AuditoriaSistemasWindowsUNAM

Tópicos de Seguridad en Windows

Departamento de Seguridad en Cómputo
UNAM-CERT

Tópicos de Seguridad en Windows

Acerca de este documento

El Departamento de Seguridad en Cómputo de la UNAM y el UNAM-CERT declaran que:
1. Los documentos técnicos son resultado de investigaciones realizadas y probadas dentro del Laboratorio de

Seguridad en Cómputo del DSC.
2. Las recomendaciones y consejos generales que se expresan en estos documentos fueron verificados sobre los

sistemas a los que se hace referencia.
3. Los programas y herramientas se distribuyen tal como fueron probadas sin alteración de licencias y/o código.
4. La información contenida en este documento es distribuida bajo observaciones de los miembros del

Departamento de Seguridad en Cómputo y no cuenta con observaciones de los distribuidores de los Sistemas
Operativos.
5. La información presentada en estos documentos puede ser reproducida siempre y cuando se mencione la
fuente y autores de la misma.
6. Este documento será distribuido de forma libre y gratuita, además de ser actualizado periódicamente.

Departamento de Seguridad en Cómputo
UNAM-CERT

Tópicos de Seguridad en Windows

Departamento de Seguridad en Cómputo
UNAM-CERT

Tópicos de Seguridad en Windows

Auditoria

Windows 2000 permite registrar las actividades de los usuarios y del sistema operativo en un
sistema de cómputo. Es necesario analizar estas actividades para evaluar todas las medidas de seguridad.

Se debe implementar la auditoria y monitorear los eventos del sistema para detectar intentos de
intrusión que puedan comprometer los datos del sistema.

Windows 2000 le llama Auditoria al proceso de guardar las actividades (llamadas eventos) de
usuarios y del sistema operativo de un sistema de cómputo.

Cuando ocurre un evento de auditoria, Windows 2000 escribe un registro del evento en el
registro de seguridad.

Habilitación de Auditoria
Se debe habilitar la auditoria con el objetivo de:

• Registrar el éxito o falla de los eventos.
• Minimizar el riesgo de uso no autorizado de los recursos.
• Mantener un registro de la actividad de los usuarios y del Administrador.

Política de Auditoria
Se debe establecer una política de auditoria adecuada, ya que si se auditan demasiados tipos de

eventos, se puede crear una sobrecarga en el sistema, es decir, se puede afectar el desempeño del
mismo.

Se recomienda que se auditen sólo aquellos eventos que proporcionen información que es útil
para controlar la seguridad.

Se pueden seguir los siguientes lineamientos cuando se planea una política de auditoria:
• Determinar las computadoras en las que se configurará la auditoria.
• Determinar los eventos auditar.

o Accesos a archivos y carpetas.
o Conexión y desconexión de usuarios.
o Apagado y reinicio del servidor.
• Cambios a cuentas de usuarios y grupos.
• Determinar si se audita el éxito o fallo de eventos, o ambos.
• Determinar si es necesario registrar las tendencias del uso del sistema.
• Revisar los registros de seguridad frecuentemente.

Departamento de Seguridad en Cómputo
UNAM-CERT

Tópicos de Seguridad en Windows

¾ Registros de Auditoria

El subsistema de auditoria de Windows 2000 tiene seis registros. Existen tres registros que están
presentes de forma predeterminada en todos los sistemas Windows 2000, Aplicación, Sistema y
Seguridad. Los otros tres, Servicio de Directorio, Replicación de Archivos y Servidor DNS están presentes
solo si se han instalado los servicios apropiados.

• Aplicación.
Guarda los eventos producidos por aplicaciones o programas.

• Sistema.
Contiene eventos producidos por el propio sistema Windows 2000 y por sus componentes.

• Seguridad.
Contiene información concerniente a los eventos del sistema, incluyendo información relativa a la
monitorización de la actividad de los usuarios y procesos, igual que mensajes relativos a los
servicios de seguridad.

• Servicio de Directorio.
Contiene información relativa a los servicios de directorio.

• Replicación de Archivos.
Guarda los eventos relativos a la replicación de archivos.

• Servidor DNS.
Contiene información relativa al servicio de DNS (Domain Name Server).

Registros de Auditoria Predeterminados
Se puede establecer independientemente la configuración de cada registro en términos de su
tamaño máximo y lo que debería ocurrir cuando alcance éste tamaño. Solamente en el caso del Registro
de Seguridad se puede controlar lo que se guardará.

Departamento de Seguridad en Cómputo
UNAM-CERT

Tópicos de Seguridad en Windows

Categorías del Registro de Auditoria

Independientemente del registro que se visualice, el sistema de auditoria sitúa cada evento en
una de cinco categorías:

Categoría Descripción

Error Indica eventos significativos, como pérdida de
funcionalidad o datos.
Warning
Indica un evento que no es significativo, pero puede
Information causar problemas en un futuro.

Success Audit Indica una operación realizada con éxito (servicio de
una aplicación o dispositivo).
Failure Audit
Indica un evento ocurrido ante un intento de éxito de
auditoria.

Indica un evento ocurrido cuando se ha producido un
fallo de auditoria.

Un evento en el registro de auditoria contiene la siguiente información:
• La acción que se realizó.
• El usuario que realizó la acción.
• El éxito o falla del evento y cuándo ocurrió.
• Información adicional, como el sistema desde el cual se realizó la acción.

Visualización de un Evento

Departamento de Seguridad en Cómputo
UNAM-CERT

Tópicos de Seguridad en Windows

Configuración del Registro de Eventos
Todos los eventos generados por la auditoria aparecen en el Event Viewer, que es útil para el

control de registro de auditoria local o los de otro sistema individual.
El Event Viewer ofrece un gran número de posibilidades de control sobre el archivo de registro de

eventos. De manera predeterminada, se pueden controlar solamente las configuraciones de los registros
de Aplicación, Sistema y Seguridad mediante Group Policy.

Para iniciar el Event Viewer:
• Haga clic en Start.
• Seleccione Programs, Administrative Tools y Event Viewer.

Seleccionando cualquiera de los registros y haciendo clic con el botón derecho se pueden
establecer las propiedades del registro.

Propiedades de un Archivo de Registro

La etiqueta General muestra información relativa al archivo de registro. La etiqueta Filter controla
la forma de mostrar la información del registro en el Event Viewer.

La etiqueta General permite alterar el nombre con el que se muestra el registro y muestra el
archivo donde se almacena el registro (de forma predeterminada en
c:\winnt\system32\config\xxxxxxx.evt). También, en esta etiqueta se puede configurar el tamaño del
registro en incrementos de 64 KB, con un tamaño mínimo de 64 KB.

Existen tres opciones en el caso de que el registro alcance el tamaño máximo:
• Overwrite events as needed.

Habilitarlo implica que cuando el registro alcance el tamaño máximo permitido, los nuevos
eventos de auditoria empezarán a sobrescribir a los eventos más antiguos.
• Overwrite events older than x days.
Implica que cuando se alcance el tamaño máximo de registro los nuevos eventos comienzan a
sobrescribir a los más antiguos, siempre y cuando estos tengan una antigüedad mayor a x días.

Departamento de Seguridad en Cómputo
UNAM-CERT

Tópicos de Seguridad en Windows

• Do not overwrite events (clear log manually).
No se sobrescribirán eventos, pero no se permite que el registro crezca. Si el registro alcanza el
tamaño máximo, no se sobrescribirán nuevos eventos de auditoria y la auditoria se detendrá.

Una buena práctica de seguridad establecer la opción Do not overwrite events (clear log
manually), pero se debe tener establecida una política que establezca cada que periodo de tiempo se
realizará la copia de seguridad de los registros, con el propósito de que no se elimine información del
registro.

Detención del Sistema Cuando el Registro de Seguridad este Lleno.

Solo en el caso del Registro de Seguridad, existe un tercer componente para su administración.
Si el Registro de Seguridad alcanzara el tamaño máximo permitido, el sistema detendría la auditoria de
forma predeterminada. Se puede configurar al sistema para que se apague si no es capaz de registrar la
auditoria.

Esta opción sólo se debe considerar en los entornos de muy alta seguridad y se denomina
CrashOnAuditFail. Si se elige esta opción, el sistema abortará (pantalla azul) si falla la auditoria. La
habilitación de CrashOnAuditFail puede dar como resultado un ataque DoS (Denial of Service) contra el
sistema al momento de llenarse el registro.

Se puede utilizar Group Policy para configurar CrashOnAuditFail o editar directamente la clave del
Registry siguiente:

Hive: HKEY_LOCAL_MACHINE
Key: \System\CurrentControlSet\Control\Lsa
Name: CrashOnAuditFail
Type: REG_DWORD
Entry: 1

Una vez que el sistema se ha detenido, el valor de la clave del Registry es establecido a 2 y un
Administrador es la única persona que tiene permiso para iniciar sesión en el sistema.

El Administrador debe hacer una copia de seguridad y limpiar el registro de auditoria, después
debe reiniciar el valor de la clave del Registry a 1.

También, es necesario cambiar el tipo de clave del Registry a REG_DWORD, ya que se cambia al
tipo REG_NONE en el momento en que el valor de la clave del Registry cambia. Después se debe reiniciar
el sistema y continuar con la operación normal.

Tamaño Recomendado para los Registros.

Dependiendo del servicio que este ofreciendo el servidor o la estación de trabajo, es
recomendable establecer el tamaño de los registros como se muestra a continuación:

Registro DC Archivos/ Base de Servidor Servidor Estación
Seguridad 5-10 MB Impresión Datos Web RAS de Trabajo
Sistema 1-2 MB 2-4 MB 1 MB
Aplicación 1-2 MB 2-4 MB 2-4 MB 5-10 MB
1 MB
1-2 MB 1-2 MB 1-2 MB 1-2 MB
1 MB
1-2 MB 1-2 MB 1-2 MB 1-2 MB

Departamento de Seguridad en Cómputo
UNAM-CERT

Tópicos de Seguridad en Windows

Asegurar el Registro de Eventos

El acceso al registro de eventos se controla para evitar que sea visualizado o modificado por
usuarios no autorizados. El acceso lo determina normalmente la cuenta bajo la que se esta ejecutando la
aplicación. Existen cuatro tipos de cuentas utilizadas para el registro de eventos.

• Local System.
Cuenta especial que las aplicaciones de servicio pueden utilizar.

• Administrator.
Cuenta para los administradores del sistema.

• ServerOperator (ServerOp).
Cuenta para administradores de servidores de dominio.

• Everyone.
Cuenta para todos los usuarios del sistema.

Cada una de estas cuentas tendrá una mezcla de permisos: read, write, o clear.

Registro Aplicación Acceso
Aplicación
Local System Read, Write, Clear
Seguridad Administrator Read, Write, Clear
Sistema ServerOperator Read, Write, Clear
Everyone Read, Write

Local System Read, Write, Clear
Administrator Read, Clear
Everyone
Local System Read, Write, Clear
Administrator Read, Write, Clear
ServerOperator Read, Clear
Everyone Read

Solo la cuenta Local System puede escribir en el Registro de Seguridad, previniendo que las
aplicaciones puedan llenar el registro. De forma predeterminada, el grupo Everyone puede leer el Registro
de Aplicaciones y el de Sistema.

En los Controladores de Dominio estos permisos se extienden a los tres registros adicionales.

Los administradores pueden acceder al Registro de Seguridad de forma predeterminada, sin
embargo, el administrador puede eliminar estos privilegios.

El acceso a los registros de Aplicación y de Sistema se puede restringir mediante el empleo de
claves en el Registry:

Hive: HKEY_LOCAL_MACHINE
Key: \System\CurrentControlSet\Services\EventLog\[logname]
Name: RestrictGuestAccess
Type: REG_DWORD
Entry: 1

La configuración anterior evita que las cuentas de Guest y las Null Sessions puedan ver los
registros relevantes. Se debe configurar la clave para cada unos de los tipos de registro.

Departamento de Seguridad en Cómputo
UNAM-CERT

Tópicos de Seguridad en Windows
Formatos del Registro de Eventos

Windows 2000 almacena los registro de auditoria internamente en formato .evt, el cual
proporciona la forma mas compacta de almacenarlos debido a que toda la información de auditoria no está
almacenada en el registro.

Cuando un programa escribe un evento en el registro de eventos, el programa no escribe una
cadena de texto, en su lugar, escribe un número que representa un evento específico. Cada combinación
de número y aplicación corresponde a una cadena de texto específica. Los registros son almacenados en
este formato y no pueden ser leídos directamente.

El Event Viewer combina los datos de auditoria almacenados con las cadenas de texto para
proporcionar una salida a pantalla con la información completa del evento.

Registro de Seguridad en Formato .cvs
Existen tres opciones para guardar los registros de auditoria: formato event log (.evt), formato
text (.txt delimitado por tabulador) y formato comma-separated values (.cvs delimitado por comas)
De estos formatos, el formato event log es el más compacto y el único que el Event Viewer
puede leer. Se pueden ver los formatos text y comma-separated values directamente e importarlos a una
base de datos si se requiere. De igual forma, se pueden respaldar los registros de eventos en su forma
nativa (.evt).

Departamento de Seguridad en Cómputo
UNAM-CERT

Tópicos de Seguridad en Windows

¾ Eventos a Auditar

El primer paso para implementar una política de auditoria es seleccionar los tipos de eventos que
se desean que Windows 2000 audite. La siguiente tabla describe los eventos que Windows 2000 puede
auditar.

Evento Descripción
Audit Account Logon Events Guardará los éxitos o fallos de un usuario para
Audit Account Management autenticarse en el equipo local a través de la red.
Audit Directory Services Access
Audit Logon Events Auditará la creación, modificación o eliminación de
cuentas de usuario o grupo.
Audit Object Access
Guarda los intentos fallidos y con éxito de los accesos
Audit Policy Change a los objetos del Servicio de Directorio.

Audit Privilege Use Guarda los intentos fallidos o con éxito de un usuario
Audit Privilege Use para iniciar sesión de manera interactiva en el equipo
Audit System Events local.

Guarda cualquier intento con éxito o fallo de un
usuario para acceder a un objeto, incluyendo un
directorio, archivo o impresora.

Guarda cualquier intento con éxito o fallo de hacer
cambios de alto nivel en la directiva de seguridad,
incluyendo la asignación de privilegios y cambios en
las políticas de auditoria.

Cualquier intento fallido o con éxito de la utilización de
privilegios por parte de los usuarios.

Proporciona información detallada sobre los intentos
de creación y detención de procesos.

Guarda la información que se generan cuando un
usuario o proceso modifica aspectos del entorno de
cómputo

Privilegios para Configurar la Auditoria
Para ser capaz de configurar en implementar las configuraciones de auditoria, se deben tener los

siguientes privilegios en la cuenta:
• Generar auditorias de seguridad:
Permite a un proceso crear entradas en el Registro de Seguridad para la auditoria del acceso a un
objeto.

• Administración del registro de auditoria.
Permite a un usuario especificar opciones de auditoria de acceso a un objeto para recursos
individuales como archivos, objetos de Active Directory y claves del Registry. Los usuarios con
este privilegio pueden ver también y limpiar el Registro de Seguridad del Event Viewer.

Los miembros del grupo Administradores tienen estos privilegios de manera predeterminada.

Departamento de Seguridad en Cómputo
UNAM-CERT

Tópicos de Seguridad en Windows

Habilitar la Auditoria en Servidores Independientes.
Se puede aplicar una política de auditoria a equipos Windows 2000 Profesional al igual que a

equipos Windows 2000 Server que funcionen como servidores independientes.
Si se configura la política de auditoria para sistemas que son miembros de un dominio, la política

de auditoria de seguridad del dominio o unidad organizativa (OU), sobrescribirá la política de auditoria de
seguridad local, si está habilitada.

Para configurar la política de auditoria de seguridad:
1. Abra la MMC Group Policy del equipo local.
2. En Local Computer Policy, haga clic en Audit Policy, localizada en \Computer

Configuration\Windows Settings\Security Settings\Local Policies\Audit Policy.
3. A continuación, en el panel de detalles, haga doble clic en la política que se quiera configurar o

haga clic con el botón derecho y seleccione Security.

Para configurar la política, se debe haber iniciado sesión como Administrador o como miembro del
grupo Administrators. Group Policy está disponible solo para los miembros del grupo Administrators.

A menos que estas configuraciones sean anuladas por un Group Policy aplicado al dominio u OU,
las nuevas configuraciones aparecerán en la columna Effective Settings.

Habilitar la Auditoria en Controladores de Dominio.
La auditoria proporciona la habilidad para determinar si un sistema ha sido atacado, el método de

ataque o cuando fue atacado el sistema. También permite resolver los problemas de seguridad.
Para configurar la política de auditoria de seguridad en los Controladores de Dominio:

1. Abra Active Directory Users and Computers.
2. En el árbol de la consola, haga clic en Domain Controllers que se encuentra en el nodo Active

Directory Users and Computers\Domain Name\Domain Controllers.
3. Elija Properties del menú Action.
4. En la etiqueta Group Policy, haga clic en la directiva que se quiera cambiar y haga clic en Edit.
5. En el árbol de la consola de la ventana Group Policy, haga clic en Audit Policy, localizada en

Computer Configuration\Windows\Settings\Security Settings\Local Policies\Audit Policy.
6. En el panel de detalles, haga doble clic en el atributo o evento que se quiera auditar y realice los

cambios. Haga clic en Accept cuando se hayan hecho los cambios.

Habilitar la Auditoria en Sistemas de Dominio.
La auditoria de seguridad para Estaciones de Trabajo, Servidores Miembro y Controladores de

Dominio se pueden habilitar remotamente solo por Administradores de Dominio como parte de Group
Policy.

Para aplicar esta auditoria, se debe crear una OU, agregar las cuentas de equipo a dicha OU y
mediante Active Directory Users and Computers crear una política que permita las auditorias de seguridad.

De manera alternativa, se puede aplicar un Group Policy creando un GPO (Group Policy Object)
mediante el MMC Group Policy y utilizando después Active Directory Users and Computers para aplicar el
Group Policy.

Departamento de Seguridad en Cómputo
UNAM-CERT

Tópicos de Seguridad en Windows

Configurar la Auditoria de Objetos

Una vez que se ha configurado la mayoría de las categorías de las políticas para auditar eventos
con éxito o fallos, no necesita realizar otras acciones. Sin embargo, en el caso de la auditoria de objetos,
la habitación de las políticas de auditoria es solo el primer paso. Una vez que se ha habilitado la auditoria,
se debe configurar la auditoria sobre objetos individuales.

Cada objeto tiene un descriptor de seguridad en el que se detalla los grupos o usuarios que
puedan acceder al objeto y los tipos de permisos de acceso otorgados a los usuarios o grupos. Esta parte
del descriptor se denomina DACL (Discretionary Access Control List). El descriptor de seguridad contiene
también la información de auditoria, que se conoce como SACL (System Access Control List).

Los tipos de acceso que se pueden auditar dependen de los archivos, directorios u objetos de
directorio que se quieran auditar.

Auditoria de Archivos y Directorios

Si un volumen de disco se formatea utilizando el sistema de archivos NTFS, se puede controlar y
auditar el acceso a archivos y directorios. Sin embargo, si el volumen del disco se formateo utilizando FAT,
no es posible establecer la auditoria.

Cuando se audita un archivo o directorio, se produce una entrada en el Registro de Seguridad
cada vez que se produce un acceso a este archivo o directorio.

Se deben especificar los archivos o directorios a auditar, al igual que las opciones que producen
un evento de auditoria. Se pueden diseñar estas configuraciones para un simple usuario o para grupos de
usuarios.

Para habilitar la auditoria de los archivos y directorios, se debe habilitar también la auditoria de
objetos, esto se logra especificando los tipos de acceso que se van auditar en los archivos y directorios
mediante el Explorador de Windows.

Permisos Avanzados Full Modify Read & List Folder Read Write
Control Execute Contents
Traverse Folder/Execute File D D
List Folder/Read Data D D D D D
Read Attributes D D D D D
Read Extended Attributes D D
Create Files/Write Data D D D D D
Create Folders/Append Data D D D D D
Write Attributes D D D
Write Extended Attributes D D D
Delete Subfolders and Files D
Delete D D D D DD
Read Permissions D D
Change Permissions D
Take Ownership D
D

Permisos de Directorios

Departamento de Seguridad en Cómputo
UNAM-CERT

Tópicos de Seguridad en Windows Full Modify Read & Read Write
Control
Permisos Avanzados D Execute D
D D D D
Traverse Folder/Execute File D D D
List Folder/Read Data D D DD D
Read Attributes D D
Read Extended Attributes D D DD D
Create Files/Write Data D D
Create Folders/Append Data D D DD
Write Attributes D
Write Extended Attributes D D DD
Delete Subfolders and Files D D
Delete D
Read Permissions D
Change Permissions D
Take Ownership

Permisos de Archivos

Habilitar la Auditoria de Archivos y Directorios

Para habilitar la auditoria de un archivo o directorio:

1. Abra el Explorador de Windows, y localice el archivo o directorio que se quiera auditar.

2. De clic con el botón derecho al archivo o directorio, escoja Properties del menú y de clic en la
etiqueta Security.

3. Seleccione el botón Advanced y después de clic en la etiqueta Auditing.

4. Seleccione Add. En el campo name del cuadro de diálogo Select User, Computer, Or Group,
escriba el nombre del usuario o grupo o selecciónelo de la lista, y después de clic en OK para
abrir automáticamente el cuadro de diálogo Auditing Entry.

5. Si es necesario, en el cuadro de diálogo Auditing Entry, seleccione el lugar donde se quiere que
tome lugar la auditoria mediante la lista Apply Onto, esta lista solo está disponible para los
directorios.

6. Bajo la opción Access, seleccione el tipo de auditoria que se quiere ejercer, Success, Failed o
ambos.

7. De clic en OK.

Configuraciones de Auditoria para Archivos y Directorios

Departamento de Seguridad en Cómputo
UNAM-CERT

Tópicos de Seguridad en Windows

Auditar Impresoras
Como en la mayoría de los objetos, se pueden establecer opciones de auditoria para impresoras,

y de esta forma monitorear su uso.
Las opciones a auditar son las siguientes:
• Print.
Genera un evento de auditoria cada vez que se imprime un documento.
• Managing Printer.
Cubre la auditoria para la compartición, eliminación o cambio de las propiedades de una
impresora.
• Managing Documents.
Incluye el cambio de configuraciones de trabajo de un documento, así como también registra
la pausa, reinicio, movimiento o eliminación de documentos de la cola de impresión.
• Change Permissions.
Permite auditar los cambios en los permisos de la impresora.
• Take Ownership.
Permite la auditoria de la función de toma de propiedad.

Habilitar la Auditoria para Impresoras
1. Abra Printers.
2. Haga clic con el botón de derecho en la impresora que se quiere auditar y elija Properties.
3. Escoja la etiqueta Security y haga clic en el botón Advanced y después en Auditing.
4. Haga clic en Add y elija el usuario o grupo al que se desee auditar los accesos a la impresora.
5. En la columna Access, selecciones los eventos que se quieren auditar, ya sean satisfactorios o
erróneos, y después haga clic dos veces en OK.

Configuraciones de Auditoria para Impresoras

Departamento de Seguridad en Cómputo
UNAM-CERT

Tópicos de Seguridad en Windows

Auditoria del Registry
Se puede establecer la auditoria para las claves del Registry, lo que permite monitorear acciones

como la configuración o modificación de las claves del Registry.
1. Haga clic en la clave que se desea auditar.
2. Elija Permissions del menú Security,
3. Haga clic en Advanced y después en la etiqueta Auditing.
4. Oprima el botón Add y seleccione el nombre de usuario o grupo que quiera auditar.
5. En Access seleccione las opciones que se deseen auditar

Configuraciones de Auditoria para Claves del Registry

Las opciones que se pueden auditar en las claves de registro son las siguientes:

Evento Descripción
Query Value
Set Value Intentos de leer el valor de una entrada de una clave
Create Subkey de registro.
Enumerate Subkeys
Notify Intentos de establecer un valor para una clave de
Create Link registro.
Delete
Write DACL Intentos de crear un subclave en una clave de registro
Write Owner seleccionada.
Read Control
Intentos de identificar las subclaves de una clave de
registro.

Eventos de notificación de una clave en el registro.

Intentos de crear vínculos simbólicos en una clave
particular.

Intentos de borrar un objeto de registro.

Intentos de escribir una DACL en una clave de
registro.

Intentos de cambiar el propietario de una clave
seleccionada.

Intentos de abrir una DACL en la clave

Departamento de Seguridad en Cómputo
UNAM-CERT

Tópicos de Seguridad en Windows

¾ Proteger el Registro de Eventos

Para garantizar que se mantengan las entradas de los registros de eventos como información de
referencia para el futuro, deberá adoptar varias medidas con el fin de proteger la seguridad de los
registros de sucesos. Éstas incluyen:

• Definir una directiva para el almacenamiento, la sobrescritura y el mantenimiento de todos los
registros de sucesos.

• Asegurarse de que la directiva incluya como manejar los registros de sucesos completos, en
específico el registro de seguridad.

• Evitar que la cuenta de Guest acceda a los registros de sucesos.
• Asegurarse de que se auditan tanto los aciertos como los errores de los sucesos del sistema para

determinar si se producen intentos de eliminación del contenido del registro de seguridad.
• Todos los principales de seguridad que pueden ver o modificar la configuración de auditoria

deberán utilizar contraseñas complejas o métodos de autenticación.
• El plan de seguridad debe incluir también la seguridad física de todos los servidores para

asegurarse de que ningún intruso puede obtener acceso físico al equipo en el que se está
realizando la auditoria.
• Poner en práctica un método de eliminación o almacenamiento de los registros de sucesos en una
ubicación independiente del servidor físico.

¾ Prácticas Adicionales

Además de la configuración de la auditoria, existen otras prácticas que deberán implementarse
para auditar de forma eficaz la seguridad del entorno del servidor. Éstas incluyen:

Programar revisiones regulares de los registros de sucesos
Si se programa revisiones regulares del registro de sucesos, ayudará a conseguir lo siguiente:

• Detección más rápida de problemas de seguridad.
• Definición de la responsabilidad.
• Reducción del riesgo de que se sobrescriban los sucesos o esté inactivo el servidor.

Revisar otros archivos de registro de aplicaciones
Además de revisar si existen sucesos de seguridad en los registros de sucesos de Windows 2000,

deberá revisar también los registros creados por las aplicaciones. Algunos de estos pueden ser:
• Servicios de Internet Information Server (IIS).
• Internet Security and Acceleration (ISA) Server.
• Servicio de autenticación de Internet (IAS).
• Aplicaciones de terceros.

Departamento de Seguridad en Cómputo
UNAM-CERT

Tópicos de Seguridad en Windows

Supervisar los servicios y controladores instalados
Muchos ataques contra un sistema por servicios instalados en el equipo destino o se realizan

reemplazando controladores válidos por versiones del controlador que incluyen un caballo de Troya y que
permiten así al intruso obtener acceso al equipo de destino.

Las siguientes herramientas pueden utilizarse para supervisar los servicios y controladores
instalados en los equipos:

• La consola Services.
• Netsvc.exe.
• SvcMon.exe.
• Drivers.exe.

Supervisar los puertos abiertos

Los ataques se inician a menudo con la detección de puertos para identificar servicios conocidos
que se ejecutan en el equipo de destino. Deberá asegurarse de supervisar cuidadosamente los puertos
que están abiertos en los servidores, lo que normalmente implica realizar una detección de los puertos
para determinar aquellos a los que se puede tener acceso.

Las detecciones de puertos deberán realizarse tanto de forma local, en el equipo de destino,
como desde un equipo remoto. Si se puede obtener acceso al equipo desde una red pública, la detección
de puertos deberá llevarse a cabo desde un equipo externo para garantizar que el software del servidor de
seguridad permita solamente el acceso a los puertos deseados.

Netstat.exe es una utilidad de la línea de comandos que puede mostrar todos los puertos abiertos tanto
para TCP como para UDP. El comando Netstat utiliza la sintaxis siguiente:

NETSTAT [-a] [-e] [-n] [-s] [-p proto] [-r] [interval]
Parámetros:
-a Muestra todas las conexiones y puertos en escucha.
-e Muestra estadísticas Ethernet. Se puede combinar con la opción -s.
-n. Muestra números de puertos y direcciones en formato numérico.

-p proto Muestra conexiones del protocolo especificado por proto, que puede ser TCP o UDP. Si se

usa con la opción -s para mostrar estadísticas por protocolo, proto puede ser TCP, UDP o
IP.

-r Muestra el contenido de la tabla de rutas.

-s Muestra estadísticas por protocolo. De forma predeterminada, se pueden mostrar para TCP, UPD e
IP; se puede utilizar la opción -p para especificar un subconjunto de la opción predeterminada.

interval. Vuelve a mostrar las estadísticas seleccionadas, haciendo pausas con el intervalo de

segundos especificado entre cada muestra. Presione CTRL+C para detener la muestra de
estadísticas. Si se omite, netstat imprimirá la información de configuración actual una vez.

Departamento de Seguridad en Cómputo
UNAM-CERT

Tópicos de Seguridad en Windows

¾ Herramienta para Visualizar el Registro de Eventos

Event Viewer
El registro de seguridad de Windows 2000 puede examinarse por medio de la consola MMC del

Event Viewer de Windows 2000. El Event Viewer le permite ver los registros de aplicaciones, de seguridad
y del sistema. Puede definir filtros para encontrar sucesos específicos en el Visor de sucesos.

Para definir filtros en el Event Viewer:
1. Seleccione el registro de sucesos en cuestión en el árbol de la consola.
2. Seleccione Filter en el menú View.
3. Seleccione los parámetros de filtrado.

En la etiqueta Filter del cuadro de diálogo Properties, puede definir los siguientes atributos para
filtrar entradas de sucesos:

• Event types.
El filtro puede limitarse a información, advertencias, errores, auditorias de aciertos, auditorias de
errores o cualquier combinación de los tipos de suceso.

• Event source.
El servicio o controlador específico que generó el suceso.

• Category.
El filtro puede limitarse a categorías de sucesos específicos.

• Event ID.
Si conoce el Id. de suceso específico que está buscando, el filtro puede limitar la lista a ese Id. de
suceso concreto.

• User.
Puede limitar los eventos mostrados a eventos generados por un usuario específico.

• Computer.
Puede limitar los eventos mostrados a eventos generados por un equipo específico.

• Date intervals.
Puede limitar los sucesos mostrados a aquellos que se produjeron entre fechas de inicio y de
finalización específicas.

Cuando se aplica el filtro, la lista de sucesos filtrada puede exportarse a una lista separada por
comas o por tabulaciones para importarla a una aplicación de bases de datos.

Departamento de Seguridad en Cómputo
UNAM-CERT

Tópicos de Seguridad en Windows

Dump Event Log (Dumpel.exe)

Dump Event Log es una herramienta de la línea de comandos que se incluye en Windows 2000
Server Resource Kit. Guarda un registro de sucesos de un sistema local o remoto en un archivo de texto
separado por tabulaciones. Este archivo puede importarse a una hoja de cálculo o base de datos para
realizar una investigación más detallada. La herramienta también sirve para filtrar determinados tipos de
sucesos que se desea incluir o excluir.

La herramienta dumpel.exe utiliza la sintaxis siguiente:

dumpel -f archivo [-s \\servidor] [-l registro [-m origen]] [-e n1 n2 n3...] [-r] [-t] [-d x]

Donde:

-f archivo. Especifica el nombre de archivo del archivo de resultados. No existe ninguna opción
predeterminada para -f, por lo que deberá especificar el archivo.

-s servidor. Especifica el servidor para el que desea guardar el registro de sucesos. Las barras
diagonales inversas del nombre de servidor son opcionales.

-l registro. Especifica el registro que se debe guardar (del sistema, de aplicaciones o de seguridad). Si
se especifica un nombre de registro incorrecto, se guarda el registro de aplicaciones.

-m origen. Especifica el origen en que se deben guardar los registros (redirector [rdr], serie, etc.). Sólo

se puede especificar un origen. Si no se utiliza este modificador, se guardan todos los
sucesos. Si se utiliza un origen que no figura en el registro, se buscan los registros de este

tipo en el registro de aplicaciones.

-e n1 n2 n3. Realiza el filtrado por número de Id. de suceso (pueden especificarse 10 como máximo). Si
no se utiliza el modificador -r, se guardan únicamente registros de estos tipos; si se utiliza -

r, se guardan todos los registros excepto los registros de estos tipos. Si no se utiliza este
modificador, se seleccionan todos los sucesos del nombre de origen especificado. Este

modificador no puede utilizarse sin el modificador -m.

-r. Especifica si se deben incluir o excluir orígenes o registros específicos durante el filtrado.

-t. Especifica que las cadenas individuales aparecen separadas por tabulaciones. Si no se
utiliza -t, las cadenas se separan con espacios.

-d x. Guarda sucesos de los x días anteriores.

Dumpel sólo puede recuperar información de los archivos de registro del sistema, de aplicaciones
y de seguridad. No se puede utilizar Dumpel para consultar contenido de registros de sucesos del Servicio
de replicación de archivos, de DNS o del Servicio de directorio.

EventCombMT

EventCombMT es una herramienta con varios subprocesos que analiza registros de sucesos de
varios servidores al mismo tiempo generando un subproceso independiente de ejecución para cada
servidor incluido en los criterios de búsqueda. Esta herramienta le permite:

• Definir un Id. de suceso único o varios Id. de suceso para su búsqueda.
Puede incluir un Id. de suceso único o varios Id. de suceso separados por espacios.

• Definir un intervalo de Id. de suceso para su búsqueda. Los extremos son inclusivos.
Por ejemplo, si desea buscar todos los sucesos entre el Id. de suceso 528 y el Id. de suceso 540
ambos inclusive, definirá el intervalo como 528 > ID < 540. Esta característica resulta útil porque

Departamento de Seguridad en Cómputo
UNAM-CERT

Tópicos de Seguridad en Windows
la mayoría de las aplicaciones que escriben en el registro de sucesos utilizan un intervalo de
sucesos secuencial.

• Limitar la búsqueda a registros de sucesos específicos. Puede escoger si desea buscar los
registros de sucesos del sistema, de aplicaciones y de seguridad.
Si se ejecuta localmente en un controlador de dominios, también puede seleccionar la búsqueda
de los registros de FRS, DNS y AD.

• Limitar la búsqueda a tipos de mensajes de sucesos específicos.
Puede limitar la búsqueda a sucesos de error, informativos, de advertencia, de auditoria de
aciertos, de auditoria de errores o de aciertos.

• Limitar la búsqueda a orígenes de sucesos específicos.
Puede limitar la búsqueda a sucesos de un origen determinado.

• Buscar texto específico en la descripción de un suceso.
Puede buscar texto específico en cada suceso. Esta opción resulta útil a la hora de realizar un
seguimiento de usuarios o grupos concretos.

Departamento de Seguridad en Cómputo
UNAM-CERT