Novedades en la auditoría de seguridad
La auditoría de seguridad es una de las herramientas más eficaces que puedes usar para mantener la integridad del sistema. Como parte de la estrategia global de seguridad, debes determinar el nivel de auditoría adecuado para tu entorno. La auditoría debe permitir la identificación de ataques (correctos o incorrectos) que supongan una amenaza para tu red y ataques contra recursos que hayas determinado como de valor en la evaluación de riesgos.
Nuevas funciones en Windows 10, versión 1511
- WindowsSecurityAuditing y los proveedores de servicios de configuración de Reporting te permiten agregar directivas de auditoría de seguridad básica para dispositivos móviles.
Nuevas funciones en Windows 10
En Windows 10, la auditoría de seguridad ha agregado algunas mejoras:
- Nuevas subcategorías de auditoría
- Más información agregada a los eventos de auditoría existentes
Nuevas subcategorías de auditoría
En Windows 10, se han agregado dos nuevas subcategorías de auditoría a la Configuración de directiva de auditoría avanzada para proporcionar mayor granularidad en eventos de auditoría:
Auditoría de pertenencia a grupos Englobada en la categoría Auditoría de inicio/cierre de sesión, la subcategoría Auditoría de pertenencia a grupos permite auditar la información de pertenencia a un grupo en el token de inicio de sesión del usuario. Se generan eventos en esta subcategoría cuando las pertenencias a grupos se enumeran o consultan en el equipo en el que se creó la sesión de inicio. Para un inicio de sesión interactivo, se genera el evento de auditoría de seguridad en el equipo en el que inició sesión el usuario. Para un inicio de sesión de red, tal como el acceso a una carpeta compartida en la red, el evento de auditoría de seguridad se genera en el equipo que hospeda el recurso.
Cuando esta opción está configurada, se generan uno o más eventos de auditoría de seguridad para cada inicio de sesión correcto. También debes habilitar la configuración Auditar inicio de sesión en Configuración de directiva de auditoría avanzada\Directivas de auditoría del sistema\Inicio/cierre de sesión. Si la información de pertenencia a grupos no cabe en un único evento de auditoría de seguridad, se generan varios eventos.
Auditar actividad PNP Englobada en la categoría Seguimiento detallado, la subcategoría Auditar actividad PNP permite auditar cuando Plug and Play detecta un dispositivo externo.
En esta categoría, solo se registran las auditorías de aciertos. Si no estableces la configuración de esta directiva, no se genera ningún evento de auditoría cuando Plug and Play detecta un dispositivo externo.
Los eventos de auditoría PNP se pueden usar para realizar un seguimiento de los cambios en el hardware del sistema y se registrarán en el equipo donde se realizó el cambio. En el evento se incluye una lista de identificaciones de fabricantes de hardware.
Más información agregada a los eventos de auditoría existentes
Con Windows 10, hemos agregado más información a los eventos de auditoría existentes para facilitarte la tarea de reunir una pista de auditoría completa y recopilar la información que necesitas para proteger a tu empresa. Se realizaron mejoras en los siguientes eventos de auditoría:
Cambios en la directiva de auditoría de kernel predeterminada
Inclusión de un proceso predeterminado SACL a LSASS.exe
Inclusión de nuevos campos en el evento de inicio de sesión
Inclusión de nuevos campos en el evento de creación de procesos
Inclusión de nuevos eventos de administrador de cuentas de seguridad
Inclusión de nuevos eventos de BCD
Inclusión de nuevos eventos de PNP
Cambios en la directiva de auditoría de kernel predeterminada
En versiones anteriores, el kernel dependía de la autoridad de seguridad local (LSA) para recuperar información en algunos de estos eventos. En Windows 10, la directiva de auditoría de eventos de creación de procesos se habilita automáticamente hasta que se recibe una directiva de auditoría real desde LSA. Esto da como resultado una mejor auditoría de servicios que pueden iniciarse antes del inicio de LSA.
Inclusión de un proceso predeterminado SACL a LSASS.exe
En Windows 10, se ha agregado un proceso predeterminado SACL a LSASS.exe para registrar los procesos que intentan acceder a LSASS.exe. La SACL es L"S:(AU;SAFA;0x0010;;;WD)". Puedes habilitar esta opción en Configuración de directiva de auditoría avanzada\Acceso a objetos\Auditoría de objeto de kernel.
Esto puede ayudar a identificar los ataques que roban las credenciales de la memoria de un proceso.
Nuevos campos en el evento de inicio de sesión
El identificador 4624 del evento de inicio de sesión se ha actualizado para incluir más información detallada a fin de facilitar su análisis. Se han agregado los siguientes campos al evento 4624:
Cadena MachineLogon: sí o no
Si la cuenta que ha iniciado sesión en el equipo es una cuenta de equipo, este campo será sí. De lo contrario, el campo es no.
Cadena ElevatedToken: sí o no
Si la cuenta que ha iniciado sesión en el equipo es un inicio de sesión administrativo, este campo será sí. De lo contrario, el campo es no. Además, si es parte de un token dividido, la identificación de inicio de sesión vinculado (LSAP_LOGON_SESSION) también se mostrará.
Cadena TargetOutboundUserName
Cadena TargetOutboundUserDomain
El nombre de usuario y el dominio de la identidad que creó el método LogonUser para el tráfico saliente.
Cadena VirtualAccount: sí o no
Si la cuenta que ha iniciado sesión en el equipo es una cuenta virtual, este campo será sí. De lo contrario, el campo es no.
Cadena GroupMembership
Una lista de todos los grupos del token de usuario.
Cadena RestrictedAdminMode: sí o no
Si el usuario inicia sesión en el equipo en modo de administrador restringido con Escritorio remoto, este campo será sí.
Para obtener más información sobre el modo de administrador restringido, consulta Modo de administrador restringido para RDP.
Nuevos campos en el evento de creación de procesos
El identificador 4688 del evento de inicio de sesión se ha actualizado para incluir más información detallada a fin de facilitar su análisis. Se han agregado los siguientes campos al evento 4688:
Cadena TargetUserSid
El SID de la entidad de seguridad de destino.
Cadena TargetUserName
El nombre de cuenta del usuario de destino.
Cadena TargetDomainName
El dominio del usuario de destino.
Cadena TargetLogonId
La identificación de inicio de sesión del usuario de destino.
Cadena ParentProcessName
El nombre del proceso creador.
Cadena ParentProcessId
Un puntero al proceso primario real si es diferente del proceso creador.
Nuevos eventos de administrador de cuentas de seguridad
En Windows 10, se agregaron nuevos eventos SAM para cubrir API SAM que realizan operaciones de lectura o consulta. En versiones anteriores de Windows, solo se auditaban las operaciones de escritura. Los nuevos eventos son identificación 4798 e identificación 4799 de evento. Ahora se auditan las siguientes API:
- SamrEnumerateGroupsInDomain
- SamrEnumerateUsersInDomain
- SamrEnumerateAliasesInDomain
- SamrGetAliasMembership
- SamrLookupNamesInDomain
- SamrLookupIdsInDomain
- SamrQueryInformationUser
- SamrQueryInformationGroup
- SamrQueryInformationUserAlias
- SamrGetMembersInGroup
- SamrGetMembersInAlias
- SamrGetUserDomainPasswordInformation
Nuevos eventos de BCD
Se ha agregado la identificación de evento 4826 para realizar un seguimiento de los siguientes cambios a la base de datos de configuración de arranque (BCD):
- Configuración DEP/NEX
- Firma de prueba
- Simulación SB de PCAT
- Depuración
- Depuración de arranque
- Servicios de integridad
- Deshabilitar el menú de depuración Winload
Nuevos eventos de PNP
Se ha agregado la identificación de evento 6416 para realizar un seguimiento cuando se detecta un dispositivo externo a través de Plug and Play. Un escenario importante es el que se crea si se inserta un dispositivo externo que contiene malware en un equipo de gran valor que no espera este tipo de acción, como un controlador de dominio.
Aprende a administrar las directivas de auditoría de seguridad de tu organización.