El Registro de seguridad , en Microsoft Windows , es un registro que contiene registros de la actividad de inicio / cierre de sesión u otros eventos relacionados con la seguridad especificados por la política de auditoría del sistema. La auditoría permite a los administradores configurar Windows para registrar la actividad del sistema operativo en el Registro de seguridad. El Registro de seguridad es uno de los tres registros que se pueden ver en el Visor de eventos . El servicio de subsistema de autoridad de seguridad local escribe eventos en el registro. El registro de seguridad es una de las herramientas principales que utilizan los administradores para detectar e investigar la actividad no autorizada intentada y exitosa y para solucionar problemas; Microsoft lo describe como "Su mejor y última defensa". [1]El registro y las políticas de auditoría que lo gobiernan también son objetivos favoritos de los piratas informáticos y administradores de sistemas deshonestos que buscan cubrir sus huellas antes y después de cometer una actividad no autorizada. [2]
Tipos de datos registrados
Si la política de auditoría está configurada para registrar los inicios de sesión, un inicio de sesión exitoso da como resultado que se registre el nombre de usuario del usuario y el nombre de la computadora, así como el nombre de usuario en el que están iniciando sesión. [3] Según la versión de Windows y el método de inicio de sesión, es posible que la dirección IP se registre o no. Windows 2000 Web Server, por ejemplo, no registra direcciones IP para inicios de sesión exitosos, pero Windows Server 2003 incluye esta capacidad. [4] Las categorías de eventos que se pueden registrar son: [5]
- Eventos de inicio de sesión de cuenta
- Administración de cuentas
- Acceso al servicio de directorio
- Eventos de inicio de sesión
- Acceso a objetos
- Cambio de política
- Uso de privilegios
- Seguimiento de procesos
- Eventos del sistema
La gran cantidad de eventos que se pueden registrar significa que el análisis del registro de seguridad puede ser una tarea que requiere mucho tiempo. [6] Se han desarrollado utilidades de terceros para ayudar a identificar tendencias sospechosas. También es posible filtrar el registro utilizando criterios personalizados.
Ataques y contramedidas
Los administradores pueden ver y borrar el registro (no hay forma de separar los derechos para ver y borrar el registro). [7] Además, un administrador puede utilizar Winzapper para eliminar eventos específicos del registro. Por esta razón, una vez que la cuenta de administrador se ha visto comprometida, el historial de eventos que figura en el registro de seguridad no es confiable. [8] Una defensa contra esto es configurar un servidor de registro remoto con todos los servicios apagados, permitiendo solo el acceso a la consola. [9]
A medida que el registro se acerca a su tamaño máximo, puede sobrescribir eventos antiguos o dejar de registrar eventos nuevos. Esto lo hace susceptible a ataques en los que un intruso puede inundar el registro generando una gran cantidad de eventos nuevos. Una defensa parcial contra esto es aumentar el tamaño máximo del registro para que se requiera un mayor número de eventos para inundar el registro. Es posible configurar el registro para que no sobrescriba los eventos antiguos, pero como señala Chris Benton, "el único problema es que NT tiene la mala costumbre de fallar cuando sus registros se llenan". [10]
Ultimate Windows Security de Randy Franklin Smith señala que, dada la capacidad de los administradores para manipular el registro de seguridad para cubrir la actividad no autorizada, la separación de funciones entre las operaciones y el personal de TI de supervisión de la seguridad, combinada con copias de seguridad frecuentes del registro en un servidor accesible solo para el último, puede mejorar la seguridad. [11]
Otra forma de anular el registro de seguridad sería que un usuario inicie sesión como administrador y cambie las políticas de auditoría para dejar de registrar la actividad no autorizada que pretende realizar. El cambio de política en sí podría registrarse, dependiendo de la configuración de "cambio de política de auditoría", pero este evento podría eliminarse del registro mediante Winzapper; ya partir de ese momento, la actividad no generaría un rastro en el Registro de Seguridad. [12]
Microsoft señala: "Es posible detectar intentos de eludir una solución de monitoreo de seguridad con tales técnicas, pero es un desafío hacerlo porque muchos de los mismos eventos que pueden ocurrir durante un intento de cubrir las pistas de la actividad intrusiva son eventos que ocurren regularmente en cualquier red comercial típica ". [13]
Como señala Benton, una forma de prevenir ataques exitosos es la seguridad a través de la oscuridad . Mantener la confidencialidad de los sistemas y prácticas de seguridad del departamento de TI ayuda a evitar que los usuarios formulen formas de cubrir sus huellas. Si los usuarios saben que el registro se copia en el servidor de registro remoto a las: 00 de cada hora, por ejemplo, pueden tomar medidas para derrotar ese sistema atacando a: 10 y luego eliminando los eventos de registro relevantes antes de la parte superior de la la próxima hora. [10]
La manipulación de registros no es necesaria para todos los ataques. El simple hecho de saber cómo funciona el Registro de seguridad puede ser suficiente para tomar precauciones contra la detección. Por ejemplo, un usuario que desee iniciar sesión en la cuenta de un compañero de trabajo en una red corporativa puede esperar hasta después de horas para obtener acceso físico no observado a la computadora en su cubículo; utilizar subrepticiamente un keylogger de hardware para obtener su contraseña; y luego inicie sesión en la cuenta de ese usuario a través de Terminal Services desde un punto de acceso Wi-Fi cuya dirección IP no se puede rastrear hasta el intruso.
Una vez que se borra el registro a través del Visor de eventos, se crea inmediatamente una entrada de registro en el registro recién borrado que indica la hora en que se borró y el administrador que lo borró. Esta información puede ser un punto de partida en la investigación de la actividad sospechosa.
Además del registro de seguridad de Windows, los administradores pueden consultar el registro de seguridad del cortafuegos de conexión a Internet en busca de pistas.
Escribir eventos falsos en el registro
En teoría, es posible escribir eventos falsos en el registro. Microsoft señala: "Para poder escribir en el registro de seguridad, se requiere SeAuditPrivilege. De forma predeterminada, solo las cuentas del sistema local y del servicio de red tienen ese privilegio". [14] Microsoft Windows Internals afirma: "Los procesos que llaman a los servicios del sistema de auditoría ... deben tener el privilegio SeAuditPrivilege para generar con éxito un registro de auditoría". [15] Las preguntas frecuentes de Winzapper señalan que es "posible agregar sus propios registros de eventos 'inventados' al registro", pero esta función no se agregó porque se consideró "demasiado desagradable", una referencia al hecho de que alguien con Administrador El acceso podría utilizar dicha funcionalidad para echar la culpa de la actividad no autorizada a una parte inocente. [8] Server 2003 agregó algunas llamadas API para que las aplicaciones pudieran registrarse con los registros de eventos de seguridad y escribir entradas de auditoría de seguridad. Específicamente, la función AuthzInstallSecurityEventSource instala la fuente especificada como una fuente de eventos de seguridad. [dieciséis]
Admisibilidad en la corte
El boletín de EventTracker establece que "La posibilidad de manipulación no es suficiente para que los registros sean inadmisibles, debe haber evidencia específica de manipulación para que los registros se consideren inadmisibles". [17]
Ver también
Referencias
- ^ El registro de seguridad de NT: su mejor y última defensa , Randy Franklin Smith
- ^ Protección del registro de seguridad de NT , Randy Franklin Smith, Windows IT Pro, julio de 2000.
- ^ Seguimiento de la actividad de inicio de sesión y cierre de sesión en Windows 2000 , Microsoft.
- ^ Captura de direcciones IP para eventos de inicio de sesión de servidor web , Randy Franklin Smith, Windows IT Pro , octubre de 2003.
- ^ Categorías de política de auditoría , UltimateWindowsSecurity.com.
- ^ "Cinco errores de análisis de registro de seguridad" , Anton Chuvakin, Ph.D., GCIA, GCIH.
- ^ Acceso denegado: Permitir que los usuarios vean los registros de seguridad , Randy Franklin Smith, julio de 2004 - enlace roto intermitentemente desde 2007-9-27.
- ^ a b Preguntas frecuentes de Winzapper, NTSecurity.
- ^ Guía definitiva para la tala , loggly.com
- ^ a b Auditoría de Windows NT , Chris Benton.
- ^ Última seguridad de Windows , Randy Franklin Smith. [ enlace muerto ]
- ^ Política de auditoría , Microsoft. [ enlace muerto ]
- ^ Supervisión de seguridad y detección de ataques , Microsoft, 29 de agosto de 2006.
- ^ Auditoría de eventos de seguridad , Microsoft.
- ^ Internos de Microsoft Windows , Microsoft.
- ^ Función AuthzInstallSecurityEventSource , Microsoft. [ enlace muerto ]
- ^ Boletín de EventTracker , abril de 2006, ¿se mantendrán sus archivos de registro en la corte? ¿Autenticación frente a eventos de inicio de sesión? [ enlace muerto ]
enlaces externos
- Descripción de los eventos de seguridad en Windows Vista y Windows Server 2008
- Descripción de los eventos de seguridad en Windows Vista y Windows Server 2008 (XLS)