Auditar eventos de seguridad en Windows XP

---

¿Como habilitar las auditorias de seguridad en nuestros equipos cuando estos son utilizados por varias personas?



Esto nos permitirá depurar posibles responsabilidades y determinar, que o quien ha provocado un determinado comportamiento de nuestro equipo.

¿Cómo acceder y habilitar las auditorias de seguridad?

Las auditorias de seguridad a las que nos referimos en el presente artículo, son accesibles, tecleando directamente desde inicio – ejecutar, el comando secpol.msc cuelgan todas ellas de la carpeta Directivas de Auditoria, también son accesibles, si vamos a inicio / herramientas administrativas / directivas de seguridad local.



Auditoria de Acceso a Objetos

Mediante esta auditoria lo que conseguimos es auditar el acceso a cualquier tipo de objeto. Es decir, que auditará los accesos a carpetas, archivos, claves del registro, impresoras, etc… que estén presentes en nuestro sistema.



Las auditorias de aciertos lógicamente generarán un evento en el visor de sucesos cada vez que un usuario acceda correctamente a cualquier tipo de objeto. Los errores se generarán cuando nuestro usuario acceda sin éxito a estos objetos, de todas formas no es raro que durante las operaciones normales del sistema se generen también errores de acceso a determinados objetos.

Cómo auditar el acceso a las claves del registro de XP

Y es que auditar el acceso al registro, nos podrá ayudar a determinar si un intruso o una aplicación desconocida está cambiando valores en el registro y que valores está cambiando. Para activarla, deberemos habilitar la Auditoria de Acceso a Objetos mediante el procedimiento descrito y posteriormente llevar a cabo este proceso.



· Inicio, ejecutar y teclear regedit.

· Navegar hasta la clave que queramos auditar, y hacer clic con el botón derecho sobre la misma, eligiendo el apartado permisos de nuestro menú contextual,

· Pulsamos sobre “opciones avanzadas”, y hacemos clic sobre la pestaña auditoria

· Hacemos clic sobre agregar, y tecleamos nuestro nombre de usuario con el que actualmente estemos logueados, y que deberá ser una cuenta administrativa.

· Se nos presentará una pantalla a continuación que nos dará a elegir entre diferentes acciones que queramos auditar sobre esta clave. Si pulsamos sobre control total, se nos tildarán todas las acciones, y cualquier movimiento sobre esta clave será auditado, los nombres son muy descriptivos, por ejemplo la acción Crear Subclave, nos informará de cualquier valor que se cree en la rama correspondiente del registro.

· En el visor de sucesos, en su apartado seguridad, y haciendo doble clic sobre el evento en cuestión, encontraremos información completa sobre que aplicación ha intentando acceder a esa clave y que valor a cambiado.

· Auditar el acceso al servicio de directorio. Esta auditoria es poco útil en general para usuarios que no pertenezcan a un Directorio Activo, o Active Directory, presente en dominios de Windows. En líneas generales habilitando esta política auditamos los accesos bien correctos, bien erróneos a Microsoft Active Directory.

Distintos objetos a auditar

Auditar cambios de directivas

Como su nombre indica, esta auditoria registra los cambios producidos en la aplicación de directivas de asignación de derechos de usuarios o de auditoria, registrándose un evento en el visor de sucesos cada vez que se cambie una de estas directivas de forma correcta o sin éxito, según habilitemos las diferentes opciones para habilitar o bien los aciertos o bien los errores.



Auditar el seguimiento de procesos

La habilitación de esta auditoria nos puede generar una gran cantidad de información en el Visor de Sucesos, por lo que normalmente no la auditamos. Su habilitación provoca que se haga un seguimiento a la activación de programas, salida de procesos, y acceso indirecto a objetos.



Auditar el uso de privilegios

Audita cada ocasión en que se hagan uso de los correspondientes derechos de usuarios para realizar una acción. Aun así, hay acciones que de forma predeterminada no son auditadas, como la Restauración de archivos, y la copias de seguridad de archivos y directorios.



Auditar la administración de cuentas

Provoca que se auditen la administración de cuentas, y en concreto, cada vez que se cambie, elimine, o desactive un usuario del sistema y cada vez que se cambie la contraseña de un usuario.



Auditoria de Inicio de Sesión

Registra un suceso cada vez que un usuario inicia o cierra sesión o se hace una conexión de red.



Auditoria de Inicio de Sesión de Cuenta

Se registran un suceso por cada vez que un usuario inicia o cierra sesión desde otro equipo.



Auditoria de Sucesos del Sistema

Esta auditoria nos proporcionará una información bastante relevante, y generará un evento en el visor de sucesos cada vez que el equipo se cierre o reinicie afectando a la seguridad del sistema. No se suelen generar demasiados eventos por este motivo, y Microsoft recomienda activar esta auditoria por ser su información bastante útil y significativa.



El registro de sucesos

Como ya hemos visto, lo sucesos que se generan desde nuestras auditorias de seguridad se almacenan en un registro, el cual es accesible desde el Visor de Sucesos, ubicado, en Herramientas Administrativas / Visor de Sucesos. Los eventos que nos interesan en este articulo se almacenarán en el apartado Seguridad, del visor de sucesos. Cuando el archivo que almacena estos sucesos alcanza el tamaño máximo configurado en nuestro equipo, Windows XP, impedirá iniciar sesión a cualquier usuario que no pertenezca al grupo de administradores, desplegándonos este mensaje.



"El registro de seguridad en este sistema está lleno"

Para resolverlo, deberemos iniciar sesión con el usuario Administrador, y a continuación abrir el visor de sucesos, hacer clic con el botón derecho del ratón sobre el apartado seguridad y seleccionar propiedades, desde el área, Tamaño de archivo, deberemos seleccionar la opción, sobrescribir sucesos cuando sea necesario.



Eso provocará que no se llene el registro de seguridad evitando que nos salga este mensaje. También podemos aumentar el tamaño máximo del registro, de 512 Kb, que es el predefinido al que deseemos.