mquina se pare si no puede registrar lo que est sucediendo. Existe una directiva que facilita esta accin: En la directiva de seguridad local, directivas locales, Opciones de seguridad. Apagar el sistema de inmediato si no se puede registrar auditorias de seguridad. Categora de auditoria adicional En la directiva de seguridad local, directivas locales, Opciones de seguridad, Auditar el uso del privilegio de copia de seguridad y restauracin. (Precisa que est habilitado Auditar el uso de privilegios)
Para una lista completa de eventos pulse aqu