seguridad y auditoría en entorno microsoft
DESCRIPTION
Charla de Alejandro Fernández de la empresa Quest Software impartida durante el III Curso de verano de Seguridad Informática de la UEM en Valencia.TRANSCRIPT
© 2009 Quest Software, Inc. ALL RIGHTS RESERVED
Seguridad y Auditoría en entornos Microsoft
Alejandro Fernandez
Sales Consultant | Quest Software
2
En estado puro
3
Y dónde más…
Servidor de
ficheros Exchange
Directorio
Activo
4
Los Retos
• El Directorio Activo, los servidores de ficheros y Exchange son una parte crítica de su infraestructura
• El registro de eventos y los informes de cambios son necesarios en caso de auditoría y para el cumplimiento de normativa.
• No existe una visión global de todos los cambios y registros de eventos dispersos en varios lugares.
• La búsqueda de un evento específico puede ser muy lenta
• Los eventos nativos contienen información limitada que es difícil de descifrar.
• No existe protección para evitar el borrado o sobreescritura
• Los administradores no suelen ser conscientes de los problemas hasta que es demasiado tarde, causando problemas en el cumplimiento de normativas.
• La presentación de informes es un proceso que consume mucho tiempo
5
• Permite gestionar los cambios
desde un única consola.
• Asegura un entorno de red
seguro que cumple las
normativas auditando en tiempo
real cualquier cambio crítico en
Directorio Activo, Exchange y
servidores de ficheros Windows
• Registra los equipos desde
dónde se origina el cambio.
• Fortalece los controles internos
a través de una perspectiva real
de los cambios tanto autorizados
como no autorizados.
La Solución: ChangeAuditorAuditoría en tiempo real para Directorio Activo, Servidores de Ficheros Windows, y Exchange
6
¿Qué es ChangeAuditor?
ChangeAuditor proporciona una gestión de los cambios completa y en tiempo real, lo
que facilita la productividad y disponibilidad de la red mediante una auditoría proactiva,
análisis forense y un reporting claro de cada cambio producido en Windows –
incluyendo Directorio Activo, ADLDs, servidores de ficheros Windows y Exchange
¿Quién hizo el cambio?
¿Cuándo se hizo el cambio?
¿Por qué se hizo el cambio? (Comentario)
¿Dónde se ha producido el cambio?
¿Qué objeto se cambió (antes y despúes)?
Smart Alerts
Workstation desde dónde se originó el cambio?
7
ChangeAuditor – Características Principales
• Auditoría detallada para:
o Directorio Activo y ADLDS
o Exchange
o Servidores de Ficheros Windows
o Registro
o Servicios
o Local Users y Grupos
• Detalle de quién, qué, cuando, dónde, por qué y workstation, además
de valor original y valor actual para todos los cambios - presentados
de una forma sencilla
• Registro de eventos en el event log de la misma manera que los
Plug-ins de InTrust
• Protección contra cambios no deseados en los objetos de AD,
buzones, ficheros y carpetas
8
• Un completo repositorio de auditoría, con alertas incorporadas,
informes y potentes búsquedas basadas en las mejores prácticas y
reglamentos
• Integración con SQL Reporting Services (SRS) para la generación de
informes simples y con entregas automatizadas
• Envío de ‘Smart Alerts’ basadas en patrones de eventos
• Acceso basado en Roles - Autorización
• Automatización de despliegue de agentes y gestión en el cliente
• Métricas clave de rendimiento
o Contador de Eventos, Contador de cola, Tamaño de la base de
datos, Tiempo de Actividad, …
• Soporte para Windows Server 2008 R2, Server Core & Windows 7
• Integración con Quest Authentication Services (QAS)
• Usa SCOM Management Pack para enviar eventos a la Consola de
SCOM
ChangeAuditor – Características Principales (continuación)
9
Auditoria nativa vs ChangeAuditorAuditoría del cambio del atributo oficina de un
objeto de Usuario con ChangeAuditor for AD
ChangeAuditor for AD ha detectado un cambio en el
objeto de usuario nos muestra la dirección IP desde
donde se produjo el cambio, el valor anterior y nuevo
valor
Auditoría del cambio del atributo oficina de un
objeto de Usuario con seguridad nativa de
Windows:
Windows ha detectado un cambio en el objeto de
usuario pero no es capaz de mostrar que atributo fue
cambiado, cual fue el valor anterior y el nuevo. Y lo
más importante no informa desde que dirección IP se
produjo el cambio
10
Auditoria nativa vs ChangeAuditor (cont)Evento de auditoría del cambio de permisos a un
fichero con ChangeAuditor for File Access:
ChangeAuditor for File Access no requiere activar la
auditoría nativa de Windows para acceso a objetos y
no requiere designar que carpetas y ficheros queremos
auditar de forma individual. La descripción del evento
es completa y comprensible
Evento de auditoría del cambio de permisos a un
fichero con con seguridad nativa de Windows:
De forma nativa Windows nos obliga a habilitar la
auditoría a acceso de objetos en primero lugar y
después nos obliga a designar que ficheros o carpetas
queremos auditar. Aun así el resultado de la auditoria
es incompleto y difícil de interpretar.
11
Arquitectura
12
Proceso de despliegue
Exchange
Active Directory
Windows File
Server
ChangeAuditor
Real TimeChangeAuditor
Client)
Reports
(Knowledge Portal)
© 2009 Quest Software, Inc. ALL RIGHTS RESERVED
DEMOSTRACIÓN
14
Resumen
ChangeAuditor
Real Time
15
Blog Quest Software España en
http://questsoftware.wordpress.com/
Mi Blog Personal ElCunarro en http://elcunarro.blogspot.com/
Más información acerca de losp roductos de Quest en Español:
16
Muchas Gracias