Auditoria de seguridad en Windows

Algo de malicia…

En un dominio Windows 2000 o 2003 server podemos auditar quien se quiere conectar a nuestros recursos compartidos y no tiene acceso. Esto lo podemos obtener con los mensajes de error (que son los mas utiles).

ACTIVAR LA AUDITORIA DE SEGURIDAD

Revisar el articulo 300549 en la página de Microsoft: http://support.microsoft.com/?scid=kb;es;300549&spid=3071&sid=503

Antes de empezar hay que activar la auditoria de seguridad en el server:

Usuarios y equipos de Active Directory -> Propiedades de Domain Controllers -> Pestaña de Directiva de grupo -> Modificar Default Domain Controllers Policy

Entrar en Configuración de equipo -> Configuración de Windows -> Configuración de seguridad -> Directivas locales -> Directiva de auditoria

Aquí hacemos doble clic sobre Auditar el acceso a objetos que es lo que tratamos de registrar, y marcamos las dos casillas si queremos registrar accesos y denegación de accesos (errores). Las politicas de dominio tardaran en replicarse a los usuarios hasta que no inicien sesion de nuevo o dependiendo de como lo tengamos configurado.

ACTIVAR LA AUDITORIA EN UN ARCHIVO EN NUESTRA MAQUINA LOCAL

En propiedades del archivo -> Pestaña de seguridad -> Opciones avanzadas -> Pestaña de Auditoria:

Si se quieren registrar los Logs de todos los usuarios que quieren acceder (todos los usuarios de la red), se añade el usuario “Todos” activando las casillas de “Listar carpeta/leer datos”. Se pueden activar para registrar los Logs de acceso o de denegación de acceso especificando un usuario en concreto.

Como previamente en la pestaña de seguridad están seleccionados los permisos de usuarios que pueden o no acceder, se registrarán los Logs con respecto a esta directiva de seguridad.

DONDE QUEDAN GUARDADOS LOS EVENTOS

Los eventos se pueden comprobar en el visor de sucesos de Seguridad. Los eventos del Registro de seguridad quedan guardados en:

C:\WINNT\System32\config\SecEvent.Evt

EXPORTAR EVENTOS

Para exportar los eventos, dentro del visor de sucesos pulsamos con el boton derecho sobre Eventos de seguridad y seleccionamos Exportar lista. Aquí guardamos como archivo .txt. Separado por tabulaciones.

Luego este archivo lo podemos importar desde una base de datos de Access o Excell.

Etiquetas:

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s


A %d blogueros les gusta esto: