En algunos casos de intrusión a Windows Server, los logs son parte fundamental de la investigación forense, también el acceso a ciertos objetos dentro del servidor en la auditoria forense que son relevantes para la organización.
En la mayor parte de instalaciones de Windows los event logs están deshabilitados lo cual para la seguridad de la información es un punto débil dentro de la organización, ya que todas las actividades relevantes dentro de la organización se realizan en un equipo de computo es importante tener registro cuando se utilizo y si se intento ingresar de forma no autorizada al equipo o a ciertos objetos.
Una analogía de tener deshabilitados este tipo de event logs, es como si en la organización el circuito cerrado de video solo registre cuando alguien entro de forma autorizada, mientras que no registrara cuando alguien no pudo entrar o que bajo cierto numero de intentos pudo lograr ingresar a la organización.
Es por eso que la recomendación forense para los administradores de servidores es activar los intentos fallidos de ingresar al sistema.
Para hacerlo es con estos sencillos pasos:
1 - Abrir panel de control
2 - Abrir herramientas administrativas
3 - Abrir Directivas locales
4 - Abrir Directiva de auditoria
5 - Activar los registros correspondientes.
Como mínimo quedar de esta forma:
Este tipo de registro de eventos es importante para detectar si existió un acceso en el que se utilizo fuerza bruta.
En el caso de accesos vía malware es importante tener activado los de sistema y aplicaciones.
Después de haberlo activado podemos ver los intentos fallidos:
Bibliografía:
Joel Scrambay & Stuart McClure. (2008) Hackers en Windows,Tercera edición, McGraw-Hill Interamericana editores S.A. de C.V.
No hay comentarios.:
Publicar un comentario