Redes de Windows: Los secretos de auditoría de sucesos de Windows
Debido a la necesidad de mantener un control de acceso, el cumplimiento de las normas y la complejidad de las redes, la auditoría de los eventos es más importante que nunca.
David Rowe
La montaña de requisitos de auditoría de acceso sigue creciendo. Por lo tanto, también hacer las preguntas acerca del acceso a datos corporativos, tales como:
- ¿Quién tiene acceso a qué?
- ¿Quién tiene acceso a los datos?
- ¿Cuáles son los controles en lugar de alrededor de la administración de permisos?
Estas preguntas y otros — han convertido en común como parte de las discusiones de TI como implementación de capacidad o software de servidor.
Aunque los requisitos de auditoría son imposibles de ignorar, permanecen esquivos las tácticas que constituyen un enfoque ideal para sus requerimientos específicos. Cada organización se diferencia en términos de aplicaciones, servidores de seguridad, configuración de red y otros pormenores. La mayoría comparte componentes fundamentales comunes, incluidos Microsoft Active Directory y sus sistemas de archivos de Windows relacionados.
Windows y Active Directory se han convertido en grapas en prácticamente todas las empresas. Auditar sucesos de seguridad en estas plataformas es un reto omnipresente pertinente a casi todos los administradores de TI. Sin embargo, las soluciones obvias presentan desafíos ocultos.
Los servidores de Microsoft Windows, incluidos los servidores de Active Directory, tienen capacidades integradas de registro de sucesos. Puede configurar estos registros de sucesos para capturar los eventos de seguridad crítica como la creación de cuenta de usuario y seguridad cambios de pertenencia a grupo. Sin embargo, al capturar la información correcta en la forma correcta de forma que pueda actuar en él es un negocio difícil. Hay una serie de pasos que debe seguir para configurar el registro de sucesos de Windows. Incluso entonces, los resultados pueden ser poco satisfactoria.
Configurar el registro de sucesos de Windows
Sabiduría convencional alrededor de auditoría de respuesta indica que simplemente captura todo lo que sucede en cada sistema. Activar el registro y establecer un mecanismo para convertir registros en algún formato de almacenamiento de información a largo plazo que se pueden buscar, en los informes y práctico para archiving.
Soluciones de administración de logs y gestión de eventos (SIEM) e información de seguridad normalmente suscripción a esta línea de pensamiento. Esto les ofrece la ventaja de poder monitor cientos de soluciones de distintos proveedores, de hardware de red para las aplicaciones de software, con un enfoque común. Ni que decir tiene que implementar este enfoque es más fácil decirlo que hacerlo.
Aquí están algunos pasos que debe seguir al configurar Windows y Active Directory registro de sucesos, ya sea para la integración con una solución SIEM o simplemente para capturar para futuras auditorías.
1. Determinar los eventos que necesite
En primer lugar, debe comprender que necesita realizar el seguimiento de eventos. También necesitará reunir los identificadores de evento asociado (IDs). Para complicar aún más esta tarea es que la numeración de ID de evento es diferente entre las versiones de Windows. Por ejemplo, Windows Server 2008 utiliza identificadores de sucesos de cuatro dígitos junto con subcategorías de auditoría para cada una de las principales categorías de auditoría.
Hay muchos eventos que tengan un aspecto similares a otro, por lo que realmente necesita saber que está iniciando una sesión del evento adecuado. Una única acción suelen generar numerosos sucesos en el registro, por lo que es importante comprender la interrelación entre los identificadores de sucesos.
Las subcategorías en Windows Server 2008 pueden ser útiles porque puede habilitar la auditoría en algunos eventos, pero otros no. Éste es un paso en la dirección correcta para la auditoría de Microsoft. Por ejemplo, en lugar de tratar todos los eventos de administración de cuentas de la misma, puede habilitar la auditoría de administración de grupo de seguridad pero deshabilitar la auditoría sobre la gestión del grupo de distribución.
Tendrá que utilizar una herramienta de línea de comandos para aplicar la configuración de auditoría en subcategorías. Usted todavía no obtener filtrado avanzado capacidades, como las alertas se realizan cambios en las acciones realizadas por un subconjunto de usuarios o grupos de alto riesgo.
También hay eventos de auditoría de administración de cuentas y los eventos de auditoría de acceso al servicio de directorio que se superponen. Esto complica aún más importante. Si ambos están habilitados, podría ver más eventos duplicados, que crea confusión sobre dónde encontrar los mejores datos del evento. "Antes" y "Después" de los valores se escriben en diferentes eventos. En muchos casos, será necesario correlacionar eventos múltiples para responder a preguntas básicas incluso.
2. Habilitar la auditoría en objetos que desee
Una vez que conoce el conjunto de eventos que se debe auditar y tienen los identificadores de evento asociado, debe habilitar la auditoría en los propios objetos. En algunos casos, configuración predeterminada puede ser suficiente.
Puede administrar la configuración de auditoría de forma de objeto por objeto, por lo que es importante comprender lo que la configuración de auditoría y aplica los cambios que necesita para satisfacer sus requerimientos. Por ejemplo, puede con el botón derecho en un objeto, vaya a la ficha seguridad y haga clic en "Avanzadas". Esto le permitirá aplicar los cambios en la ficha auditoría, tales como desautorizar la configuración de auditoría heredadas de los objetos primarios o agregar configuraciones específicas de auditoría para este objeto concreto o todos los objetos secundarios.
En otras palabras, si se habilita la auditoría en grupos de seguridad, deberá asegurarse de que la auditoría está habilitada en los objetos de grupo de seguridad específica. Normalmente, habilitar la auditoría en objetos de directorio es tan simple como "Auditoría de administración de cuentas" en el objeto de directiva de grupo adecuado de activación. Tenga en cuenta, no obstante, dicha auditoría configuración varía ligeramente en diferentes versiones de Windows. Si tiene un entorno mixto, asegúrese de consultar la documentación para obtener instrucciones de configuración de auditoría apropiado. Asegúrese también de que las directivas de auditoría estén configuradas correctamente en cada controlador de dominio de Active Directory.
También puede utilizar el Editor de Interfaces de servicio de directorio activo o ADSI Edit, para aplicar un indicador "no auditar" en los atributos que desea filtrar fuera del proceso de auditoría. Esto elimina todas las auditorías de ese atributo para todos los objetos, así que hacerlo con cuidado. Por ejemplo, no podrá distinguir entre las cuentas de usuario administrativos y otras cuentas.
3. Configurar el registro de sucesos
El tercer paso es configurar la configuración del registro. Debe establecer los permisos de acceso adecuados para que los usuarios avanzados que desean para borrar sus huellas no pueden borrar los registros para ocultar su rastro. Si no está habilitada la directiva de seguridad del registro, cualquier usuario autenticado tiene suficiente acceso para escritura y los registros de aplicación clara. De forma predeterminada, sólo se pueden borrar registros de sistema y seguridad por software del sistema o los administradores.
También debe establecer las reglas de retención y el tamaño máximo del registro según sus necesidades y entorno particular. Estas opciones le ayudan a controlar el registro cómo grandes archivos pueden crecer y qué sucede cuando lleguen a ese tamaño máximo. Esto es fundamental, ya que necesitan los sistemas de recopilación de registro para poder controlar los registros de un modo eficaz. Cuando crecen demasiado grandes, los registros pueden reduzca considerablemente el rendimiento del servidor.
Idealmente, los registros del sistema no están diseñados para facilitar su búsqueda, reporting flexible o archivado a largo plazo. Están sujetos a la configuración correcta y diligente. Suponiendo que todo lo que se ha implementado y se mantienen perfectamente, debe ser capaz de recopilar los datos que necesarios relacionados con informes de auditoría. Extraer información útil y generando resultados útiles de esos datos es un desafío totalmente nuevo.
Por ejemplo, a menudo una única acción genera varios eventos de registro. Esto dificulta distinguir acciones específicas, como un usuario que no se encuentra en los archivos de finanzas al tener acceso al departamento de finanzas. Cada evento se etiqueta con un ID de evento y un lenguaje que a menudo parece críptica a cuentas y gerentes de negocios no capacitado. Se va a necesitar dedicar un tiempo considerable y los procesos de revisión de los datos de registro traducción esfuerzo durante la auditoría o derecho.
También merece la pena tener en cuenta que los registros de eventos captura sólo una pequeña parte de lo que sucede. Por ejemplo, puede haber un conjunto predefinido de los cambios de objeto y atributo en Active Directory que aparecen en el registro de sucesos de seguridad. Un cambio en el atributo de descripción de un grupo de seguridad no aparecerían en el registro.
Potencialmente, puede configurar los registros de sucesos para capturar los cambios de atributos que no están disponibles de forma predeterminada, pero no la mayoría de las organizaciones. Esto crea una capa de administración y configuración que puede causar dolores de cabeza. Los registros también suelen dejar información crítica, como, por ejemplo, quién lo hizo o lo que el valor era antes del cambio se ha producido (en caso de que deba volver).
Soluciones de administración de SIEM y registro a veces pueden mejorar la situación por facilitar los registros de búsqueda, el informe y el archiving. Muchas organizaciones subestiman el esfuerzo inicial y continuo necesario para obtener las respuestas que necesitan.
Para algunas organizaciones, todavía puede ser el mejor enfoque que pueden comparar el costo y el esfuerzo con el resultado final: almacenamiento de información a largo plazo de registros de sucesos de potencialmente cientos de sistemas y la capacidad para satisfacer los requerimientos de control, retención y cumplimiento de normas de acceso. Si su objetivo principal es el entorno de red de Windows y desea que reporting más simple, menor costo y esfuerzo y un mayor control sobre la respuesta del evento, hay una alternativa.
Un enfoque alternativo
Lo que realmente necesita es información, no los registros. No se inicie el proceso pensar en cómo recopilar mejor los registros. Empiece por considerar las acciones humanas real importante para su negocio. ¿Recientemente se crean cuentas de usuario importantes? ¿Desea saber quién está cambiando las listas de miembros del grupo de seguridad? ¿Necesita saber quién debe agregar al grupo? ¿Le interesa cuando un miembro del departamento abre un archivo relevante para ese departamento? ¿Desea saber cuándo los miembros del grupo de TI acceso a dichos datos? Estas preguntas son críticas.
No limitarse a lo que se muestren en los registros de sucesos. Puede pensar lo que realmente quiere, que es el documento contiene respuestas a estos tipos de preguntas. Necesita respuestas a preguntas e información que puede implementar y comprensible por el personal ajeno a TI.
Mediante la recopilación de información de la fuente en lugar de los registros de sucesos, obtener acceso a más información, mejores detalles y un enfoque más confiable y consistente. También es más fácil de administrar porque no hay configuración de auditoría o identificadores numéricos de los eventos.
Si necesita una administración de registro de empresa, puede organizar la información para facilitar la integración y cargar. Se podría ser ayudando el proceso bastante filtrando los datos no deseados y proporcionando exactamente lo que necesita en un formato fácil de leer.
La auditoría no es ardua
Mientras que la información de eventos de seguridad es claramente útil e importante, captura información de registro de sucesos de Windows presenta una serie de desafíos y un esfuerzo significativo. Se pueden administrar dichos desafíos con suficiente tiempo, esfuerzo y costo. Aunque el destino, todavía pueden perder en los resultados finales.
Capturar información de eventos sin depender de los registros de sucesos le ayuda a generar las respuestas que necesita sin implementar y administrar la auditoría de sucesos de seguridad de Windows. El enfoque convencional genera datos. El enfoque mejorado crea respuestas con menos esfuerzo, informar mejor y la información útil.
.jpg)
**David Rowe**es el CEO de NetVision, una compañía que proporciona soluciones de cumplimiento de normas y control de acceso a la empresa de auditoría. Ha ocupado Rowe director, asesor y funciones de nivel ejecutivo con varios inicios, incluyendo Imperva, Cerberian, PS'Soft, Doyenz Inc. y Avinti Inc. Anteriormente trabajó como director de marketing de Trend Micro Inc. y el director de la unidad de negocio y el director de marketing, productos y desarrollo de negocio de Intel Corp. en los Estados Unidos, Japón, Europa y Israel.