Home Windows Windows 2016, auditar acceso a objetos del sistema

Windows 2016, auditar acceso a objetos del sistema

by José Luis Sánchez Borque

La opción de Auditar (Audit) , permite configurar el sistema para supervisar diferentes circunstancias y eventos del sistema. En la siguiente lista podemos ver las posibilidades que tenemos:

  • Audit account logon events
  • Audit account management
  • Audit directory service access
  • Audit logon events
  • Audit object access
  • Audit policy change
  • Audit privilege use
  • Audit process tracking
  • Audit system events

Por ejemplo, en el caso de activar “Account Logon Events” en un Domain Controller, cada vez que un usuario se valida contra el Domain Controller, aunque lo esté haciendo desde una estación unida al dominio, una entrada quedará registrada en el visor de eventos.

Podemos Activar/Desactivar cada una de las opciones mediante la consola de “Group Policy Management”, bajo la ruta:

Computer Configuration\Windows Settings\Security Settings\Local Policies\Audit Policy

MUY IMPORTANTE: hay que tener cuidado con la GPO donde se activen las diferentes opciones, ya que de hacerlo de forma generalizada, podemos dedicar muchos recursos del sistema (memoria,CPU y disco duro) almacenando cada opción activada desde la consola Group Policy Management.

Pensemos en dos ejemplos:

  • Si activamos que el sistema audite cada acceso al sistema (logon) en un dominio con cientos o miles de usuario, no es complicado entender toda la información que se generará.
  • Igualmente pensemos en auditar el acceso a un File Server sobre todos los ficheros compartidos y utilizados por cientos de usuarios. Cada acceso de Lectura, escritura, borrado, etc generará un evento que puede provocar que el rendimiento de la máquina baje en picado.

Así que OJO con lo que auditas

Veamos un ejemplo:  Queremos supervisar los accesos de los usuarios dentro de la OU myTCPIP sobre el archivo C:\DEMO\EJEMPLO.TXT, que está ubicado en el Domain Controller, y que serán accedidos desde un cliente (XP en nuestro laboratorio ) al estar la carpeta c:\demo compartida.

En la siguiente imagen vemos la OU myTCPIP con el usuario demo dentro, y la carpeta c:\demo, con el ficheor ejemplo.txt sobre el que queremos activar la auditoria.

Aquí vemos como hemos compartido la carpeta c:\demo, y como desde el cliente XP accedemos al recurso compartido mediante UNC \\w2016ad\demo

Para ello lo primero será crear una nueva GPO y enlazarla a la OU myTCPIP. Se supone que el usuario tiene experiencia en este paso:

Editaremos la GPO myTCPIP y en la ruta Computer Configuration\Windows Settings\Security Settings\Local Policies\Audit Policy activaremos la opción correspondiente:

 

 

Ahora nos queda decirle al sistema que usuarios y objetos queremos auditar. Para ello sobre el objeto en cuestión, c:\demo\ejemplo.txt en nuestro laboratorio, seleccionamos la opción de propiedades:

En la ficha Security pulsamos el botón Advanced.

En la pantalla tendremos que utilizar el botón de Add para seleccionar el usuario (podría ser un grupo también), el tipo de acceso Success/FAIL y el tipo de acceso.

Importante entender que Success significa por ejemplo que tengo permiso para escribir sobre el fichero y escribo. Es un acceso autorizado: Success.

Fail indicaría por ejemplo que intento borrar un archivo sobre el que no tengo permiso.

Vemos en las imágenes adjuntas el proceso.

Fijaros que en este caso marcamos los accesos de Read&execute, Read y Write.

Podríamos dado el caso, establecer filtros para limitar el ámbito de las entradas en el registro. En nuestro laboratorio no seleccionamos ninguna condición.

Al final nos queda de la siguiente manera:

Ahora solo nos queda desde el cliente XP acceder al archivo y realizar diferentes tareas de lectura, escritura, borrado etc.

Ahora solo nos queda…. Ver en el visor de sucesos toda la información que se ha generado…que no es poca ☹

Está claro que el problema ahora es localizar los eventos, ya que no solo tenemos en el logs de Security lo que nos interesa, sino muchos otros eventos del sistema.

Tenemos muchas formas para poder localizar la información. Aquí os pongo tres de ellas:

  • Buscar alguna palabra clave (find)
  • Establecer filtros
  • Exportar el registro a un csv y utilizar herramientas externas

Vemos como puedo buscar el nombre del fichero en todo este mar de información:

Y ahora se trata que vayamos examinando cada uno de los eventos que van apareciendo al buscar (FIND) la palabra ejemplo.txt

Ojo, si queremos ver el intento de borrado tendremos que decirle que también queremos ver los intentos fallidos (FAIL), no solo los Audit Success. Para ello

Ahora vemos los Audit Failure (intentos incorrectos) y podemos buscar como antes la palabra Ejemplo.txt

Evidentemente este método es válido solo para ejemplos muy concretos. Si estamos supervisando muchos objetos sobre muchos usuarios tendremos que mejorar la técnica de filtrado de información.

You may also like

Leave a Comment