{"id":1397,"date":"2011-07-29T17:20:38","date_gmt":"2011-07-29T20:20:38","guid":{"rendered":"http:\/\/www.radians.com.ar\/blog\/?p=1397"},"modified":"2011-07-29T17:20:38","modified_gmt":"2011-07-29T20:20:38","slug":"auditoria-en-windows-server-2008-con-los-auditpol-exe-y-wevtutil-exe","status":"publish","type":"post","link":"https:\/\/www.radians.com.ar\/blog\/?p=1397","title":{"rendered":"Auditoria en Windows Server 2008 con los auditpol.exe y wevtutil.exe"},"content":{"rendered":"<p align=\"justify\"><font size=\"2\">Hace bastante tiempo escrib\u00ed una nota sobre auditoria y como habilitarla: <\/font><a href=\"http:\/\/www.radians.com.ar\/blog\/?p=215\"><font size=\"2\">Habilitando la Auditoria Object Access {HOWTO}<\/font><\/a><font size=\"2\">. Hoy vamos a ver un poco mas sobre este tema tan importante; ya que es recomendable utilizarla, ella nos puede ayudar a diagnosticar los problemas y determinar la causa, y por supuesto con la protecci\u00f3n de nuestros servidores y nuestra red. Obviamente el abuso de este tipo de herramientas no es recomendable y puede ser contraproducente, ya que estar\u00edamos teniendo gran cantidad de eventos con informaci\u00f3n que si no la utilizamos no sirve de nada, y encontrar los eventos que necesitemos ser\u00e1 muy dif\u00edcil y llevara mucho tiempo.<\/font><\/p>\n<p align=\"justify\"><font size=\"2\">Como venimos viendo hace tiempo en el Blog, en Windows Server 2003 cuando es un domain controller, si vemos en el editor de pol\u00edticas de grupo, en la secci\u00f3n <font color=\"#ff0000\" face=\"OCR A Extended\">Computer Configuration, Windows Settings, Local Policies, Audit Policy<\/font>.<\/font><\/p>\n<p><a href=\"http:\/\/www.radians.com.ar\/Articulos\/Images\/Auditoria-en-Windows-Server-2008_A5DB\/WS2003_PolicyEditor.png\"><img loading=\"lazy\" decoding=\"async\" style=\"background-image: none; border-bottom: 0px; border-left: 0px; margin: 5px; padding-left: 0px; padding-right: 0px; display: inline; border-top: 0px; border-right: 0px; padding-top: 0px\" title=\"WS2003_PolicyEditor\" border=\"0\" alt=\"WS2003_PolicyEditor\" src=\"http:\/\/www.radians.com.ar\/Articulos\/Images\/Auditoria-en-Windows-Server-2008_A5DB\/WS2003_PolicyEditor_thumb.png\" width=\"544\" height=\"260\" \/><\/a><\/p>\n<p align=\"justify\"><font size=\"2\">Est\u00e1n habilitadas ciertas pol\u00edticas de auditoria. Al tenerlas habilitadas se genera una serie de eventos en los registros de seguridad, no son grandes cantidades como para entorpecer el trabajo de verificarlos y auditarlos. Obviamente, esto depende mucho de como tenemos configurado nuestro dominio y como interactuamos con el, nosotros y nuestros usuarios.<\/font><\/p>\n<p align=\"justify\"><font size=\"2\">El problema surge cuando los administradores activan mas opciones de auditoria, y muchas veces abarcan mucho mas de lo requerido, incluso mas que lo que implican ciertas normas. Quiero que quede claro que el problema de tener muchos eventos es lo complicado que se vuelve leerlos, encontrar los eventos que realmente nos importan y actuar en consecuencia.<\/font><\/p>\n<p align=\"justify\"><font size=\"2\">En Windows Server 2008, cambia un poco el tema, como para hacer un poco mas f\u00e1cil la tarea de revisar los logs y tomar las acciones que creamos convenientes. Al instalar un controlador de dominio las pol\u00edticas de auditoria por defecto est\u00e1n configuradas de la siguiente manera:<\/font><\/p>\n<p><a href=\"http:\/\/www.radians.com.ar\/Articulos\/Images\/Auditoria-en-Windows-Server-2008_A5DB\/WS2008_PolicyEditor.png\"><img loading=\"lazy\" decoding=\"async\" style=\"background-image: none; border-bottom: 0px; border-left: 0px; margin: 5px; padding-left: 0px; padding-right: 0px; display: inline; border-top: 0px; border-right: 0px; padding-top: 0px\" title=\"WS2008_PolicyEditor\" border=\"0\" alt=\"WS2008_PolicyEditor\" src=\"http:\/\/www.radians.com.ar\/Articulos\/Images\/Auditoria-en-Windows-Server-2008_A5DB\/WS2008_PolicyEditor_thumb.png\" width=\"544\" height=\"299\" \/><\/a><\/p>\n<p align=\"justify\"><font size=\"2\">Pero esto no significa que no tiene habilitada ning\u00fan tipo de pol\u00edtica de auditoria, sino que simplemente no se encuentra configurada en esta ventana. Podemos ver en mayor detalle las pol\u00edticas con el comando <font color=\"#ff0000\" face=\"OCR A Extended\">auditpol.exe<\/font> de Windows 7, Windows Server 2008, Windows Server 2008 R2, Windows Vista.<\/font><\/p>\n<p align=\"justify\"><font size=\"2\">Recordemos, que este comando nos muestra informaci\u00f3n y realiza funciones para manipular las pol\u00edticas de auditor\u00eda. La directiva de auditor\u00eda de l\u00ednea de comandos se puede utilizar para:<\/font><\/p>\n<ul>\n<li>\n<div align=\"justify\"><font size=\"2\">Asignaci\u00f3n y b\u00fasqueda de una pol\u00edtica de auditor\u00eda del sistema.<\/font><\/div>\n<\/li>\n<li>\n<div align=\"justify\"><font size=\"2\">Asignaci\u00f3n y b\u00fasqueda de una pol\u00edtica de auditor\u00eda para cada usuario.<\/font><\/div>\n<\/li>\n<li>\n<div align=\"justify\"><font size=\"2\">Asignaci\u00f3n y b\u00fasqueda de las opciones de auditoria.<\/font><\/div>\n<\/li>\n<li>\n<div align=\"justify\"><font size=\"2\">Asignaci\u00f3n y b\u00fasqueda del descriptor de seguridad utilizado para delegar el acceso a una directiva de auditor\u00eda.<\/font><\/div>\n<\/li>\n<li>\n<div align=\"justify\"><font size=\"2\">Generar un informe o una copia de seguridad una pol\u00edtica de auditor\u00eda a un valor separados por comas (CSV) archivo de texto.<\/font><\/div>\n<\/li>\n<li>\n<div align=\"justify\"><font size=\"2\">Cargar una directiva de auditor\u00eda de un archivo de texto CSV.<\/font><\/div>\n<\/li>\n<li>\n<div align=\"justify\"><font size=\"2\">Configurar las SACL de recursos globales.<\/font><\/div>\n<\/li>\n<\/ul>\n<p align=\"justify\"><font size=\"2\">Ahora, si ejecutamos el comando <font color=\"#ff0000\" face=\"OCR A Extended\">auditpol.exe \/get \/Category:* <\/font>en nuestro controlador de dominio veremos lo siguiente:<\/font><\/p>\n<p><a href=\"http:\/\/www.radians.com.ar\/Articulos\/Images\/Auditoria-en-Windows-Server-2008_A5DB\/WS2008_AuditPol.png\"><img loading=\"lazy\" decoding=\"async\" style=\"background-image: none; border-bottom: 0px; border-left: 0px; margin: 5px; padding-left: 0px; padding-right: 0px; display: inline; border-top: 0px; border-right: 0px; padding-top: 0px\" title=\"WS2008_AuditPol\" border=\"0\" alt=\"WS2008_AuditPol\" src=\"http:\/\/www.radians.com.ar\/Articulos\/Images\/Auditoria-en-Windows-Server-2008_A5DB\/WS2008_AuditPol_thumb.png\" width=\"544\" height=\"964\" \/><\/a><\/p>\n<p align=\"justify\"><font size=\"2\">Podemos ver que las categor\u00edas de nivel superior, como inicio de sesi\u00f3n de cuenta (<font color=\"#ff0000\" face=\"OCR A Extended\">Account Logon<\/font>) y el acceso a objetos (<font color=\"#ff0000\" face=\"OCR A Extended\">Object Access<\/font>), todav\u00eda est\u00e1n all\u00ed. Tambi\u00e9n tenemos nuevas Subcategor\u00edas, con las cuales ganamos una mayor granularidad para administrar nuestra auditoria.<\/font><\/p>\n<p align=\"justify\"><font size=\"2\">Por ejemplo, si est\u00e1bamos tratando de solucionar un problema de replicaci\u00f3n y quer\u00edamos permitir alguna auditor\u00eda para ver lo que estaba sucediendo, en lugar de habilitar toda la categor\u00eda <font color=\"#ff0000\" face=\"OCR A Extended\">DS Access<\/font>, tenemos la posibilidad de habilitar \u00fanicamente la subcategor\u00eda <font color=\"#ff0000\" face=\"OCR A Extended\">Directory Service Replication<\/font>. Con esto podremos ver varios eventos espec\u00edficos de replicaci\u00f3n, como ser:<\/font><\/p>\n<p><a href=\"http:\/\/www.radians.com.ar\/Articulos\/Images\/Auditoria-en-Windows-Server-2008_A5DB\/SyncEvent.png\"><img loading=\"lazy\" decoding=\"async\" style=\"background-image: none; border-bottom: 0px; border-left: 0px; margin: 5px; padding-left: 0px; padding-right: 0px; display: inline; border-top: 0px; border-right: 0px; padding-top: 0px\" title=\"SyncEvent\" border=\"0\" alt=\"SyncEvent\" src=\"http:\/\/www.radians.com.ar\/Articulos\/Images\/Auditoria-en-Windows-Server-2008_A5DB\/SyncEvent_thumb.png\" width=\"544\" height=\"101\" \/><\/a><\/p>\n<p align=\"justify\"><font size=\"2\">Un ejemplo del evento 4932 es similar al siguiente:<\/font><\/p>\n<p><font color=\"#ff0000\" face=\"OCR A Extended\">Log Name: Security      <br \/>Source: Microsoft-Windows-Security-Auditing       <br \/>Date: 07\/29\/2011 2:00:13 PM       <br \/>Event ID: 4932       <br \/>Task Category: Directory Service Replication       <br \/>Level: Information       <br \/>Keywords: Audit Success       <br \/>User: N\/A       <br \/>Computer: srvdc.rad.com.ar       <br \/>Description:       <br \/>Synchronization of a replica of an Active Directory naming context has begun.       <br \/><\/font><font color=\"#ff0000\" face=\"OCR A Extended\">Destination DRA: CN=NTDS Settings,CN=SRVDC,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=rad,DC=com,DC=ar      <br \/>Source DRA: CN=NTDS Settings,CN=SRVDC,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=rad,DC=com,DC=ar       <br \/>Naming Context: DC=ForestDnsZones,DC=rad,DC=com,DC=ar       <br \/>Options: 19       <br \/>Session ID: 46       <br \/>Start USN: 16449 <\/font><\/p>\n<p align=\"justify\"><font size=\"2\">La ventaja de hacer las cosas de esta manera es que nos permite ser mucho m\u00e1s espec\u00edficos a la hora de hacer la auditor\u00eda, y vamos a ser capaces de establecer una auditor\u00eda mucho m\u00e1s significativa de nuestra red, generando menos ruido en los registros de los eventos.<\/font><\/p>\n<p align=\"justify\"><font size=\"2\">Como vimos anteriormente, para gestionar la auditor\u00eda tendremos que utilizar <font color=\"#ff0000\" face=\"OCR A Extended\">auditpol.exe<\/font>. Todav\u00eda se puede administrar centralmente nuestras pol\u00edticas de auditor\u00eda, s\u00f3lo tienes que hacerlo a trav\u00e9s de un script. Existe una nota en el sitio oficial de Microsoft sobre este tema, en el cual esta muy detallado el tema y hay varios scripts de ejemplo, pueden consultar la misma en <\/font><a href=\"http:\/\/support.microsoft.com\/kb\/921469\"><font size=\"2\">C\u00f3mo utilizar Directiva de grupo para configurar las opciones detalladas de auditor\u00eda de seguridad para Windows Vista y Windows Server 2008 en equipos basados \u200b\u200ben Windows Server 2008 de dominio, en un dominio Windows Server 2003, o en un dominio de Windows 2000<\/font><\/a><font size=\"2\">.<\/font><\/p>\n<p align=\"justify\"><font size=\"2\">La raz\u00f3n principal de que las pol\u00edticas s\u00f3lo administran las categor\u00edas de nivel superior es la compatibilidad hacia atr\u00e1s, con versiones mas antiguas. <\/font><font size=\"2\">Tanto Windows 2003 como XP, no entienden las subcategor\u00edas de auditor\u00eda granular, y las extensiones de seguridad del lado del cliente, por lo tanto el motor que lee las pol\u00edticas y las implementa no sabe qu\u00e9 hacer con una pol\u00edtica que contenga estos valores. Esto es por dise\u00f1o; con lo cual no hay mucho que se pueda hacer.<\/font><\/p>\n<p align=\"justify\"><font size=\"2\">Si desean ver cada uno de los eventos asociados a las distintas subcategor\u00edas les recomiendo ver esta nota en el sitio oficial de Microsoft: <\/font><a href=\"http:\/\/support.microsoft.com\/kb\/977519\"><font size=\"2\">Description of security events in Windows 7 and in Windows Server 2008 R2<\/font><\/a>; sino tambi\u00e9n podemos generar un listado ejecutando el comando <font color=\"#ff0000\" face=\"OCR A Extended\">wevtutil<\/font>, que nos permite recuperar informaci\u00f3n sobre los registros de sucesos y los editores, instalar y desinstalar eventos manifiestos, ejecutar consultas, exportar, archivar y vaciar\/eliminar los logs.<\/p>\n<p><a href=\"http:\/\/www.radians.com.ar\/Articulos\/Images\/Auditoria-en-Windows-Server-2008_A5DB\/Wevtutil.png\"><img loading=\"lazy\" decoding=\"async\" style=\"background-image: none; border-bottom: 0px; border-left: 0px; margin: 5px; padding-left: 0px; padding-right: 0px; display: inline; border-top: 0px; border-right: 0px; padding-top: 0px\" title=\"Wevtutil\" border=\"0\" alt=\"Wevtutil\" src=\"http:\/\/www.radians.com.ar\/Articulos\/Images\/Auditoria-en-Windows-Server-2008_A5DB\/Wevtutil_thumb.png\" width=\"544\" height=\"732\" \/><\/a><\/p>\n<p align=\"justify\"><font size=\"2\">El comando que deber\u00edamos ejecutar seria: <font color=\"#ff0000\" face=\"OCR A Extended\">wevtutil gp <strong>Microsoft-Windows-Security-Auditing<\/strong> \/ge \/gm:true &gt;c:\\EventosAuditoria.txt<\/font><\/font><\/p>\n<p align=\"justify\"><font size=\"2\">Con este ejemplo se guarda en el archivo <font color=\"#ff0000\" face=\"OCR A Extended\">EventosAuditoria.txt<\/font> ubicado en el <font color=\"#ff0000\" face=\"OCR A Extended\">c:\\ <\/font>el detalle de este archivo es algo similar a lo siguiente:<\/font><\/p>\n<p><font color=\"#ff0000\" size=\"2\" face=\"OCR A Extended\">name: Microsoft-Windows-Security-Auditing     <br \/>guid: 54849625-5478-4994-a5ba-3e3b0328c30d      <br \/>helpLink: <\/font><a href=\"http:\/\/go.microsoft.com\/fwlink\/events.asp?CoName=Microsoft%20Corporation&amp;ProdName=Microsoft%c2%ae%20Windows%c2%ae%20Operating%20System&amp;ProdVer=6.1.7600.16385&amp;FileName=adtschema.dll&amp;FileVer=6.1.7600.16385\"><font color=\"#ff0000\" size=\"2\" face=\"OCR A Extended\">http:\/\/go.microsoft.com\/fwlink\/events.asp?CoName=Microsoft%20Corporation&amp;ProdName=Microsoft%c2%ae%20Windows%c2%ae%20Operating%20System&amp;ProdVer=6.1.7600.16385&amp;FileName=adtschema.dll&amp;FileVer=6.1.7600.16385<\/font><\/a>    <br \/><font color=\"#ff0000\" size=\"2\" face=\"OCR A Extended\">resourceFileName: C:\\Windows\\system32\\adtschema.dll     <br \/>parameterFileName: C:\\Windows\\system32\\msobjs.dll      <br \/>messageFileName: C:\\Windows\\system32\\adtschema.dll      <br \/>message: Microsoft Windows security auditing.      <br \/>channels:      <br \/>&#160; channel:      <br \/>&#160;&#160;&#160; name: Security      <br \/>&#160;&#160;&#160; id: 10      <br \/>&#160;&#160;&#160; flags: 1      <br \/>&#160;&#160;&#160; message: Security      <br \/>levels:      <br \/>&#160; level:      <br \/>&#160;&#160;&#160; name: win:Informational      <br \/>&#160;&#160;&#160; value: 4      <br \/>&#160;&#160;&#160; message: Information      <br \/>opcodes:      <br \/>&#160; opcode:      <br \/>&#160;&#160;&#160; name: win:Info      <br \/>&#160;&#160;&#160; value: 0      <br \/>&#160;&#160;&#160;&#160;&#160; task: 0      <br \/>&#160;&#160;&#160;&#160;&#160; opcode: 0      <br \/>&#160;&#160;&#160; message: Info      <br \/>tasks:      <br \/>&#160; task:      <br \/>&#160;&#160;&#160; name: SE_ADT_SYSTEM_SECURITYSTATECHANGE      <br \/>&#160;&#160;&#160; value: 12288      <br \/>&#160;&#160;&#160; eventGUID: 00000000-0000-0000-0000-000000000000      <br \/>&#160;&#160;&#160; message: Security State Change      <br \/>&#160; task:      <br \/>&#160;&#160;&#160; name: SE_ADT_SYSTEM_SECURITYSUBSYSTEMEXTENSION      <br \/>&#160;&#160;&#160; value: 12289      <br \/>&#160;&#160;&#160; eventGUID: 00000000-0000-0000-0000-000000000000      <br \/>&#160;&#160;&#160; message: Security System Extension      <br \/>&#160; task:      <br \/>&#160;&#160;&#160; name: SE_ADT_SYSTEM_INTEGRITY      <br \/>&#160;&#160;&#160; value: 12290      <br \/>&#160;&#160;&#160; eventGUID: 00000000-0000-0000-0000-000000000000      <br \/>&#160;&#160;&#160; message: System Integrity      <br \/>&#160; task:      <br \/>&#160;&#160;&#160; name: SE_ADT_SYSTEM_IPSECDRIVEREVENTS      <br \/>&#160;&#160;&#160; value: 12291      <br \/>&#160;&#160;&#160; eventGUID: 00000000-0000-0000-0000-000000000000      <br \/>&#160;&#160;&#160; message: IPsec Driver      <br \/>&#160; task:      <br \/>&#160;&#160;&#160; name: SE_ADT_SYSTEM_OTHERS      <br \/>&#160;&#160;&#160; value: 12292      <br \/>&#160;&#160;&#160; eventGUID: 00000000-0000-0000-0000-000000000000      <br \/>&#160;&#160;&#160; message: Other System Events      <br \/><\/font><font color=\"#ff0000\" size=\"2\" face=\"OCR A Extended\">. . .     <br \/><\/font><font color=\"#ff0000\" size=\"2\" face=\"OCR A Extended\">events:     <br \/>&#160; event:      <br \/>&#160;&#160;&#160; value: 4608      <br \/>&#160;&#160;&#160; version: 0      <br \/>&#160;&#160;&#160; opcode: 0      <br \/>&#160;&#160;&#160; channel: 10      <br \/>&#160;&#160;&#160; level: 4      <br \/>&#160;&#160;&#160; task: 0      <br \/>&#160;&#160;&#160; keywords: 0x8000000000000000      <br \/>&#160;&#160;&#160; message: Windows is starting up.<\/font><\/p>\n<p><font color=\"#ff0000\" size=\"2\" face=\"OCR A Extended\">This event is logged when LSASS.EXE starts and the auditing subsystem is initialized.     <br \/>&#160; event:      <br \/>&#160;&#160;&#160; value: 4609      <br \/>&#160;&#160;&#160; version: 0      <br \/>&#160;&#160;&#160; opcode: 0      <br \/>&#160;&#160;&#160; channel: 10      <br \/>&#160;&#160;&#160; level: 4      <br \/>&#160;&#160;&#160; task: 0      <br \/>&#160;&#160;&#160; keywords: 0x8000000000000000      <br \/>&#160;&#160;&#160; message: Windows is shutting down.      <br \/>All logon sessions will be terminated by this shutdown.      <br \/>&#160; event:      <br \/>&#160;&#160;&#160; value: 4610      <br \/>&#160;&#160;&#160; version: 0      <br \/>&#160;&#160;&#160; opcode: 0      <br \/>&#160;&#160;&#160; channel: 10      <br \/>&#160;&#160;&#160; level: 4      <br \/>&#160;&#160;&#160; task: 0      <br \/>&#160;&#160;&#160; keywords: 0x8000000000000000      <br \/>&#160;&#160;&#160; message: An authentication package has been loaded by the Local Security Authority.      <br \/>This authentication package will be used to authenticate logon attempts.<\/font><\/p>\n<p align=\"justify\"><font size=\"2\">Espero que les sea de utilidad este tema, realmente quer\u00eda mostrarles estos nuevos comandos que tenemos que se suman a nuestras herramientas para controlar y administrar nuestra estructuras de active directory y nuestros servicios de directorio.<\/font><\/p>\n<p align=\"justify\"><font size=\"2\">Saludos, Roberto Di Lello.<\/font><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Hace bastante tiempo escrib\u00ed una nota sobre auditoria y como habilitarla: Habilitando la Auditoria Object&#8230;<\/p>\n","protected":false},"author":1,"featured_media":4291,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_monsterinsights_skip_tracking":false,"_monsterinsights_sitenote_active":false,"_monsterinsights_sitenote_note":"","_monsterinsights_sitenote_category":0,"footnotes":""},"categories":[11,69],"tags":[],"class_list":["post-1397","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-2008-r2","category-windows-7"],"_links":{"self":[{"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=\/wp\/v2\/posts\/1397","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=1397"}],"version-history":[{"count":0,"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=\/wp\/v2\/posts\/1397\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=\/wp\/v2\/media\/4291"}],"wp:attachment":[{"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=1397"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=1397"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=1397"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}