Selecciona el Idioma

domingo, 1 de junio de 2014

Auditorias

Exercici 1. Control d'accessos d'inici de sessió erronis
Volem detectar intents d'accés no autoritzats al sistema per prevenir atacs d'obtenció de contrasenyes d'usuari per força bruta. S’ha d'activar i configurar l'auditoria per enregistrar els intents de login erronis per contrasenya incorrecta. Finalment comprovar el registre i filtrar els resultats fent servir el visor d'esdeveniments.
A Windows 7, entra com a administrador local i executa Gpedit.msc
S'obrirà una finestra, equivalent a la que trobem al Windows server 2008, si anem a inici ---> eines administratives --->administració de directives de grup

2. Configuració de l’equip, configuració de Windows, configuració de seguretat, directives locals, directiva d’auditoria.
Anem al lloc estipulat a la qüestió
3. Seleccionar Auditar Esdeveniments d’inici de sessió indicant que voleu enregistrar els successos erronis
Entrem ,seguint els passos indicats i seleccionem amb el tick la graella, d'erroni.
Compte el missatge “Advertencia” que ens anuncia, que si canviem o creem una nova directiva que modifiqui això, aquesta operació perdrà la seva validesa.
4. Intenta entrar amb usuaris amb contrasenyes errònies.
Reiniciem l'equip i aleshores executem diferents comptes d'usuari, amb contrasenya incorrecta. Això crearà esdeveniments que constaran al visor de successos. Piquem compta d'usuari després de reiniciar i escriurem la contrasenya de forma incorrecta.
5. Mira el Visor d’esdeveniments (registres Windows/seguretat). Per crear un filtre amb Vista personalitzada, Crear Vista, seleccionar Registres Windows / Seguretat, com a origen d’esdeveniments seleccionarem Auditoria de seguretat de Microsoft Windows, Categoria de la tasca: Inici de sessió, Paraules clau: error d’auditoria.
Per anar a veure els registres al visor d'esdeveniments , hem de posar a la barra de cercar del windows7 (visor d'esdeveniments) i cliquem a la aplicació que ens apareix visor d'esdeveniments.
Anem a registres de Windows /seguretat I ara com era d'esperar, ens sortiran les auditories dels successos que hem auditat com per a errors d'inici de sessió.
Crearem una vista personalitzada amb un filtre:
Anem al panell dret on trobarem l'opció de” crear vista personalitzada”.
I ara seleccionem a Per registre, Registres d'esdeveniments --> Seguretat
com a origen d’esdeveniments seleccionarem: Auditoria de seguretat de Microsoft Windows
Categoria de la tasca: Inici de sessió
Paraules clau: error d’auditoria.
Li afegim el nom de la nova vista (en el meu cas: nom vista inici)
descripció: error d'inici de sessio

I ara ja si que ens surt automàticament la vista creada al monitor.
Exercici 2. Control d'accés a un directori
Volem controlar l'accés a un directori. Aquest directori té els permisos NTFS configurats perquè només puguin accedir-hi el grup d'administradors. Cal registrar els accessos per llegir o escriure tant per part d'usuaris autoritzats com pels intents d'accés d'usuaris no autoritzats. Configurar l'auditoria, i comprovar i filtrar els resultats fent servir el visor d'esdeveniments.
1.A Windows 7, entra com a administrador local i executa Gpedit.msc
Tornem a anar des de el Windows 7 com administrador de la màquina local i fem inici+r i posem al executar = Gpedit.msc Així obrim el editor de directives de grup local.
2. Primerament activem la directiva de grup local referent a l’auditoria d’accés a objectes. Aneu a la consola de configuració de directives de grup i seleccioneu Configuració de Windows/Configuració de seguretat/Directives locals/Directiva d’auditoria
Anem pas per pas , a configuració de l'equip, configuració de Windows, seguretat, directives locals i directives d'auditoria. Ara cliquem a auditar el accés a objectes
3. Seleccionar l’opció Auditar l’accés a objectes indicant que voleu enregistrar tant els successos correctes com els erronis.
Activem els dos l'erroni i el correcte. Aplicar i acceptar.
4. Ara ja podeu configurar l’auditoria concreta del directori. Seleccioneu les propietats del directori a auditar. A la pestanya de seguretat tria el botó Opcions Avançades, Auditoria. Afegir una nova entrada d’auditoria. A l’hora de seleccionar els usuaris i grups seleccionarem Tots. A les accions seleccionarem Mostrar carpeta/llegir dades i Crear arxius/escriure dades, tant correcte con incorrecte
Seleccionem un arxiu o carpeta
Recordeu:
Tipus d’accés a carpetes
  • Recórrer carpeta
  • Mostrar carpeta
  • Llegir atributs
  • Crear arxius
  • Crear carpetes
  • Escriure atributs
  • Escriure atributs estesos
  • Eliminar
  • Permisos de lectura
  • Canviar permisos
  • Prendre possessió
Tipus d’accés a arxius
  • Executar arxiu
  • Llegir dades
  • Llegir atributs
  • Escriure dades
  • Annexar dades
  • Escriure atributs
  • Escriure atributs estesos
  • Eliminar
  • Permisos de lectura
  • Canviar permisos
  • Prendre possessió

Seleccionem una carpeta per auditar, li fem botó dret a sobre de la carpeta, propiedades--> seguretat---> opcions avançades ---> pestanya auditar.
Potser ens surt una advertencia que ens diu (segur que voleu continuar?), li direm que sí. Per començar a auditar la carpeta.
Fem clic a agregar...
Aleshores després de fer clic en Agregar..., inserim el nom d'algun usuari, per exemple Anonymous logon ,TOTS o algun altre. En Aquest cas posarem només el que ens demana, Tots.
I activarem tant a correcte com a incorrecte : Mostrar carpeta/llegir dades i Crear arxius/escriure dades.
Aplicar en: - seleccionem l'adequat, en aquest cas ho farem heretable, es a dir, en aquesta carpeta, subcarpetes i arxius.
5.Intenta entrar a la carpeta com a usuari autoritzat i com a usuari no autoritzat.
Reiniciem després d'aplicar els canvis i comprovem fent les proves necessàries. Com que hem posat que tots els usuaris podran llegir dades i escriure arxius, no hi haurà problemes, però si hi haurà registres de els estats correctes .
A més ara els arxius o carpetes dins d'aquesta apareixen amb el nom en color verd
6.Mostra el registres crear amb les proves al Visor d’esdeveniments.
Anem al visor d'esdeveniments , mitjançant la seva recerca pel cercador del windows7. Podem crear una nova vista personalitzada si volem .
El configurem de manera que quedes així:
finalitzar com a paraules clau, li afegim les opcions d'auditoria correcta i error d'auditoria. Li posem un nom a la vista i , ja esta, automàticament ens sortiran els registres que volem veure.!!!
Exercici 3. Per a cada activitat realitza les proves pertinents i observa els esdeveniments generats Al Servidor Windows 2008
1.Estableix una directiva de auditoria per al domini que, almenys, auditi l’accés a objectes.
A usuaris i equips d'active directory creem una nova UOQue anomenaré EJERCICIO.
Ara hem d'anar a inici--> eines administratives--> administració de directives de grup.
Aquí, sobre la UO EJERCICIO, fem clic al botó dret i seleccionem crear nova GPO(Grup police object). L'anomenem ejercicio. Sobre la nova directiva creada, fem clic botó dret --> editar.
Dins de configuració de l'equip, configuració de Windows --> directives locals --> directives d'auditoria ---> auditar accés a objectes.
El posarem tant en auditories correctes com incorrectes.
2. Modifica la auditoria anterior per a que auditi els inicis de sessió correctes i erronis. Que auditi els inicis de sessió correctes i erronis.
Ara si ho fem després d'haver tancat les finestres ( com si ho hagués fet un altre dia) . Hem d'anar a inici --> eines administratives---> Administrador de directives de grup. Anem a la UO EJERCICIO, i ara com ja podrem veure, esta creada la auditoria d'abans:
Per editar-la només hem de posar-nos a sobre l'auditoria i fer clic, botó dret ---editar.
I anem a configuració d'equip, directives---> configuració de Windows---> configuració de seguretat--> directives locals---> directiva de auditoria.
Aquí busquem i modifiquem auditar els esdeveniments d'inici de sessió.
3.Modifica la auditoria anterior per a que auditi els accessos correctes als recursos del sistema.
Doncs anem a I anem a configuració d'equip, directives---> configuració de Windows---> configuració de seguretat--> directives locals---> directiva de auditoria.
Auditar accés a objectes -correcte.
“Auditar l’accés a objectes  el registre dels intents d’accés dels usuaris a recursos del sistema (com impressores, les carpetes o els arxius) ”
4.Auditar l’accés a una carpeta del equip per a tots el usuaris.
Procedirem a crear una nova carpeta(a l'escriptori per exemple). L'anomenaré prova.
Ara fem botó dret sobre aquesta nova creació--> propietats--->seguretat--> opcions avançades--> pestanya auditoria. Clic a Editar. Clic a agregar. Afegim nom dels usuaris que s'inclouran amb la nova auditoria. Afegim a :TOTS.
Podem posar diferents opcions , les que creiem convenients.
5.Audita l’accés a una carpeta de l’equip per a un únic usuari.
Igual que a l'anterior però aquesta vegada només per a un usuari en concret. Procedirem a crear una nova carpeta(a l'escriptori per exemple). L'anomenaré prova2
Ara fem botó dret sobre aquesta nova creació--> propietats--->seguretat--> opcions avançades--> pestanya auditoria. Clic a Editar. Clic a agregar.
Afegim nom dels usuaris que s'inclouran amb la nova auditoria. Afegim a :Administrador.
Podem posar diferents opcions , les que creiem convenients.
Recorda:
gpupdate: per actualitzar la configuració de directiva de grup
gpupdate/force:fa que la directiva de grup torni a processar tota la informació de la directiva.





Espero que os sirva de ayuda,

para más info suscribete a Desy Repara
Publicado por en
Etiquetas: , , , ,

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)