Inicio/cierre de sesión: Auditoría con Netwrix

Inicio/cierre de sesión de usuarios

Desde hace algún tiempo, al hablar de ciberseguridad además de integridad, confidencialidad y disponibilidad se plantea una nueva dimensión.

La trazabilidad, o lo que es lo mismo: quién, cómo, cuándo y dónde. La trazabilidad se basa en las credenciales utilizadas por los usuarios para acceder al sistema por lo que su monitorización es importante para la gestión eficaz de la ciberseguridad. Pero es una auditoría que puede ayudar en otros aspectos y Netwrix Auditor es una herramienta especializada en auditorías Windows que posibilita acceder a estos beneficios.

Netwrix Auditor es una herramienta diseñada para la monitorización de distintos aspectos del funcionamiento de plataformas Windows.

Con una estructura modular, Netwrix Auditor permite adquirir e instalar sólo los componentes necesarios para monitorizar sólo aquellos aspectos que sean de interés para cada entorno en particular.

Uno de los aspectos que permite este programa es auditar aquello relacionado con la actividad del Dominio Windows. Mediante el módulo Netwrix Auditor for Active Directory, dispones de una aplicación orientada a la auditoría de cambios y configuraciones, que proporciona una visión de 360 grados de lo que pasa dentro del entorno de Active Directory y Group Policy. Permite conocer rápidamente que cambios se han efectuado, quién los llevó a cabo, cuándo se produjeron y dónde se implementaron.

Este programa permite superar las limitaciones que en la monitorización del sistema plantea las herramientas incluidas de serie en Windows, el visor de sucesos. Posibilita la automatización en la generación y envío de informes, así como la definición de distintas alertas que adviertan de cambios críticos. La auditoría del inicio/cierre de sesión se puede realizar con la instalación de este módulo.

¿ Auditar?

El primer pensamiento que a cualquiera se le ocurre de para qué puede servir auditar el inicio y cierre de sesión del usuario es tener un registro de quien está logado en el sistema. Una especie de “registro” de entradas/salidas, muy útil en caso de tener que resolver alguna incidencia de funcionamiento o incidente de seguridad.

Pero al recopilar datos sobre cuándo el usuario hace login, desde dónde y en dónde presenta sus credenciales, permite tener una perspectiva más completa del sistema de autenticación, al obtener una información que puede aplicarse en distintos ámbitos de la organización, tanto de la gestión TI como en otras esferas de su actividad de negocio.

Conocer el nivel de absentismo/puntualidad de los empleados sería un informe factible que se podría obtener de manera inmediata con la auditoria de los inicios/cierre de sesión. Como ejemplo de aplicación de esta herramienta, fuera del ámbito de TI.

En el ámbito de TI propiamente dicho, algunos ejemplos de cómo aplicar la auditoría de inicio/cierre de sesión podrían ser:

  • Informar de intentos de inicios de sesión no autorizados en equipos determinados.
  • Conocer el número real de usuarios conectados concurrentemente, según franjas de tiempo.
  • Donde inicial sesión los usuarios habitualmente.
  • Franjas horarias cuando se producen picos de inicio y de cierre de sesión.
  • Evidenciar comportamientos sospechosos de usuarios.
  • Detectar ataques de fuerza bruta.
  • Si los usuarios acceden remotamente a otros equipos.

Configurar la auditoría Windows

Para auditar el inicio de sesión de los usuarios, hay que configurar los equipos para que recopilen datos de este tipo de eventos. Se debe activar la auditoria a nivel de equipo, no de usuario, por razones obvias: el usuario inicia sesión sobre un equipo.

Esta activación se puede realizar manualmente sobre cada uno de los equipos sobre los que se quiera recopilar datos de inicio de sesión. Para ello, simplemente hay que acudir al editor de directivas locales, mediante el programa GPEDIT.MSC, disponible en todas las ediciones de Windows, tanto de servidor como en sistemas operativos de escritorio.

Con esta herramienta, de lo que se trata es de activar la auditoria de inicio de sesión que, por defecto, está deshabilitada. Para ello, desde “Configuración de Equipo”, hay que desplegar la rama de “Configuración de Windows”, en donde se encuentra a su vez la rama “Configuración de seguridad”. En esta sección, se localiza el apartado “Directivas Locales” en donde se podrá localizar “Directiva de Auditoría”. Al situarse en este punto, queda al descubierto los parámetros que se han de modificar: “Auditar Eventos de Inicio de Sesión” y “Auditar Eventos de Inicio de Sesión de Cuenta”.

Figura 1. Detalle de las opciones de configuración de Auditoría en una directiva de dominio.

En este punto de la configuración, no es cuestión de activar los dos parámetros sin más. Hay que tener criterio para saber qué información nos da cada uno de ellos y cómo podemos aplicarlo a la gestión de la autenticación de usuarios.

El primero de ellos, “Auditar Eventos de Inicio de Sesión” recoge los eventos relacionados con el inicio de sesión de usuario local y se registran en el visor de sucesos del equipo en donde se ha autenticado el usuario.

El segundo parámetro, “Auditar Eventos de Inicio de Sesión de Cuenta” recogen validaciones, no autenticaciones. Por ejemplo, si un usuario intenta acceder a una carpeta compartida desde su desktop, inicia sesión en el desktop y deben validar el acceso a la carpeta remota. El inicio de sesión, dejará rastro en el visor de sucesos local, mientras que el acceso a la carpeta remota, dejará traza según en qué equipo.

Si el servidor de ficheros en donde se ubica la carpeta compartida opera en grupo de trabajo, en el propio servidor de fichero. Si opera inscrito en un dominio Windows, la traza se quedará en el controlador de dominio, que es quien valida en un entorno de Directorio Activo. Según este comportamiento, los sucesos de inicio de sesión de cuenta se generan en los controladores de dominio para la actividad de cuentas de dominio y en los equipos locales para la actividad de cuentas locales. Si están habilitadas ambas categorías de auditorias (“Auditar Eventos de Inicio de Sesión” y “Auditar Eventos de Inicio de Sesión de Cuenta”), los inicios o cierre de sesión de las cuentas de dominio generarán un suceso en la estación de trabajo o servidor y otro suceso en el controlador de dominio.

De manera adicional, los inicios de sesión interactivos en un servidor miembro o una estación de trabajo que utilicen una cuenta de dominio generan un suceso de inicio de sesión en el controlador de dominio a medida que las secuencias de comandos y directivas de inicio de sesión se recuperan cuando un usuario inicia sesión.

Figura 2. Configuración retención logs de Windows

Para ambos parámetros, hay que decidir si se quieren auditar todos los inicios de sesión, tanto los erróneos como los correctos, o sólo uno de ellos. No hay una mejor o peor configuración. Aquí dependerá de que información se quiere registrar. Para mantener la trazabilidad del inicio de sesión de usuario, lo mejor, habilitar la auditoría de todos los intentos, tanto los erróneos como los correctos. Obviamente esto tiene un precio. Mayor número de sucesos que se registran y una tarea más que tienen que completar los equipos para cada operación de login.

Hay que considerar, el número de eventos que esto genera, para configurar el tamaño de los archivos de eventos y como se va a ocupar Windows de su gestión. Si serán lineal, alcanzado un tamaño de archivo se deja de escribir. O circular, alcanzado el máximo de tamaño de archivo, el log sigue escribiendo eventos pero para que quepan, sobreescribe los más antiguos.

Esto que parece “pecata minuta”, es importante. Puede ser la diferencia entre que un equipo arranque con normalidad o no. (Figura 2)

Auditar no sólo para la seguridad

La auditoría de inicio/cierre de sesión datos no sólo pueden ser utilizados en seguridad. Ayudan a conocer los flujos de entrada/salida de los usuarios. También puede facilitar la planificación de equipos necesarios, por ejemplo. Normalmente un equipo por usuario, teóricamente, pero en la práctica se puede verificar que entre absentismos, vacaciones/permisos, turnos y otras situaciones se puede determinar cuál es el número de equipos realmente necesario.

A poco que se tenga que administrar unos cuantos equipos, rápidamente se cae en la cuenta de que hacer esta operación en todos los equipos de la red manualmente, resulta, cuando menos, tedioso. La definición de estos parámetros y su aplicación puede hacerse cómodamente si los equipos están inscritos en un dominio Windows.

A través de las GPO, Group Policy Object, los Objetos Directivas de Grupo, (Figura 1) se pueden definir exactamente de la misma forma y aplicar a todos los equipos o sólo a grupos de ellos, según las necesidades de cada entorno. Incluso, se pueden definir distintas GPO para aplicarse a distintos tipos de equipos. Por ejemplo, los PC de usuario, sólo los inicios de sesión correctos, mientras que para los portátiles se habilita el registro todos los inicios de sesión, los que han fallado y los que no.

La configuración por GPO, con diferencia, tiene que ser la opción elegida por el administrador del sistema para configurar la auditoria. No sólo es más cómoda, si no también posibilita que resulte más fácil recoger y aplicar modificaciones posteriores. Para la definición y aplicación de GPO en el dominio Windows, se puede consultar la abundante documentación que existe en el sitio del fabricante.

Netwrix Auditor Administrator Console

Una vez que se ha preparado los equipos para que estén pendientes de la recopilación de los sucesos de inicio de sesión, lo siguiente es configurar NETWRIX para que vaya a recopilar estos datos.

La operación es simple y desprovista de ninguna complicación. Para ello, lo primero arrancar la consola de gestión del programa de auditoria, Netwrix Auditor Administrator Console. Desde aquí hay que definir el tipo de objeto que queremos auditar, que en el caso que nos ocupa es un objeto gestionado de tipo “Dominio”.

Figura 3: Definición de objeto gestionado en Netwrix Auditor For Directory Active.

Con esta selección arranca un asistente que va guiando al operador en la definición del objeto. En la primera pantalla, los datos del dominio. Nombre DNS del dominio y una cuenta de usuario con acceso a dicho dominio. No es necesario que tenga privilegios de Administración.

Los permisos que se necesitan vienen especificados detalladamente en la documentación que aparece con el programa y a la que se puede acceder directamente si el equipo tiene conexión al Internet y se pulsa el enlace que aparece en el propio asistente. (Figura 3)

El siguiente paso que muestra el asistente al operador es para seleccionar que tipo de información se debe auditar.

En las recomendaciones de “buenas prácticas” cada vez es más frecuente encontrar recomendaciones para habilitar auditoría en los distintos aspectos de la operación de las infraestructuras TI, entre ellos los inicios de sesión.

En este caso, la selección es clara “Logon Activity”, (Figura 4)  El botón de “Next”, provoca que el asistente busque el siguiente dato que necesita para configurar esta auditoría.

Si la información recopilada se gestiona por correo electrónico con mensajes resumen de la actividad auditada o, la opción más completa y eficiente, si estos datos se recogen en un servidor SQL, en donde se crea una base de datos específica para esta monitorización. Netwrix Auditor se lleva bien con Microsoft SQL, en cualquiera de sus versiones a partir de Microsoft SQL Server 2005.

Como se ha comentado en otros artículos, según el volumen de datos recopilados puede optarse por la versión de motor de base de datos licenciada o la de libre disposición, Microsoft SQL Express.

Figura 4. Selección del tipo de objeto con Netwrix.

Figura 5. Definición de base de datos para auditoria.

Y la instancia de SQL, puede estar en la misma “caja” que Netwrix Auditor o en “caja” distinta.Téngase en cuenta que la instalación del motor SQL no está condicionada por la instalación del programa de auditoría. Son elementos independientes y Netwrix Auditor se instala sin requerir que haya una instalación previa de SQL. Si se elige por esta opción, hay que indicar al asistente de Netwrix Auditor, donde se ubica el servidor y las credenciales de una cuenta de usuario que tenga capacidad para crear la base de datos en ese servidor SQL.

No es necesario contar con un acceso privilegiado al servidor SQL. Sólo se necesita capacidad para crear la base de datos de Netwrix Auditor. (figura 5)

A continuación, el asistente de Netwrix proporciona la posibilidad de “compresión” del tráfico que genera su servicio. Esto está indicado en entornos distribuidos y con enlaces WAN entre distintas ubicaciones.

La compresión del tráfico hace que sea reducido el consumo de ancho de banda para transferir datos de auditoría. No tiene ninguna otra consecuencia para el registro y análisis de esos datos, sólo hay que considerarlo desde la perspectiva de la topología de la auditoría y su optimización. (Figura 6)

Figura 6. Habilitar la compresión de datos.

Figura 7. Configuración de los objetos a monitorizar.

El siguiente punto ofrece la opción de configurar automáticamente o de forma manual las características de los objetos que se quiere auditar. Más bien la configuración que han de tener para que el programa auditor pueda recopilar los datos. Esta opción es interesante si no se define la configuración que se muestra por GPO. Esta opción permite realizar desde Netwrix las operaciones de configuración que se han comentado al principio de este documento.

Algún lector podría despistarse al ver tantos parámetros, mientras que en este documento sólo se ha planteado modificar escuetamente la directiva local. Hay que tener en cuenta que los parámetros indicados en esta pantalla del asistente, es para auditar todo lo relacionado con el Directorio Activo de Windows.

Para el aspecto que se quiere auditar, no es necesario hacer la configuración que propone Netwrix. (Figura 7)

Una vez definida la auditoria en estos sencillos pasos, automáticamente Netwrix se ocupa de lanzar una primera recopilación de estos datos. A partir de completar esta primera recopilación, ya es posible obtener informes sobre el inicio de sesión de usuarios. (Figura 8)

Figura 8: Configuración de la recopilación de datos a monitorizar en el objeto

El objetivo de la auditoria no es mantener un registro de entradas/salidas de usuarios. El verdadero objetivo es la generación de informes que permitan analizar los flujos de sesión de los usuarios para hacer una gestión más eficaz de los recursos.

Figura 9: Configuración de la recopilación de datos de auditoría.

A partir de ese momento y según se tenga configurado el programa, en los intervalos estipulados conectará con los equipos para recopilar los datos que se precisan en esta auditoría.

Por defecto, es diariamente a las 03:00 horas. La recopilación se ejecuta como una tarea programada del sistema operativo, no como una funcionalidad propia de Netwrix y se aplica para la recopilación de todos los datos de auditoria que pudieran estar definidos. Hubiera sido interesante tener posibilidad de lanzar tareas de recopilación de datos independientes para auditorías diferentes. (Figura 9)

Ahora sólo queda ver esos informes e interpretarlos. Para eso, hay que lanzar el cliente “Netwrix Auditor”. Dentro del botón “Reports”, se acede a la lista de informes que viene preconfigurados en Netwrix, los más habituales y demandados.

Dentro del apartado “Active Directory”, “Logon Activity” se puede acceder a la información recopilada con un formato familiar para aquellos habituados a trabajar con los informes de Microsoft, SSRS. (figura 10)

Figura 10. Acceso a los informes de Netwrix

Figura 11. Detalle de uno de los informes preconfigurados

Estos informes predefinidos se pueden modificar levemente. Se pueden aplicar filtros por los campos habilitados para delimitar mejor los datos mostrados. No hay una herramienta proporcionada por Netwrix en lo que se refiere a la actividad de inicio de sesión de los usuarios. Pero desde el interfaz del programa. En caso de ser necesario un informe que no está contemplado en Netwrix, se puede recurrir al generador de informes de Microsoft SSRS para diseñarlo, aunque esta opción sólo está al alcance de técnicos más avezados.

No es una funcionalidad complicada, pero si hay que dedicarle algún tiempo y esfuerzo para sacarle partido. (figura 11)

Interesante las opciones de subscripción a los informes. Es una funcionalidad del programa de auditoría que permite recibir estos informes a intervalos regulares y evitar así tener que estar pendientes de recibir los datos que se deben analizar, porque no se ha de olvidar que todo esto se hace con la finalidad de analizar los inicios y cierre de sesión de los usuarios para aplicar las conclusiones a su gestión.

Y si de buscar datos concretos se trata, la funcionalidad de “investigación” puede resultar muy útil.

Con esta funcionalidad, disponible en la consola de gestión “Netwrix Auditor Administrator Console” permite extraer información de las distintas bases de datos en donde el programa recopila los datos y posibilitar la traza de incidentes concretos. Una opción muy interesante desde la perspectiva del análisis forense, con la que explicar esos incidentes, identificar fallos de configuración y localizar a los posibles autores del incidente. (Figura 12)

Figura 12. Detalle configuración de la base de datos de investigación en Netwrix.

En resumidas cuentas, NETWRIX AUDITOR proporciona una herramienta simple de instalar y sencilla de manejar con la que obtener una auditoría completa del comportamiento de los inicios/cierre de sesión de los usuarios en Windows con las que aplicar una gestión más eficaz en las directivas implantadas en la organización. Proporciona un medio más inmediato y de fácil comprensión para habilitar esta auditoría que los incluidos dentro del propio sistema operativo Windows.

Netwrix Auditor tiene una estructura de funcionamiento cliente/servidor. Netwrix Auditor Administrator Console es el interfaz con el que manejar la parte de servidor. Netwrix auditor, es la parte cliente. Los componentes se pueden instalar en el mismo equipo o en equipos separados.

Sigue descubriendo:

0 comentarios

Dejar un comentario

¿Quieres unirte a la conversación?
Siéntete libre de contribuir

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Utilizamos cookies propias y de terceros para mejorar nuestros servicios. Al utilizar el Sitio, usted acepta el uso de cookies. más información

The cookie settings on this website are set to "allow cookies" to give you the best browsing experience possible. If you continue to use this website without changing your cookie settings or you click "Accept" below then you are consenting to this.

Close