© 2009 Quest Software, Inc. ALL RIGHTS RESERVED

Seguridad y Auditoría en entornos Microsoft

Alejandro Fernandez

Sales Consultant | Quest Software

Alejandro.Fernandez@Quest.com

2

En estado puro

3

Y dónde más…

Servidor de

ficheros Exchange

Directorio

Activo

4

Los Retos

• El Directorio Activo, los servidores de ficheros y Exchange son una parte crítica de su infraestructura

• El registro de eventos y los informes de cambios son necesarios en caso de auditoría y para el cumplimiento de normativa.

• No existe una visión global de todos los cambios y registros de eventos dispersos en varios lugares.

• La búsqueda de un evento específico puede ser muy lenta

• Los eventos nativos contienen información limitada que es difícil de descifrar.

• No existe protección para evitar el borrado o sobreescritura

• Los administradores no suelen ser conscientes de los problemas hasta que es demasiado tarde, causando problemas en el cumplimiento de normativas.

• La presentación de informes es un proceso que consume mucho tiempo

5

• Permite gestionar los cambios

desde un única consola.

• Asegura un entorno de red

seguro que cumple las

normativas auditando en tiempo

real cualquier cambio crítico en

Directorio Activo, Exchange y

servidores de ficheros Windows

• Registra los equipos desde

dónde se origina el cambio.

• Fortalece los controles internos

a través de una perspectiva real

de los cambios tanto autorizados

como no autorizados.

La Solución: ChangeAuditorAuditoría en tiempo real para Directorio Activo, Servidores de Ficheros Windows, y Exchange

6

¿Qué es ChangeAuditor?

ChangeAuditor proporciona una gestión de los cambios completa y en tiempo real, lo

que facilita la productividad y disponibilidad de la red mediante una auditoría proactiva,

análisis forense y un reporting claro de cada cambio producido en Windows –

incluyendo Directorio Activo, ADLDs, servidores de ficheros Windows y Exchange

¿Quién hizo el cambio?

¿Cuándo se hizo el cambio?

¿Por qué se hizo el cambio? (Comentario)

¿Dónde se ha producido el cambio?

¿Qué objeto se cambió (antes y despúes)?

Smart Alerts

Workstation desde dónde se originó el cambio?

7

ChangeAuditor – Características Principales

• Auditoría detallada para:

o Directorio Activo y ADLDS

o Exchange

o Servidores de Ficheros Windows

o Registro

o Servicios

o Local Users y Grupos

• Detalle de quién, qué, cuando, dónde, por qué y workstation, además

de valor original y valor actual para todos los cambios - presentados

de una forma sencilla

• Registro de eventos en el event log de la misma manera que los

Plug-ins de InTrust

• Protección contra cambios no deseados en los objetos de AD,

buzones, ficheros y carpetas

8

• Un completo repositorio de auditoría, con alertas incorporadas,

informes y potentes búsquedas basadas en las mejores prácticas y

reglamentos

• Integración con SQL Reporting Services (SRS) para la generación de

informes simples y con entregas automatizadas

• Envío de ‘Smart Alerts’ basadas en patrones de eventos

• Acceso basado en Roles - Autorización

• Automatización de despliegue de agentes y gestión en el cliente

• Métricas clave de rendimiento

o Contador de Eventos, Contador de cola, Tamaño de la base de

datos, Tiempo de Actividad, …

• Soporte para Windows Server 2008 R2, Server Core & Windows 7

• Integración con Quest Authentication Services (QAS)

• Usa SCOM Management Pack para enviar eventos a la Consola de

SCOM

ChangeAuditor – Características Principales (continuación)

9

Auditoria nativa vs ChangeAuditorAuditoría del cambio del atributo oficina de un

objeto de Usuario con ChangeAuditor for AD

ChangeAuditor for AD ha detectado un cambio en el

objeto de usuario nos muestra la dirección IP desde

donde se produjo el cambio, el valor anterior y nuevo

valor

Auditoría del cambio del atributo oficina de un

objeto de Usuario con seguridad nativa de

Windows:

Windows ha detectado un cambio en el objeto de

usuario pero no es capaz de mostrar que atributo fue

cambiado, cual fue el valor anterior y el nuevo. Y lo

más importante no informa desde que dirección IP se

produjo el cambio

10

Auditoria nativa vs ChangeAuditor (cont)Evento de auditoría del cambio de permisos a un

fichero con ChangeAuditor for File Access:

ChangeAuditor for File Access no requiere activar la

auditoría nativa de Windows para acceso a objetos y

no requiere designar que carpetas y ficheros queremos

auditar de forma individual. La descripción del evento

es completa y comprensible

Evento de auditoría del cambio de permisos a un

fichero con con seguridad nativa de Windows:

De forma nativa Windows nos obliga a habilitar la

auditoría a acceso de objetos en primero lugar y

después nos obliga a designar que ficheros o carpetas

queremos auditar. Aun así el resultado de la auditoria

es incompleto y difícil de interpretar.

11

Arquitectura

12

Proceso de despliegue

Exchange

Active Directory

Windows File

Server

ChangeAuditor

Real TimeChangeAuditor

Client)

Reports

(Knowledge Portal)

© 2009 Quest Software, Inc. ALL RIGHTS RESERVED

DEMOSTRACIÓN

14

Resumen

ChangeAuditor

Real Time

15

Blog Quest Software España en

http://questsoftware.wordpress.com/

Mi Blog Personal ElCunarro en http://elcunarro.blogspot.com/

Más información acerca de losp roductos de Quest en Español:

16

Muchas Gracias