En este post trataremos la auditoría de usuarios en el acceso a recursos compartidos.
Windows Xp
Deberá seguir los siguientes pasos:
- Ir a "Inicio" -> "Panel de control" -> "Rendimiento y mantenimiento" -> "Herramientas administrativas".
- Hacer doble clic en "Directiva de seguridad local".
- En el panel izquierdo, hacer doble clic en la opción de "Directivas locales" para expandirla.
- En el panel izquierdo, hacer clic en "Directiva de auditoría" para mostrar la configuración de la directiva individual en el panel derecho.
- Hacer doble clic en "Auditar el acceso a objetos".
Windows 7
- Presionar la tecla de "Windows + R" escribir "gpedit.msc" y presionar "Enter".
- Este comando abre la directiva del equipo local. En el panel izquierdo aparecerá:
(http://i.imgur.com/enmiDX1.png)
- En el panel izquierdo ir a "Directiva de equipo local" -> "Configuración de Windows" -> "Configuración de seguridad" -> "Directivas locales" -> "Directiva de auditoria".
- Hacer doble clic sobre "Auditar el acceso a objetos".
- Seleccionar "Correcto o Erróneo".
(http://i.imgur.com/uxB78Aj.png)
- Una vez configurada la auditoría, hay que actualizar la política con "gpupdate /force" y pasar a configurar de qué objetos queremos auditar sus accesos
Especificar recursos para auditar
Windows Xp
- En el Explorador de Windows, buscar el archivo o carpeta que desea auditar. Para auditar una impresora, búscar haciendo clic en "Inicio" y haciendo clic a continuación en "Impresoras y faxes".
- Hacer clic con el botón derecho del mouse en el archivo, la carpeta o la impresora que desea auditar y hacer clic en "Propiedades".
- Hacer clic en la ficha "Seguridad" y hacer clic en "Opciones avanzadas".
- Hacer clic en la ficha "Auditoría" y a continuación en "Agregar".
- En el cuadro escribir el nombre de objeto a seleccionar, escribir el nombre del usuario o grupo cuyo acceso desea auditar. Puede examinar el equipo en busca de nombres haciendo clic en "Opciones avanzadas" y haciendo clic a continuación en Buscar ahora en el cuadro de diálogo Seleccionar usuario o grupo.
- Hacer clic en Aceptar.
- Active las casillas "Correcto o Error" correspondientes a las acciones que desee auditar y, a continuación, hacer clic en Aceptar.
(http://i.imgur.com/oAo9haV.png)
Windows 7
- Ir al fichero que quieras auditar. En nuestro caso un fichero llamado fichero.doc en la carpeta C:\Documentos. Botón derecho y seleccionar propiedades.
- Ir a la pestaña de seguridad
- Presionar "Opciones Avanzada" ir a la pestaña de auditoria y presionar editar.
- Pregunta sobre que usuarios quieres hacer la auditorio. Vamos a elejir el genérico todos.
- Verá una lista nosotros seleccionaremos:
(http://i.imgur.com/POU8ulR.png)
- Abrir y cierra cada fichero para crear un evento de esa clase .
- El visor de eventos usa los eventos creados para poder realizar los filtros así que necesitamos al menos uno de ese tipo.
- Abrir el Visor de eventos, presiona la tecla de Windows + R y escribir:
%windir%\system32\eventvwr.msc /s
- Presionar Crear vista personalizada en el panel derecho.
- Seleccionar por registro y Seguridad:
- Seleccionar Auditoría de seguridad:
(http://i.imgur.com/aNTJyW3.png)
- Dejar seleccionado por registro, la configuración final es:
(http://i.imgur.com/S2l8uBY.png)
- En categoría de la tarea elegir sistema de archivos:
- Seleccionar Auditoria correcta en palabras clave:
(http://i.imgur.com/Ajsdhb7.png)
- Escribir un nombre para el filtro y damos a aceptar en cada ventana abierta.
Solución de problemas
[/size]
- El disco duro debe tener el formato del sistema de archivos NTFS para que la auditoría funcione.
- Si el equipo es miembro de un dominio y el administrador ha establecido directivas de auditoría en el nivel de dominio, esas directivas reemplazan esta configuración regional.
- Debido a que el registro de seguridad tiene un límite de tamaño, seleccione cuidadosamente los archivos y carpetas que se auditarán. Considere también la cantidad de espacio en disco que desea dedicar al registro de seguridad. El tamaño máximo del registro de seguridad se define en el visor de eventos
Supervisar los intentos de obtener acceso y cambiar la configuración del equipo
Para supervisar quién abre documentos
- Hacer clic con el botón derecho del mouse en el documento o archivo del que desea realizar un seguimiento y, a continuación, hacer clic en Propiedades.
- Hacer clic en la ficha Seguridad, Avanzadas y Auditoría.
- Hacer clic en Continuar. Se requiere permiso de administrador Si se solicita una contraseña de administrador o una confirmación, escriba la contraseña o proporcione la confirmación.
- Hacer clic en Agregar.
- En Escriba el nombre de objeto a seleccionar, escribir el nombre del usuario o grupo de cuyas acciones desea realizar un seguimiento a continuación hacer clic en Aceptar en cada uno de los cuatro cuadros de diálogo abiertos.
- Si desea supervisar a todos, escriba Todos. Si desea supervisar a una persona en particular, escriba el nombre del equipo seguido del nombre de usuario de la persona, o el nombre del dominio seguido del nombre de usuario de la persona (si el equipo se encuentra en un dominio): equipo\nombre de usuario o dominio\nombre de usuario.
- Active la casilla correspondiente a las acciones que desee auditar y haga clic en Aceptar. En la tabla siguiente se describen las acciones que se pueden auditar.
Acciones que se pueden auditar en los Archivos
Acción Descripción
Recorrer carpeta / Ejecutar archivo Realiza un seguimiento de las ocasiones en que alguien ejecuta un archivo de programa.
Listar carpeta / Leer datos Realiza un seguimiento de las ocasiones en que alguien ve los datos en un archivo.
Atributos de lectura Realiza un seguimiento de las ocasiones en que alguien ve los atributos de un archivo, como sólo lectura y oculto.
Atributos extendidos de lectura Realiza un seguimiento de las ocasiones en que alguien ve los atributos extendidos de un archivo. Los atributos extendidos se definen por el programa que creó el archivo.
Crear archivos / Escribir datos Realiza un seguimiento de las ocasiones en que alguien cambia el contenido de un archivo.
Crear carpetas / Anexar datos Realiza un seguimiento de las ocasiones en que alguien agrega datos al final de un archivo.
Atributos de escritura Realiza un seguimiento de las ocasiones en que alguien cambia los atributos de un archivo.
Atributos extendidos de escritura Realiza un seguimiento de las ocasiones en que alguien cambia los atributos extendidos de un archivo.
Eliminar subcarpetas y archivos Realiza un seguimiento de las ocasiones en que alguien elimina una carpeta.
Eliminar Realiza un seguimiento de las ocasiones en que alguien elimina un archivo.
Permisos de lectura Realiza un seguimiento de las ocasiones en que alguien lee los permisos de un archivo.
Cambiar permisos Realiza un seguimiento de las ocasiones en que alguien cambia los permisos de un archivo.
Tomar posesión Realiza un seguimiento de las ocasiones en que alguien toma posesión de un archivo.
Novedades de Auditorías de Seguridad
Auditoría de acceso a objetos global. En Windows Server 2008 R2 y Windows 7, los administradores pueden definir las listas de control de acceso del sistema (SACL) de todo el equipo, ya sea para el sistema de archivos o el Registro. A continuación, la SACL especificada se aplica automáticamente a cada objeto individual de ese tipo.
Para crear una directiva de auditoría de seguridad de Windows avanzada, se debe usar el complemento Directiva de seguridad local o GPMC en un equipo que ejecute Windows Server 2008 R2 o Windows 7
Fuente: ElHacker.Net
Síguenos en nuestros canales:
- Fan Page Oficial en Facebook (https://facebook.com/Underc0de/)
- Grupo de Facebook (http://www.facebook.com/groups/underc0de.org)
- Fan Page Oficial en Twitter (https://twitter.com/underc0de?lang=es)
- Canal de Noticias en Telegram (http://telegram.me/underc0denews)
Saludos !!!