RECOLECCIÓN Y CONSOLIDACIÓN DE
EVENTOS CON WINDOWS SERVER 2008 R2
ENERO 2015
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-859 Recolección y consolidación de eventos con Windows Server 2008 R2
Edita:
NIPO: 002-15-001-0
Sidertia Solutions S.L. ha participado en la elaboración y modificación del presente documento y sus anexos.
LIMITACIÓN DE RESPONSABILIDAD
El presente documento se proporciona de acuerdo con los términos en él recogidos, rechazando expresamente
cualquier tipo de garantía implícita que se pueda encontrar relacionada. En ningún caso, el Centro Criptológico
Nacional puede ser considerado responsable del daño directo, indirecto, fortuito o extraordinario derivado de la
utilización de la información y software que se indican incluso cuando se advierta de tal posibilidad.
AVISO LEGAL
Quedan rigurosamente prohibidas, sin la autorización escrita del Centro Criptológico Nacional, bajo las sanciones
establecidas en las leyes, la reproducción parcial o total de este documento por cualquier medio o procedimiento,
comprendidos la reprografía y el tratamiento informático, y la distribución de ejemplares del mismo mediante
alquiler o préstamo públicos.
PRÓLOGO
Entre los elementos más característicos del actual escenario nacional e internacional figura el
desarrollo alcanzado por las Tecnologías de la Información y las Comunicaciones (TIC), así
como los riesgos emergentes asociados a su utilización. La Administración no es ajena a este
escenario, y el desarrollo, adquisición, conservación y utilización segura de las TIC por parte de
la Administración es necesario para garantizar su funcionamiento eficaz al servicio del
ciudadano y de los intereses nacionales.
Una de las funciones más destacables que, asigna al mismo, el Real Decreto 421/2004, de 12 de
marzo, por el que se regula el Centro Criptológico Nacional es la de elaborar y difundir normas,
instrucciones, guías y recomendaciones para garantizar la seguridad de los sistemas de las
tecnologías de la información y las comunicaciones de la Administración.
La ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los servicios públicos,
en su artículo 42.2 crea del Esquema Nacional de Seguridad (ENS), que establece las
condiciones necesarias de confianza en el uso de los medios electrónicos, a través de medidas
para garantizar la seguridad de los sistemas, los datos, las comunicaciones, y los servicios
electrónicos.
El Real Decreto 3/2010 de 8 de Enero desarrolla el Esquema Nacional de Seguridad y fija los
principios básicos y requisitos mínimos así como las medidas de protección a implantar en los
sistemas de la Administración. En su artículo 29 se autoriza que a través de la series CCN-STIC
el CCN desarrolle lo establecido en el mismo.
Enero 2015
ÍNDICE
1. INTRODUCCIÓN.................................................................................................................................... 7
2. OBJETO.................................................................................................................................................... 7
3. ALCANCE ................................................................................................................................................ 8
4. DESCRIPCIÓN DE USO DE ESTA GUÍA ........................................................................................... 9
4.1 AVISOS IMPORTANTES A LOS USUARIOS DE ESTA GUÍA ...................................................... 9
5. LA TRAZABILIDAD A TRAVÉS DEL ESQUEMA NACIONAL DE SEGURIDAD ................... 10
6. SERVICIO DE GESTIÓN DE EVENTOS .......................................................................................... 12
6.1 REGISTROS DE EVENTOS ............................................................................................................. 13
6.1.1 REGISTROS DE WINDOWS ....................................................................................................... 14
6.1.2 REGISTROS DE APLICACIONES Y SERVICIOS .................................................................... 15
6.2 EVENTOS Y ESTRUCTURA XML.................................................................................................. 16
6.3 VISTAS PERSONALIZADAS .......................................................................................................... 19
7. RECOLECCIÓN DE EVENTOS. SERVICIO WINRM ................................................................... 23
8. ENTORNO SEGURO PARA LA RECOLECCIÓN DE EVENTOS ............................................... 30
8.1 CONFIGURACIÓN DE CLIENTE WINRM .................................................................................... 32
8.2 CONFIGURACIÓN DEL SERVIDOR WINRM ............................................................................... 33
8.3 REENVÍO DE EVENTOS.................................................................................................................. 34
8.4 SHELL REMOTA DE WINDOWS ................................................................................................... 35
9. AUDITORÍA Y EVENTOS DE SEGURIDAD ................................................................................... 35
10. PLANIFICACIÓN PARA LA RECOLECCIÓN DE EVENTOS ..................................................... 41
10.1 ELECCIÓN DE SISTEMAS .............................................................................................................. 41
10.2 ELECCIÓN DE CATEGORÍAS Y SUBCATEGORÍAS .................................................................. 42
10.3 CRITERIOS PARA LA GENERACIÓN DE SUSCRIPCIONES ..................................................... 43
10.4 CREAR VISTAS PERSONALIZADAS ............................................................................................ 44
ANEXOS
1. INTRODUCCIÓN
1. Este documento forma parte del conjunto de normas desarrolladas por el Centro
Criptológico Nacional para el cumplimiento del Esquema Nacional de Seguridad.
2. La aplicación de medidas técnicas se ha diseñado de manera incremental. Así que
dependiendo del sistema, se aplicarán consecutivamente varias de las posibles guías
técnicas aplicables a Sistemas Operativos Windows de la serie 800. Por ejemplo, para la
implementación del sistema de consolidación de registros de eventos, será necesaria la
implementación de las siguientes guías en función del escenario:
– CCN-STIC-850A Implantación del ENS en Windows 7.
– CCN-STIC-851A Implantación del ENS en Windows Server 2008 R2 (Controlador
de dominio y servidor miembro).
– La presente guía.
2. OBJETO
3. El propósito de este documento consiste en proporcionar los procedimientos para la
implementación y garantizar la seguridad de un sistema de recopilación de eventos de
sistemas operativos Microsoft, haciendo uso del servicio recolector de Windows y la
tecnología de gestión remota. Se establece para ello la necesidad de implementar un
sistema centralizado de recolección de eventos de tal forma que pueda ser utilizado en
tareas de auditoría, análisis de incidencias o como metodología de análisis forense digital,
permitiendo la preservación de la información proporcionada por los diferentes sistemas
críticos de la organización.
4. La presente guía presenta como objeto la implementación de un sistema de repositorio
centralizado de recolección de eventos sobre una plataforma de Windows Server 2008 R2.
También plantea la configuración de los diferentes sistemas con los que puede contar una
organización para la recuperación de sus registros de actividad. Como punto final se
mostrarán diversos ejemplos de análisis de eventos y correlación de los mismos, así como
diversas tareas administrativas para el mantenimiento del servicio.
5. Aunque las tareas de recuperación de eventos basados en suscripciones permiten recuperar
cualquier tipo de eventos, la guía fundamentará la funcionalidad en los eventos de
seguridad. Se proporcionarán, tantos ejemplos para realizar esas tareas, como la
descripción de los eventos de seguridad más significativos que pueden darse en los
sistemas operativos gestionados por la presente guía.
6. La implementación de la solución se ha diseñado para que la implementación sea lo más
restrictiva posible minimizando la superficie de ataque, y por lo tanto, los riesgos que
pudieran existir. Es factible que el uso de determinadas funcionalidades, requieran
modificar las configuraciones de la presente guía en función de cómo se encuentren
implementados los escenarios en la organización.
3. ALCANCE
7. Se toma en consideración en la aplicación del Esquema Nacional de Seguridad, el atender
a una de sus dimensiones de seguridad: la trazabilidad. A través de la aplicación de las
diferentes medidas asignables a dicha dimensión, las organizaciones deberá ser capaces de
saber aquellas acciones permitidas o indebidas que puedan estar dándose en el uso de la
tecnología. Se contempla por lo tanto la necesidad de establecer mecanismos para la
consolidación de los registros, así como para poder analizarlos.
8. La guía se ha elaborado para proporcionar información específica con objeto de realizar
una implementación del servicio de recolección de eventos a través de un sistema
centralizado y la configuración de servidores y clientes para hacer posible dicha recogida.
La implementación del sistema centralizado se realizará en un servidor con sistema
operativo Windows Server 2008 R2 Enterprise. Los diferentes orígenes de eventos podrán
ser sistemas Windows Server 2008 R2 y Windows 7. Se plantea a través de la presenta
guía las posibles operaciones de administración y aquellas acciones que deben ser llevadas
a cabo para el mantenimiento de la solución. Se facilitan también ejemplos para el análisis
y correlación de eventos de seguridad que puedan derivar de una posible incidencia de
seguridad.
9. Este documento incluye:
– Características de los sistemas de recopilación de registros. Completa descripción
del sistema de recolección de registros y el servicio de gestión remota de Windows
(WinRM).
– Consideraciones de seguridad para la recopilación de registros. Definición de los
mecanismos y sistemas necesarios para el aseguramiento y mantenimiento de los
diferentes eventos recopilados.
– Auditoría y eventos de seguridad. Descripción y relación entre el sistema de
auditoría de los sistemas operativos de Microsoft y los diferentes eventos de
seguridad que pueden identificarse por la activación de los mismos.
– Mecanismos para la planificación de configuraciones. Se incorporan mecanismos
para la planificación de las configuraciones de seguridad susceptibles de ello, tales
como las plantillas de seguridad.
– Guía paso a paso. Va a permitir implantar y establecer las configuraciones de
seguridad en el servidor de recolección de logs así como los diferentes clientes de
dicho servicio.
– Guía de administración. Que va a permitir realizar tareas de administración en el
entorno de seguridad establecido.
– Ejemplos de análisis de eventos. Va a permitir a través del análisis de logs, la
interpretación de diferentes incidencias de seguridad tipo.
– Lista de comprobación. Permitirá verificar el grado de cumplimiento de los
servidores y clientes con respecto a las condiciones de seguridad que se establecen en
la presente guía.
15. Esta guía de seguridad no funcionará con hardware que no cumpla con los requisitos de
seguridad mínimos de MS Windows Server 2008 R2 x64 Enterprise. Esto quiere decir que
se requieren equipos con procesadores Intel o AMD de 64 bits (x64), con más de 512 MB
de memoria RAM.
16. La implementación de esta guía tiene en cuenta la existencia de una infraestructura de
Directorio Activo. Ésta se utilizará tanto para la aplicación de los objetos de políticas de
grupo, así como de los procesos de recolección de los eventos y el mantenimiento seguro
de los mismos.
17. Para garantizar la seguridad de los servidores y puestos de trabajo, deberán instalarse las
actualizaciones recomendadas por el fabricante y que se encuentran disponibles a través
del servicio de Microsoft Update.
18. Dependiendo de la naturaleza de las actualizaciones aplicadas sobre los sistemas en
producción, el lector podrá encontrar algunas diferencias con lo descrito en esta guía. Esto
viene motivado por los cambios que, en ocasiones, se realizan para las diferentes
actualizaciones de seguridad.
19. Antes de aplicar esta guía en el entorno de producción, deberá asegurarse de haber probado
en un entorno aislado y controlado donde se habrán ejecutado los diferentes test y cambios
en la configuración que se ajusten a los criterios específicos de cada organización.
20. El espíritu de estas guías no está dirigido a remplazar políticas consolidadas y probadas de
las organizaciones, sino servir como la línea base de seguridad que deberá ser adaptada a
las necesidades propias de cada organización.
– Confidencialidad (C).
– Trazabilidad (T).
24. La presente guía basa su funcionalidad sobre la dimensión de trazabilidad, tomando como
referencia la necesidad de la organización para conocer las condiciones en que se han
producido las diferentes acciones en el uso de la tecnología. Debe tomarse en
consideración que las medidas de trazabilidad no solo son exigibles en el Esquema
Nacional de Seguridad, sino que otras normativas como la Ley Orgánica 15/1999 de
Protección de Datos de Carácter Personal, a través del R.D. 1720/2007 de desarrollo de la
misma, establece la necesidad de mantener un registro de actividades en el tratamiento de
los datos de nivel alto. Por lo tanto, la trazabilidad se establece como uno de los
mecanismos significativos que deben considerar las organizaciones en el tratamiento de los
datos.
25. Como en el caso de la L.O.P.D, la trazabilidad en el ENS es exigida solo en los niveles
más críticos de valoración para los servicios o información supeditados a su cumplimiento
por parte de la Administración Pública, aunque las organizaciones con niveles de
requerimiento de seguridad más bajo podrían tomar en consideración implementar
mecanismos para conocer qué pasa en su organización con respecto a los accesos a
servicios o información. Esto facilitará, en caso de incidencias, afrontar los casos con la
mayor información factible, permitiendo así resolver positivamente las circunstancias que
condujeron al problema y aplicando los mecanismos para que la problemática no se vuelva
a dar.
26. Se considera una medida necesaria conocer qué usuarios han accedido a una determinada
información, quién ha alterado el comportamiento de un servicio o qué usuario con
privilegios administrativos ha modificado la configuración de las cuentas de usuario o
incluso ha podido detener los sistemas de registro de actividad.
27. Dentro de las medidas a implementar y que se recogen en el RD 3/2010, aquellas que de
forma significativa afectan a la dimensión de seguridad de la trazabilidad, se encuentran
definidas en el Marco Operacional de Explotación 8 y el Marco Operacional de
Explotación. 10.
28. Se hace, por lo tanto, necesario registrar y consolidar los accesos realizados por parte de
los usuarios en el manejo de información y servicios de nivel alto, y especialmente de
aquel personal que posea los privilegios para administrar los sistemas tecnológicos de la
organización.
29. La presente guía permite implementar mecanismos proporcionados por los sistemas
operativos Microsoft Windows 2008 R2 y Windows 7 para recuperar y consolidar los
registros que, almacenados en múltiples sistemas, permitirán identificar accesos y acciones
realizadas en los servidores y puestos de trabajo. También se facilita información sobre los
registros que proporcionan los sistemas y cómo tratar dichos datos.
30. Los sistemas aquí definidos son limitados en cuanto a su alcance, puesto que solo registra
información almacenada en los sistemas operativos. Si la organización cuenta con otros
registros adicionales, tales como de aplicaciones Web o Bases de Datos, deberá también
implementar medidas para registrar y consolidar dicha información. Existen en el mercado
diferentes herramientas para la consolidación de registros que podrían ser empleadas en
lugar de los procedimientos descritos en la presente guía. Será la organización la que debe
valorar qué mecanismos deberá emplear, con objeto de garantizar la trazabilidad, tal y
como queda establecido en el Esquema Nacional de Seguridad.
versión 6.0, Windows Eventing, permite una mejora para la gestión de eventos de
seguridad estableciendo un mecanismo de recogida y correlación de los mismos.
35. Windows Eventing 6.0 basa su funcionalidad en un motor de XML que le permite una
mayor escalabilidad y accesibilidad a la que se gestionaba de forma tradicional. Almacena
la información en formato XML, permitiendo que soluciones de terceros puedan acceder a
dicha información, aprovechando las características y potencia de este sistema.
36. Otra de las características que otorgan una potencia mayor al servicio, consiste en la
capacidad de establecer asociaciones administrativas frente a eventos específicos. Esto va a
permitir disponer de un sistema reactivo ante determinados tipos de incidencias. El sistema
que permite estos desencadenadores es la integración del Servicio de Recopilación de
Eventos y el nuevo Programador de Tareas. A través del nuevo asistente contextual, para
cualquier evento generado en el Visor de Sucesos, se permite iniciar un programa, enviar
un correo electrónico o generar un mensaje cuando se dé un tipo de evento específico.
37. Adicionalmente, en el nuevo sistema de eventos, se realiza la incorporación de una nueva
consola que permite la generación de vistas personalizadas y la adopción de un texto
descriptivo mejorado con respecto a la información mostrada en versiones previas.
46. El registro de aplicación contiene los eventos registrados por aplicaciones o programas.
Por ejemplo, un programa de base de datos podría registrar un error de archivo en el
registro de la aplicación. Los programadores deciden en este sentido qué eventos deben
registrarse.
47. El registro de seguridad guarda eventos relativos a la seguridad del sistema o del acceso a
recurso. Esta categoría es una de las más importantes y, como tal, será una de las bases
fundamentales de la presente guía. A partir de Windows Vista puede establecerse qué
grupos de registros es o no necesario tener habilitados dentro de todas las subcategorías
existentes.
48. El registro del sistema contiene los eventos registrados por componentes del sistema de
Windows. Por ejemplo el error cuando se produce la carga de un controlador o hay un
problema en el arranque de Windows.
49. El registro de instalación incluye los eventos relacionados con la instalación de una
aplicación.
50. El registro de eventos reenviados es una nueva funcionalidad que se usa para almacenar
eventos de equipos remotos. Esta funcionalidad opera a través de la suscripción de eventos
y permite almacenar localmente eventos de varios equipos remotos. La suscripción a
eventos especifica los eventos que se van a recopilar así como el registro local en el que se
almacenarán. Una vez que una suscripción está activa y los eventos se encuentren
recopilándose, podrá verlos y hacer uso de ellos tal y como se haría con cualquier otro
evento almacenado de forma local. Este servicio requiere de una configuración especial y
será objeto fundamental de tratamiento en la presente guía.
52. Los registros administrativos están destinados fundamentalmente a los usuarios finales,
administradores y personal de soporte. Los eventos que se encuentran en los canales de
administración indican un problema y una solución definida, de tal forma que un
administrador pueda operar consecuentemente.
53. Los registros administrativos se encuentran correctamente documentados, o bien facilitan
la suficiente información asociada para hallar una solución al problema que se plantea a
través de los eventos.
54. Los eventos de tipo operativo se usan para analizar y diagnosticar un problema o
condición. También se usan para activar herramientas o tareas basadas en el diagnóstico.
55. Los eventos analíticos son registros publicados en grandes volúmenes y describen el
funcionamiento de programas. A menudo indican problemas de alto nivel que un usuario
no puede controlar.
56. Los eventos de depuración son empleados por los programadores para solucionar
problemas con las aplicaciones.
57. Los eventos analíticos y de depuración no son tan fáciles de usar como los eventos
operativos y administrativos. Además, vuelcan mucha información de seguimiento de
problemas que hay que identificar y analizar correctamente.
58. Los registros analíticos y de depuración están ocultos y deshabilitados de forma
predeterminada. Para mostrar los eventos asociados a estos registros debe seleccionarse la
opción correspondiente dentro del menú ver.
59. Puesto que estos registros devuelven mucha información y esto puede implicar un uso
excesivo del sistema, se encuentran deshabilitados de forma predeterminada. Para
activarlos deberán modificarse las propiedades del registro correspondiente y, de ese
modo, será posible recuperar la información pertinente.
62. El problema que planteaba el sistema tradicional era la limitación de capacidad de las
consultas sin ofrecer una capacidad casi real para cruzar eventos en función de múltiples
criterios.
63. El nuevo sistema para filtrado de información se basa en consultas de tipología XPath
ofreciendo como resultado una salida en formato XML.
64. Las vistas personalizadas utilizan el filtrado XML como un mecanismo potente para
realizar minería de datos y mostrar solamente la información deseada. Así, puede llegarse a
un nivel de detalle mucho mayor, personalizando significativamente las consultas que
desean realizarse.
65. Los eventos se representan a través de expresiones XPath, siguiendo una estructura regular.
66. Los eventos mantienen dos elementos principales: System y EventData. El primero
incluye, no solo la información acerca del propio evento sino también el entorno en el que
se generó dicho evento. EventData representa el lugar donde se ubican los parámetros del
evento.
67. La siguiente tabla proporciona la información de las propiedades mostradas habitualmente
en los diferentes eventos.
Nombre de propiedad Descripción
Origen o nombre del Software que registró el evento, que puede ser un nombre de
proveedor programa como "SQL Server", un componente del sistema o un
componente de un programa grande como un nombre de controlador.
Id. de evento Número que identifica el tipo de evento concreto. La primera línea de
la descripción suele contener el nombre del tipo de evento. Por
ejemplo, 6005 es el identificador del evento que se produce al iniciar el
servicio Registro de eventos. La primera línea de la descripción de
este evento es “Se inició el servicio de Registro de eventos”. El
personal de soporte técnico puede utilizar el identificador y el origen
del evento para solucionar problemas del sistema.
Nivel Clasificación de la gravedad del evento. Pueden producirse los
siguientes niveles de gravedad del evento en los registros de la
aplicación y del sistema:
– Información. Indica que se ha producido un cambio en una
aplicación o componente como, por ejemplo, que una operación
se ha completado correctamente, que se ha creado un recurso o
que se ha iniciado un servicio.
– Advertencia. Indica que se ha producido un problema que puede
afectar al servicio o que puede dar lugar a un problema más
grave si no se toman medidas.
– Error. Indica que se ha producido un problema que puede afectar
a la funcionalidad externa a la aplicación o al componente que
desencadenó el evento.
– Crítico. Indica que se ha producido un error del que no puede
recuperarse automáticamente la aplicación o el componente que
desencadenó el evento.
Pueden producirse los siguientes niveles de gravedad del evento en el
registro de seguridad:
– Auditoría de aciertos. Indica que se han aplicado correctamente
los derechos de un usuario.
– Auditoría de errores. Indica que se ha producido un error en el
ejercicio de los derechos de un usuario.
En la vista de lista normal del visor de eventos, cada nivel está
representado por un símbolo.
Usuario Nombre del usuario en cuyo nombre se produjo el evento. Este
nombre es el identificador del cliente si el evento se produjo por un
proceso de servidor, o el ID principal si no se realiza suplantación.
Cuando sea aplicable, las entradas del registro de seguridad
contienen los identificadores principal y de suplantación. La
suplantación se produce cuando un proceso adopta los atributos de
seguridad de otro proceso.
Código operativo Contiene un valor numérico que identifica la actividad o un punto de
una actividad que la aplicación estaba realizando cuando se provocó
el evento. Por ejemplo, la inicialización o el cierre.
Registro El nombre del registro en el que se registró el evento.
Categoría de tarea Se usa para representar un subcomponente o una actividad del
publicador de eventos.
Palabras clave Conjunto de categorías o etiquetas que se pueden usar para filtrar o
buscar eventos. Algunos ejemplos son las de "Red", "Seguridad" o
"Recurso no encontrado".
68. La siguiente tabla enumera las propiedades que se pueden mostrar agregando columnas al
visor de eventos.
Nombre de propiedad Descripción
Id. del proceso Número de identificación del proceso que generó el evento.
Id. de subproceso Número de identificación del subproceso que generó el evento.
Id. de procesador Número de identificación del procesador que procesó el evento.
Id. de sesión Número de identificación de la sesión de Terminal Server en la que
ocurrió el evento.
Tiempo de kernel Tiempo de ejecución transcurrido en instrucciones en modo kernel en
unidades de tiempo de CPU.
Tiempo de usuario Tiempo de ejecución transcurrido en instrucciones en modo de
usuario en unidades de tiempo de CPU.
Tiempo de procesador Tiempo de ejecución transcurrido en instrucciones en modo de
usuario en marcas de la CPU.
Id. de correlación Identifica la actividad en el proceso en el que está implicado el evento.
Este identificador se usa para especificar relaciones simples entre
eventos.
Id. de correlación relativa Identifica una actividad relacionada en un proceso en el que está
implicado el evento.
71. No obstante, para mejores resultados es mucho más útil si las vistas se apoyan en XPath.
Éste permite una mayor versatilidad en las consultas, constituyendo así un mecanismo más
útil para centrar las búsquedas en lo realmente importante. Adicionalmente, ofrece
capacidades para la generación de filtrado basado en condiciones múltiples.
72. No obstante el uso de XML, como mecanismos de filtrado, requiere ciertos conocimientos
de cómo realizar estas consultas de forma adecuada. Realmente, una vista personalizada es
una serie de consultas de tipo XPath que el sistema de eventos utilizará para mostrar la
información.
73. Cada elemento de tipo “Select” presenta una ruta de acceso. Esto indica el registro con el
que se ejecutará la consulta. En el ejemplo anterior puede observarse que se realiza una
búsqueda sobre los eventos de “System”, filtrada a través del proveedor “WacomPen”,
mostrando aquellos eventos de nivel 2. Tal y como se identificó en párrafos previos, el
atributo nivel es la representación numérica del tipo de evento: crítico, error, advertencia o
información.
74. La versatilidad reside en la capacidad de enlazar eventos y realizar búsquedas acordes a las
necesidades. El siguiente ejemplo mostrará, de forma incremental, una vista personalizada
donde se busquen posibles objetos eliminados por los usuarios auditor1 y auditor2.
75. El primero de los pasos consiste en definir la estructura XML. Para ello, se va a mostrar el
proceso de forma esquematizada y a través de diferentes pantallas.
76. En esta primera pantalla, puede observarse cómo se define el canal sobre el que realizar la
consulta: Seguridad. A través de éste, se recogen los resultados de la auditoría de seguridad
de acceso a objetos entre los que se incluye la eliminación de ficheros. Posteriormente, se
identifica sobre qué usuario se quiere realizar la consulta estableciendo como filtro el
atributo „SubjectUserName‟ de la clase „@Name‟ y como dato el nombre del usuario
„Auditor1‟.
77. En la siguiente pantalla, se muestra cómo se agrega un nuevo usuario de tal forma que lo
que se está buscando es la información tanto del usuario auditor1, como del usuario
auditor2. Para ello se hace uso del operador lógico “OR”.
78. Por último, y como solo se están buscando resultados de objetos eliminados, debe
realizarse un filtrado para este tipo de eventos. Para ello, se hace uso del operador “AND”,
estableciendo el análisis sobre los eventos con identificador 4660, que establece que un
objeto ha sido eliminado.
79. La consulta se guardará de tal forma que puede establecerse una jerarquía y una estructura
de búsqueda de acuerdo a las necesidades de la organización.
80. Evidentemente, tal y como se puede intuir, este sistema permite una granularidad y una
capacidad para afinar las búsquedas de tal forma que esta consulta podría incrementarse
para poder llegar a conocer lo que ha podido pasar con un fichero concreto o bien en
fechas específicas. En páginas posteriores, se facilitará la información de eventos de
seguridad que pueden emplearse para construir consultas. Se proporcionarán también a
través de la presenta guía, ejemplos que pueden ser útiles para la organización.
81. Debe tener en cuenta que, aunque el sistema de filtrado para la generación de suscripciones
y vistas personalizadas en el visor de eventos ofrece funcionalidad basada en XPath, ésta
se encuentra limitada con respecto a las especificaciones de la versión 1. Dichas
limitaciones pueden encontrarse en la siguiente URL.
http://msdn.microsoft.com/en-
us/library/windows/desktop/dd996910(v=vs.85).aspx#limitations
89. La arquitectura de recolección de eventos requiere de un almacén central que será utilizado
como repositorio de todos los eventos recopilados desde los sistemas origen. Para la
implementación de este repositorio se podría emplear tanto Windows 7 como Windows
Server 2008 R2, aunque la recomendación es Windows Server 2008 R2 por la eficiencia en
la arquitectura de servidor y la escalabilidad que éste puede proporcionar frente a un
sistema operativo de puesto de trabajo.
90. Aunque, dependiendo del volumen, este almacén central podrá ser o no un sistema
dedicado. Por recomendaciones de seguridad y escalabilidad, se recomienda la
implementación en un servidor exclusivo para este servicio. La presente guía establecerá
Windows Server 2008 R2 como almacén central y sistema dedicado.
91. El mínimo sistema operativo que puede ser origen de datos es Windows XP SP2. Los
equipos deberían tener al menos el servicio de WinRM 1.1, aunque es aconsejable la
implementación de la versión 2.0. La siguiente tabla muestra la versión por defecto que
incorporan las diferentes versiones de sistemas operativos de Microsoft.
Sistema Operativo Versión WinRM por defecto
92. Existen versiones instalables para Windows 2003/R2 de WinRM 1.1 y WinRM 2.0. Para
Windows Vista y Windows 2008 existe versión instalable de WinRM 2.0. La versión de
WinRM 2.0 incluye de forma adicional Windows Powershell 2.0. Existen versiones
instalables de WinRM 3.0 para Windows 7 y Windows 2008 R2.
108.Con objeto de limitar el tráfico de red en el reenvío de los eventos, y evitando colapsos de
los sistema, puede definirse qué eventos se recopilarán a través de un filtro de consulta
personalizable mediante el uso de XPath. Esto es sumamente importante, ya que constituye
el punto clave en la estrategia de la organización para que el servicio sea o no eficiente.
Recopilar todos los eventos de todos los sistemas, aunque resulta factible, supone, además
del inevitable colapso, un problema para analizar correctamente la información existente.
Debe tenerse en cuenta que el sistema de recopilación de logs almacena los eventos en
carpetas comunes y luego, posteriormente, deberán establecerse vistas personalizadas para
la búsqueda de información. Si el conjunto de datos recopilados es excesivo, los resultados
no serán adecuados.
109.Si no se define lo contrario, los eventos serán almacenados de forma predeterminada en el
contenedor de eventos reenviados.
116.No obstante, para que el servicio pueda trabajar en modo HTTPS, el servidor necesita un
certificado válido. Éste debe ser de tipo “Autenticación de Servidor”, su nombre debe
corresponder con el nombre cualificado del servidor y deberá estar vigente y no revocado.
El sistema no permite el uso de certificados autofirmados, por lo que dicho certificado
deberá ser emitido a través de una entidad certificadora autorizada. En el caso de que se
fuerce el transporte en HTTP, pero no haya un certificado válido para el servicio de
WinRM los datos no serán cifrados.
117.Otro de los mecanismos de seguridad, que se deben emplear para garantizar una
comunicación segura, es la limitación a través la configuración de las direcciones IP o
redes que podrán establecer comunicación con el servidor. De esta forma, se limita el
acceso impidiendo que un potencial atacante, desde un sistema ajeno al propio servicio,
pueda acceder de forma remota al mismo. La organización podrá establecer, como
estrategia fundamental de seguridad, un filtrado a través del Firewall de Windows.
118.La presenta guía empleará este mecanismo, basado en la aplicación de políticas de grupo,
para una mayor protección en los accesos remotos al servicio. Adicionalmente, la
configuración del Firewall de Windows se empleará también para limitar el acceso remoto,
no solo para el conjunto de direcciones IP válidas sino estableciendo el filtro para el acceso
a los puertos exclusivamente necesarios. El puerto predeterminado de escucha para la
versión WinRM 2.0 es el TCP 5985 para comunicaciones HTTP y TCP 5986 para
comunicaciones HTTPS. Las versiones anteriores empleaban el puerto 80 para
comunicaciones HTTP y 443 para las comunicaciones HTTPS. En caso de compatibilidad
de un servidor Windows 2008 R2 con clientes ejecutando versiones previas de WinRM,
como la 1.1, deberá habilitarse la escucha de compatibilidad y establecer las excepciones
correspondientes a través del firewall.
119.Otros de los puntos importantes, dentro de la configuración del sistema de WinRM, lo
constituye el proceso de autenticación. Aunque exista un sistema basado en Web, éste va
completamente autenticado. Existen diferentes posibilidades admitidas para el proceso de
autenticación:
– Autenticación básica.
– Autenticación digest.
– CredSSP (Credential Security Support Provider).
– Autenticación negociada.
– Kerberos.
– Con certificado de cliente.
– Token de canal.
120.En el modelo de autenticación debe tenerse en cuenta la compatibilidad entre el cliente
WinRM y el servicio WinRM. Una configuración errónea impedirá una comunicación
correcta entre el cliente que reenvía los eventos y el servidor encargado de su recepción.
121.En la seguridad establecida en la presente guía y, con motivo de que la implementación de
los sistemas se basa en una arquitectura de dominio, se empleará el mecanismo de
autenticación Kerberos. Adicionalmente a que ofrece las mejores garantías de seguridad en
los procesos de autenticación de entornos Windows, aporta la capacidad nativa de que el
proceso de intercambio de información a través de WinRM se realice cifrando los datos.
132.Los eventos de inicio de sesión tienen como objetivo determinar cuándo una instancia de
inicio o cierre de sesión se ha establecido en un equipo. Existe una diferencia importante
entre este tipo de eventos y los de tipo de inicio y cierre de cuenta. Estos últimos se
establecen, para cuentas de dominio o eventos, cuando se produce un inicio o cierre de
sesión con una cuenta de tipo remota. Así, por ejemplo, cuando un usuario de dominio
inicie sesión en una máquina, se establecerá un registro de eventos a nivel local como
evento de inicio de sesión y como un inicio de sesión de cuenta en los controladores de
dominio.
133.Los eventos de inicio de sesión de cuenta establecen instancias de inicio o cierre de sesión
de cuenta en otro equipo distinto del utilizado para validar la cuenta. Por ejemplo, cuando
un usuario de dominio inicia una sesión en un equipo, queda registrada esta acción en el
controlador de dominio.
134.Los eventos de administración de cuentas permiten determinar quién está realizando
cambios en las cuentas de usuario, grupos de seguridad o incluso un uso indebido de
credenciales administrativas.
135.La auditoría de acceso a objetos recoge el más amplio espectro de registros de sucesos.
Abarcan servicios tan diferentes como el acceso a ficheros o carpetas, el registro o la base
de datos de seguridad. El sistema permite la supervisión de objetos siempre y cuando se
tengan habilitados las SACL (listas de control de acceso al sistema) correspondientes.
136.Los eventos relacionados con el uso de privilegios permiten determinar quién está
haciendo uso de una serie de derechos concedidos para poder interactuar con el propio
sistema. Entre estos pueden incluirse los correspondientes a la realización de copias de
seguridad o poder cambiar la hora del equipo.
137.Los eventos de seguimiento de procesos, se utilizan fundamentalmente para procesos de
depuración de aplicaciones o la resolución de problemas del sistema o de las aplicaciones y
servicios que se ejecutan en el mismo. Hay que tener precaución al habilitar esta auditoría
debido a la gran cantidad de eventos que se generan, que pueden llegar a saturar el fichero
de registros, descartando eventos esenciales.
138.Los eventos de sucesos del sistema controlan cuándo se inicia o se apaga un equipo y todos
aquellos sucesos relacionados con la seguridad del sistema o el propio registro de
seguridad. Estos eventos son altamente críticos ya que reportan información que afectan a
la seguridad general de todo el equipo.
139.La auditoría de cambios de directivas permite determinar cuándo se realizan cambios en
las políticas. Esta acción es sensible sobre todo en lo que respecta a la propia auditoría,
puesto que si la auditoría de cambios de directivas no se encontrara auditada, una persona
podría cambiar el plan de auditoría, pudiendo realizar así una acción que no quedara
correctamente registrada. Esta categoría, activada, permitirá que los eventos recogidos
muestren, al menos, que una cuenta determinada ha cambiado la configuración de la
auditoría de seguridad.
140.El problema tradicional de la auditoría consistía en que no se podía realizar sobre
elementos específicos sino sobre el conjunto de elementos de la categoría. Así, cuando se
establecía una auditoría de eventos de inicio de sesión, no podía establecerse la
diferenciación entre el inicio o el cierre de la sesión. Era obligatorio, por tanto, auditar
todas las subcategorías.
141.Sin embargo, desde Windows Vista se introdujo un nuevo modelo de auditoría
denominado GAP (Directivas de Auditoría Granular). Mediante GAP es factible habilitar o
deshabilitar subcategorías dentro del conjunto principal de la categoría. De esta forma, se
pueden dimensionar mejor los registros de auditoría, afinando más qué auditar o qué no
auditar. Evidentemente, esta funcionalidad no aplica a versiones anteriores, como
Windows 2003 o Windows XP.
142.El control de las subcategorías se puede realizar a través de la aplicación “Auditpol.exe”,
pudiendo así controlarse qué elementos de la auditoría se encuentran habilitados o no.
143.Los siguientes subapartados recogen la información de las categorías, así como las
diferentes subcategorías en las que se dividen las principales. Deberá tenerse en cuenta que
estas no son de aplicación para Windows Server 2003.
144.Habilitar o deshabilitar determinadas subcategorías puede realizarse a través de políticas de
grupo, mediante la configuración de directiva de auditoría avanzada.
173.En caso de tener que aplicar diferentes políticas de grupo, por criterios de categorización, a
diferentes tipos de sistemas que se encuentren dentro de una misma unidad organizativa,
podrán aplicarse mediante filtros por pertenencia a grupo. Podrá tomarse como ejemplo el
modo en el que se aplican las políticas en la presente guía.
Con esta guía, se entrega una política de seguridad que será aplicada según procedimiento a los
servidores Windows 2008 R2 que cumplan con el rol de recolectores de eventos.
CCN-STIC-899 Recolector de eventos
Configuración de seguridad
Servicios del sistema
Recopilador de eventos de Windows (Modo de inicio: Automático)
Permisos
Auditoría
Auditoría
Directiva Configuración
Reglas de entrada
Nombre Descripción
Habilitado Verdadero
Programa Cualquiera
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 6
Grupo
escuchas
Filtro IPv4: *
Filtro IPv6:
Sintaxis:
Escriba "*" para permitir mensajes de cualquier dirección IP o deje el campo vacío para no escuchar en ninguna dirección
IP. Puede especificar uno o varios intervalos de direcciones IP.
2.0.0.1-2.0.0.20, 24.0.0.1-24.0.0.22
3FFE:FFFF:7654:FEDA:1245:BA98:0000:0000-3FFE:FFFF:7654:FEDA:1245:BA98:3210:4562
Con esta guía, se entrega una política de seguridad que será aplicada según procedimiento a los
servidores Windows 2008 R2 que sean orígenes de eventos.
CCN-STIC-899 Orígenes de eventos Servidores Windows 2008 R2
Configuración de seguridad
Servicios del sistema
Administración remota de Windows (WS-Management) (Modo de inicio: Automático)
Permisos
Auditoría
Directiva Configuración
Nombre Descripción
Habilitado Verdadero
Programa Cualquiera
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 6
Perfil Todo
Grupo
escuchas
Filtro IPv4: *
Filtro IPv6:
Sintaxis:
Escriba "*" para permitir mensajes de cualquier dirección IP o deje el campo vacío para no escuchar en ninguna dirección
IP. Puede especificar uno o varios intervalos de direcciones IP.
2.0.0.1-2.0.0.20, 24.0.0.1-24.0.0.22
3FFE:FFFF:7654:FEDA:1245:BA98:0000:0000-3FFE:FFFF:7654:FEDA:1245:BA98:3210:4562
Con esta guía, se entrega una política de seguridad que será aplicada según procedimiento a los
clientes Windows 7 que sean orígenes de eventos.
CCN-STIC-899 Orígenes de eventos clientes Windows 7
Configuración de seguridad
Grupos restringidos
Auditoría
Directiva Configuración
Directiva Configuración
Directiva Configuración
Directiva Configuración
Reglas de entrada
Nombre Descripción
Habilitado Verdadero
Programa Cualquiera
Acción Permitir
Equipos autorizados
Usuarios autorizados
Protocolo 6
Perfil Todo
Grupo
Plantillas administrativas
Definiciones de directiva (archivos ADMX) recuperados del equipo local.
Componentes de Windows/Administración remota de Windows (WinRM)/Cliente WinRM
escuchas
Filtro IPv4: *
Filtro IPv6:
Sintaxis:
Escriba "*" para permitir mensajes de cualquier dirección IP o deje el campo vacío para no escuchar en ninguna dirección
IP. Puede especificar uno o varios intervalos de direcciones IP.
2.0.0.1-2.0.0.20, 24.0.0.1-24.0.0.22
3FFE:FFFF:7654:FEDA:1245:BA98:0000:0000-3FFE:FFFF:7654:FEDA:1245:BA98:3210:4562
conexiones de red
Este anexo se ha diseñado para ayudar a los operadores a implementar un servidor de recolección
de eventos, así como los diferentes sistemas de origen de datos con los que puede contar la
organización.
Paso Descripción
6. El script creará los grupos necesarios para la aplicación posterior de políticas de grupos y de
los que se deberá hacer miembros a los equipos correspondientes. Una vez iniciado el script,
pulse una tecla para continuar.
Paso Descripción
8. Abra la herramienta de usuarios y equipos de Active Directory. Para ello vaya al “Menú inicio \
herramientas administrativas \ usuarios y equipo de Active Directory.”
Paso Descripción
14. En la nueva ventana abierta marque el tipo de objeto “equipos” y desmarque el resto.
.
Una vez introducidos pulse el botón “Aceptar”.
Paso Descripción
16. Una vez que se han agregado el o los servidores, pulse el botón “Aceptar”.
17. A continuación, acceda a las propiedades del grupo “origen de eventos 2008R2” que
encontrará en la carpeta “Users”. Haga miembros del nuevo grupo al servidor o servidores
Windows Server 2008 R2 de los que se van a recoger eventos. Para ello siga el mismo proceso
realizado en los pasos 11 a 16 previos, agregando en este caso los servidores Windows Server
2008 R2, que serán origen de eventos.
Nota: No olvide incluir en dicho grupo a los servidores controladores de dominio si desea recuperar
también los eventos de seguridad de los mismos. Esta opción es totalmente aconsejable.
18. A continuación, acceda a las propiedades del grupo “origen de eventos W7” que encontrará en
la carpeta “Users”. Haga miembros del nuevo grupo a los puestos de trabajo Windows 7 de los
que se van a recoger eventos. Para ello, siga el mismo proceso realizado en los pasos 11 a 16
previos agregando en este caso los puestos de trabajo Windows 7 que serán origen de datos.
19. Vaya a la carpeta contenedora “Builtin”.
Paso Descripción
20. Seleccione el grupo “Lectores del registro de eventos” y haga doble clic sobre él para acceder a
sus propiedades.
21. En la nueva ventana abierta, vaya a la pestaña miembros y seleccione la opción “Agregar…”.
.
Una vez introducido pulse el botón “Aceptar”.
23. La cuenta deberá quedar agregada tal y como aparece en la siguiente pantalla.
Paso Descripción
24. A continuación deberá hacerse miembro del mismo grupo al servidor o servidores de
recolección de logs. Para ello, vuelva a pulsar el botón agregar para añadir una nueva cuenta.
25. En la pantalla de selección de usuarios, contactos, equipos o cuentas de servicio o grupo,
pulse el botón “Tipos de objeto…”.
.
Una vez introducidos los nombres de los servidores pulse el botón “Aceptar”.
Paso Descripción
28. Pulse finalmente el botón “Aceptar” para hacer efectivos los cambios.
31. Introduzca, cuando se le solicite, la cuenta y contraseña de un administrador con los privilegios
suficientes para poder administrar el dominio.
Paso Descripción
A continuación, proceda a realizar los pasos siguientes para crear, configurar y asignar los
objetos GPOs correspondientes. Hasta que se indique lo contrario, los contenedores a los que
se hará referencia serán subcontenedores de este contenedor recién expandido (<nombre de
su dominio>).
Nota: En el laboratorio empleado para la creación de la guía su nombre es “dominio.local”.
33. Expanda y seleccione el contenedor “Objetos de directiva de grupo”. Marcando con el botón
derecho en él elija la opción “Nuevo” del menú contextual que aparecerá.
34. Asigne el siguiente nombre a la nueva política GPO que se está creando: “CCN-STIC-899
Recolector de eventos”.
Paso Descripción
35. Una vez creada la nueva política, se va a proceder a importar la política de seguridad
correspondiente. Para ello, sobre la nueva política creada y pulsando botón derecho sobre la
misma, seleccione la opción “Importar configuración…”.
37. Pulse “Siguiente >” en la pantalla para la realización de copia de seguridad de GPO.
Paso Descripción
Paso Descripción
41. En la pantalla de Objetos de directiva de grupo con copia de seguridad, pulse “Siguiente >”.
Nota: Si existe un error y no se identifican políticas para la importación, compruebe que en la carpeta
“c:\scripts\recolector de eventos” exista el fichero “manifest.xml”. Éste es un fichero oculto y protegido
del sistema, por lo tanto, habilite las opciones de carpeta necesarias para poder ver todos los ficheros. Si
no encuentra dicho fichero, vaya nuevamente al DVD que tendrá en su poder para la aplicación de guías o
en la descarga realizada, y copie el fichero “manifest.xml” correspondiente. En caso de ocurrir este
problema, se dará también en las otras tres políticas de grupo que deberán crearse en pasos posteriores.
Paso Descripción
Paso Descripción
44. Una vez que se haya completado el proceso de importación, pulse el botón “Aceptar”.
45. Se va a proceder a modificar la política creada para importar la plantilla de seguridad y realizar
la configuración del firewall para los equipos correspondientes. Para ello, pulse botón derecho
sobre la política “CCN-STIC-899 Recolector de eventos” y seleccione la opción “Editar…”.
Paso Descripción
Paso Descripción
50. Pulse el botón “Sí” de la advertencia que aparecerá indicando si desea importar ahora una
directiva.
51. Seleccione el fichero “CCN-STIC-899 Firewall recolector de eventos.wfw” que encontrará en la
carpeta “C:\scripts\recolector de eventos”, y pulse sobre “Abrir”.
Paso Descripción
52. Una vez importada la configuración, aparecerá un mensaje indicando “Directiva correctamente
importada”. Pulse el botón “Aceptar”.
53. Se deberá proceder, a continuación, a asegurar el acceso al servicio WinRM del servidor de
recolección de eventos. Debe tener en cuenta el direccionamiento IP empleado en su
organización o bien las direcciones IP de todos los sistemas de los que se van a recolectar
eventos. Para ello, despliegue “Firewall de Windows con seguridad avanzada” y pulse en
“Reglas de entrada”.
54. Pulse el botón derecho del ratón sobre la regla “WinRM recolector de eventos” y seleccione la
opción “Propiedades”.
Paso Descripción
57. En la pantalla de Dirección IP deberá indicar la dirección IP de uno de los sistemas de los que
se recopilará eventos. Y luego deberá pulsar “Aceptar”.
58. Agregue tantas direcciones IP como sea necesario hasta incluir todas las direcciones IP de
sistemas desde los que serán orígenes de eventos.
Nota: Aunque es factible agregar todo un conjunto de intervalos de direcciones IP o múltiples subredes,
esto implica ampliar la posibilidad de conexión más de lo necesario. Utilice estas opciones solo en el caso
de que el número de orígenes de eventos pueda ser indeterminado o bien vaya a agregar con posterioridad
múltiples sistemas.
59. Una vez agregadas todas las direcciones IP necesarias, deberá pulsar el botón “Aceptar” para
que la configuración sea efectiva.
Paso Descripción
60. Ya puede cerrar el editor de administración de directivas de grupo de la política sobre la que ha
realizado la importación y modificación de la configuración del firewall.
61. Puesto que la nueva política debe aplicarse exclusivamente a los servidores que vayan a
cumplir con el rol de recolector de eventos y ésta se encuentra vinculada a una unidad
organizativa donde se pueden encontrar numerosos servidores, se va establecer un filtro para
que aplique solo al grupo de servidores correspondientes, que fue creado en pasos previos de
este mismo anexo.
Para ello deberá seleccionar la política “CCN-STIC-899 Recolector de eventos”.
62. Deberá modificarse el filtrado de seguridad, en la pestaña de ámbito, para que la política se
aplique sobre el grupo “Recolectores de eventos” y no sobre el grupo “Usuarios autenticados”
como se hace de forma predeterminada.
Para realizar esa modificación, seleccione el grupo “Usuarios autenticados” y pulse el botón
“Quitar”.
Paso Descripción
64. A continuación deberá agregarse el grupo “recolectores de eventos”. Para ello pulse el botón
“Agregar…”
65. En la nueva ventana que aparece, escriba “recolectores de eventos” y pulse “Aceptar”.
Paso Descripción
68. Asigne el siguiente nombre a la nueva política GPO que se está creando: “CCN-STIC-899
Orígenes de eventos Servidores Windows 2008 R2”.
Paso Descripción
73. Seleccione la carpeta “c:\scripts\origen de eventos servidores Windows 2008 R2” y pulse
“Aceptar”.
Paso Descripción
Paso Descripción
81. Seleccione el fichero “CCN-STIC-899 Origen de eventos 2008 R2.inf” que encontrará la carpeta
“c:\scripts\origen de eventos servidores Windows 2008 R2” y pulse el botón “Abrir”.
86. Una vez importada la configuración aparecerá un mensaje indicando “Directiva correctamente
importada”. Pulse el botón “Aceptar”.
Paso Descripción
87. Se deberá proceder, a continuación, a asegurar el acceso, al servicio WinRM, de los servidores
de orígenes de datos para permitir el acceso el desde servidor de recolección de eventos.
Deberá conocer, para ello, la dirección IP del servidor o servidores de recolección de eventos.
Despliegue “Firewall de Windows con seguridad avanzada” y pulse en “Reglas de entrada”.
88. Pulse botón derecho sobre la regla “Conexión a WinRM desde recolector de eventos” y
seleccione la opción “Propiedades”.
Paso Descripción
93. Agregue tantas direcciones IP como sea necesario hasta incluir todas las direcciones IP de
servidores que, con el rol de recolectores de logs, vaya a tener la organización.
94. Una vez agregadas todas las direcciones IP necesarias, deberá aceptar la configuración para
que ésta sea efectiva.
95. Ya puede cerrar el editor de administración de directivas de grupo de la política sobre la que ha
realizado la importación y modificación de la plantilla.
96. Puesto que la nueva política debe aplicarse exclusivamente a los servidores Windows 2008 R2
que van a ser orígenes de datos y ésta se encuentra vinculada a una unidad organizativa
donde se pueden encontrar numerosos servidores, se va establecer un filtro para que aplique
solo al grupo de servidores correspondientes. Este grupo fue creado en pasos previos de este
mismo anexo. Para proceder deberá seleccionar la política “CCN-STIC-899 Orígenes de
eventos Windows 2008 R2”.
Paso Descripción
97. Deberá modificarse el filtrado de seguridad en la pestaña de ámbito para que la política se
aplique sobre el grupo “Origen de eventos 2008 R2” y no al grupo “Usuarios autenticados”
como se hace de forma predeterminada.
Para realizar esa modificación, seleccione el grupo de “Usuarios autenticados” y pulse el botón
“Quitar”.
Paso Descripción
101. En el caso de que la organización cuente con clientes Windows 7 y desee recuperar eventos
de los mismos, deberá crear una política específica para ellos. Siga con el siguiente paso.
En el caso de que la organización no cuente con clientes Windows 7 o bien no vaya a
recuperar eventos de los mismos, salte al paso 137.
102. Expanda y seleccione el contenedor “Objetos de directiva de grupo”. Marcando con el botón
derecho en él, elija la opción “Nuevo” del menú contextual que aparecerá.
103. Asigne el siguiente nombre a la nueva política GPO que se está creando: “CCN-STIC-899
Orígenes de eventos clientes Windows 7”.
Paso Descripción
Paso Descripción
Paso Descripción
117. Seleccione el fichero “CCN-STIC-899 Origen de eventos W7.inf” que encontrará la carpeta
“c:\scripts\origen de eventos clientes Windows 7” y pulse el botón “Abrir”.
Paso Descripción
122. Una vez importada la configuración, aparecerá un mensaje indicando “Directiva correctamente
importada”. Pulse el botón “Aceptar”.
123. Se deberá proceder, a continuación, a asegurar el acceso al servicio WinRM de los servidores
de orígenes de datos para permitir el acceso al servidor de recolección de eventos. Deberá
conocer, para ello, la dirección IP del servidor o servidores de recolección de eventos.
Despliegue “Firewall de Windows con seguridad avanzada” y pulse en “Reglas de entrada”.
Paso Descripción
124. Pulse botón derecho sobre la regla “Conexión a WinRM desde recolector de eventos” y
seleccione la opción “Propiedades”.
Paso Descripción
129. Agregue tantas direcciones IP como sea necesario hasta incluir todas las direcciones IP de
servidores que, con el rol de recolectores de logs, vaya a tener la organización.
130. Una vez agregadas todas las direcciones IP necesarias, deberá aceptar la configuración para
que ésta sea efectiva.
131. Ya puede cerrar el editor de administración de directivas de grupo de la política sobre la que ha
realizado la importación y modificación de la plantilla.
132. Puesto que la nueva política debe aplicarse exclusivamente a los clientes Windows 7 que van a
ser orígenes de datos y ésta se encuentra vinculada a una unidad organizativa donde se
pueden encontrar numerosos clientes, se va establecer un filtro para que aplique solo al grupo
de clientes correspondientes, que fue creado en pasos previos de este mismo anexo.
Para ello deberá seleccionar la política “CCN-STIC-899 Orígenes de eventos clientes
Windows 7”.
Paso Descripción
133. Deberá modificarse el filtrado de seguridad en la pestaña de ámbito, para que la política se
aplique sobre el grupo de Origen de eventos W7 y no al grupo de usuarios autenticados como
se hace de forma predeterminada.
Para realizar esa modificación, seleccione el grupo de “Usuarios autenticados” y pulse el botón
“quitar”.
Paso Descripción
136. En la nueva ventana que aparece, escriba el grupo de “Origen de eventos W7” y pulse aceptar.
Paso Descripción
140. Nuevamente sobre la unidad organizativa de “Servidores” pulse botón derecho y seleccione la
opción “Vincular un GPO existente…”.
Paso Descripción
141. Seleccione la política “CCN-STIC-899 Orígenes de eventos Servidores 2008 R2” y pulse el
botón “Aceptar”.
142. Seleccione la política “CCN-STIC-899 Orígenes de eventos Servidores Windows 2008 R2” que
ha vinculado y cambie el orden pulsando el icono de “Subir” hasta situarse al menos en un
orden de vínculo por encima de la política “CCN-STIC-851A Incremental Servidores miembro
alto”.
Paso Descripción
143. Para que los controladores de dominio Windows 2008 R2 se puedan configurar como orígenes
de eventos, deberá vincular la política “CCN-STIC-899 Orígenes de eventos Servidores 2008
R2” en la unidad organizativa correspondiente. Marque la unidad organizativa de
“Controladores de dominio” pulse botón derecho y seleccione la opción “Vincular un GPO
existente…”.
144. Seleccione la política “CCN-STIC-899 Orígenes de eventos Servidores 2008 R2” y pulse el
botón “Aceptar”.
Paso Descripción
145. Seleccione la política “CCN-STIC-899 Orígenes de eventos Servidores Windows 2008 R2” que
ha vinculado y cambie el orden pulsando el icono de “Subir” hasta situarse al menos en un
orden de vínculo por encima de la política “CCN-STIC-851A Incremental Controladores de
Dominio alto”.
146. En el caso de tener clientes Windows 7 de los que desea recoger eventos, deberá vincular la
política de orígenes de datos de clientes Windows 7. Seleccione la Unidad Organizativa con los
equipos clientes Windows 7, desde los que desea recoger eventos, pulse botón derecho y
seleccione la opción “Vincular un GPO existente…”.
Paso Descripción
Paso Descripción
149. Las políticas ya se encuentran creadas y asignadas de forma correcta a los servidores y
clientes a los que corresponden.
Nota: Tenga en cuenta que si los servidores y clientes que pueden ser orígenes de eventos, se encuentran
en otras unidades organizativas diferentes a las definidas en las guías, deberá vincular las políticas de
seguridad necesarias en dichas ubicaciones.
150. Ya puede cerrar las consolas abiertas y eliminar la carpeta “c:\scripts” del controlador de
dominio.
151. Inicie sesión con una cuenta de administrador en el servidor que vaya a asumir el rol de
recolector de eventos.
152. Cree el directorio “C:\scripts”.
153. Copie los ficheros existentes en la carpeta “Recolector de eventos” asociados a esta guía en
la carpeta “c:\scripts”.
154. Si el servidor se encontraba iniciado, reinícielo. Esto permitirá que se asuma la pertenencia al
grupo “Recolectores de eventos” generado en el punto primero de este anexo y que se le
aplique la política necesaria para este rol de servidor.
155. Inicie sesión con una cuenta de administrador de dominio.
156. Ejecute con permisos de administrador (opción “Ejecutar como administrador”) el script “CCN-
STIC-899 Recolector de eventos – Paso 1.bat”. Para ello, visualice la carpeta “c:\scripts” en el
explorador de Windows, marque con el botón derecho el script y seleccione la opción
“Ejecutar como administrador” del menú contextual, como se muestra en la siguiente figura:
Paso Descripción
158. Cuando aparezca la ejecución del script, pulse una tecla para continuar.
159. A la pregunta “¿Desea realizar estos cambios [y/n]?” responda escribiendo “n” y pulsando la
tecla “Enter”.
Paso Descripción
160. Del mismo modo que en el paso anterior, ejecute con permisos de administrador (opción
“Ejecutar como administrador”) el script “CCN-STIC-899 Recolector de eventos – Paso 2.bat”.
162. Cuando aparezca la ejecución del script, pulse una tecla para continuar.
Paso Descripción
163. A la pregunta “El modo de inicio del servicio se cambiará a retrasar el inicio. ¿Desea continuar
(S – sí o N –no)?”, introduzca “S” y pulse la tecla “Enter”.
166. Inicie sesión con una cuenta de administrador en el servidor Windows Server 2008 R2 que
vaya a asumir el rol de origen de eventos.
167. Cree el directorio “C:\scripts”.
168. Copie los ficheros existentes en la carpeta “Origen de eventos servidores 2008 R2” asociados
a esta guía en la carpeta “c:\scripts”.
169. Si el servidor se encontraba iniciado, reinícielo. Esto permitirá que se asuma la pertenencia al
grupo “Origen de eventos 2008R2” generado en el primer punto de este anexo y que se le
aplique la política necesaria para este rol de servidor.
170. Inicie sesión con una cuenta de administrador de dominio.
Paso Descripción
171. Ejecute con permisos de administrador (opción “Ejecutar como administrador”) el script “CCN-
STIC-899 Origen eventos Servidor 2008 R2 – Paso 1.bat”. Para ello, visualice la carpeta
“c:\scripts” en el explorador de Windows, marque con el botón derecho el script y seleccione la
opción “Ejecutar como administrador” del menú contextual, como se muestra en la siguiente
figura:
173. Cuando aparezca la ejecución del script, pulse una tecla para continuar.
Paso Descripción
174. A la pregunta “¿Desea realizar estos cambios [y/n]?” responda escribiendo “n” y pulsando la
tecla “Enter”.
Paso Descripción
177. Cuando aparezca la ejecución del script, pulse una tecla para continuar.
Paso Descripción
179. A continuación, introduzca el nombre del equipo con el rol de recolector de eventos. Pulse la
tecla “Enter” para continuar la ejecución de script.
180. El script se habrá ejecutado. Pulse una tecla para continuar y cerrar la consola.
181. El servidor se encontrará ya correctamente configurado. Borre la carpeta “c:\scripts” y cierre
sesión.
182. Reinicie el Servidor Windows Server 2008 R2.
183. Inicie sesión con una cuenta de administrador en el Cliente Windows 7 que vaya a asumir el rol
de origen de eventos.
184. Cree el directorio “c:\scripts”.
185. Copie los ficheros existentes en la carpeta “Origen de eventos cliente W7” asociados a esta
guía en la carpeta “c:\scripts".
186. Si el cliente se encontraba iniciado, reinícielo. Esto permitirá que se asuma la pertenencia al
grupo “Origen de eventos W7” generado en el primer punto de este anexo y que se le aplique
la política necesaria para este rol de cliente.
187. Inicie sesión con una cuenta de administrador de dominio.
Paso Descripción
188. Ejecute, con permisos de administrador (opción “Ejecutar como administrador”), el script “CCN-
STIC-899 Origen eventos Clientes W7 – Paso 1.bat”. Para ello, visualice la carpeta “c:\scripts”
en el explorador de Windows, marque con el botón derecho el script y seleccione la opción
“Ejecutar como administrador” del menú contextual como se muestra en la siguiente figura:
Paso Descripción
190. Cuando aparezca la ejecución del script, pulse una tecla para continuar.
191. A la pregunta “¿Desea realizar estos cambios [y/n]?” responda escribiendo “n” y pulsando la
tecla “Enter”.
Paso Descripción
194. Cuando aparezca la ejecución del script, pulse una tecla para continuar.
Paso Descripción
196. Ejecute, con permisos de administrador (opción “Ejecutar como administrador”), el script “CCN-
STIC-899 Origen eventos Clientes W7 – Paso 3.bat” que se encuentra también en la carpeta
c:\scripts. Para ello, pulse con el botón derecho el script y seleccione la opción “Ejecutar como
administrador” del menú contextual como se muestra en la siguiente figura.
198. Cuando aparezca la ejecución del script, pulse una tecla para continuar.
Paso Descripción
200. A continuación introduzca el nombre del equipo con el rol de recolector de eventos. Pulse la
tecla “Enter” para continuar la ejecución de script.
201. El script se habrá ejecutado, pulse una tecla para continuar y cerrar la consola.
1. CREACIÓN DE SUSCRIPCIONES
Los pasos que se describen a continuación se realizarán en un servidor de recolección de
eventos.
Paso Descripción
Paso Descripción
5. Pulse con el botón derecho sobre el módulo de suscripciones y seleccione la opción “Crear
suscripción…”.
Paso Descripción
7. A continuación se deberán indicar los equipos de origen de eventos de los cuales se deberá
recuperar la información. Para ello, deberá pulsar el botón “Seleccionar equipos…” en el tipo de
suscripción “Iniciada por el recopilador”.
Paso Descripción
9. Introduzca el nombre del equipo y pulse el botón aceptar. Si desconoce el nombre exacto,
puede usar “Opciones avanzadas…” para realizar la búsqueda de equipos.
10. EI equipo quedará asociado a la suscripción. En el ejemplo, los eventos de inicio de sesión de
administrador de dominio quedan recogidos en los controladores de dominio, por lo tanto,
debería agregar todos los controladores de dominio de la organización.
Paso Descripción
11. Si desea probar si la conexión con el equipo para el envío de la suscripción es satisfactoria,
seleccione el equipo y pulse el botón “Probar”.
En caso de problema, evalúe la posible incidencia. Las causas más probables son que al
equipo no se le haya aplicado la política correspondiente, que pueda haber un problema en la
configuración del firewall o bien que el servicio de “Administración remota de Windows (WS-
Management)” del sistema origen de eventos no se encuentra iniciado. Este servicio se
encuentra definido de forma automática para su arranque, pero en modo de inicio retrasado.
Paso Descripción
16. El primero de los filtros debe establecer el origen de los eventos, en este caso de seguridad.
Para ello, despliegue la lista “Registro de eventos” de la opción “Por registro” y marque la
opción “Registros de Windows > Seguridad” tal y como se muestra a continuación.
Paso Descripción
18. Por último y puesto que el objetivo es identificar un usuario concreto, se debe establecer el filtro
de usuario. La circunstancia es que este elemento no puede introducirse directamente en el
campo usuario puesto que los eventos de inicio de sesión no utilizan este campo para indicar el
usuario que ha iniciado la sesión. Es un dato, dentro del evento, el que refleja esta información
y requiere generar la consulta de forma manual en formato XPath tal y como se trató en el
punto 5.3 de la presente guía. Para ello, vaya a la pestaña XML.
Paso Descripción
19. Marque la opción “Editar consulta manualmente”. Aparecerá una ventana de advertencia
indicando que una vez activa esta opción, no podrá modificarla usando los controles que se
habían empleado previamente. Pulse el botón “Sí” para continuar.
20. La siguiente imagen muestra la consulta construida hasta la fecha con los datos introducidos
en la ficha de filtro.
21. Modifique la consulta para que quede tal y como se muestra a continuación. Esta consulta la
podrá copiar del fichero ejemplo_xpath_admin.txt. Este fichero se encuentra en la carpeta de
ejemplos que acompaña a los scripts de la presente guía.
Paso Descripción
24. Para comprobar que la suscripción está funcionando y ha sido entregada a los equipos
correspondientes, puede comprobar el tiempo de ejecución de la misma. Pulse con el botón
derecho la suscripción creada y utilice la opción “Estado en tiempo de ejecución”.
Paso Descripción
25. Si hay algún problema recibirá un mensaje de error como el siguiente. El ejemplo mostrado en
la siguiente imagen se debe a un problema de acceso porque la cuenta de “Servicio de red” no
ha sido incluida en el grupo correspondiente. También podrían darse problemas porque la
consulta no haya sido creada correctamente.
28. Una vez que las suscripciones se encuentran activas, éstas se recogerán en el nodo de
“Registros de Windows > Eventos reenviados” del visor de eventos.
Paso Descripción
30. En la información pueden identificarse datos interesantes como los siguientes: fecha y hora del
evento, equipo donde se ha producido, usuario, pertenencia de la misma a un dominio, en este
caso al dominio “Dominio” y corresponde a un inicio de sesión de cuenta.
31. Puesto que toda la información recogida (ésta y la de múltiples eventos de éste y otros
servidores) quedará almacenada en el mismo contenedor “Eventos reenviados”. Sería
interesante crear vistas personalizadas para cribar la información y poder tener diferenciada la
misma en base a categorías. Para ello, y a través del visor de eventos, deberá dirigirse al
componente de “Vistas personalizadas”.
Paso Descripción
32. Pulsando con el botón derecho sobre “Vistas personalizadas” seleccione la opción “Crear vista
personalizada…”.
33. El asistente es similar al utilizado para la creación del filtro en la suscripción. El método más
rápido consiste ir a la ventana de “XML”, seleccionar la opción “Editar consulta manualmente” e
introducir la consulta empleada en la suscripción. Nótese, no obstante, que hay una serie de
cambios a realizar con respecto al filtro de la suscripción. En este caso, el “Path” (origen de
datos) corresponde a “ForewardedEvents” (Eventos reenviados), en contraposición a “Security”
(Seguridad) empleado en el filtro de la suscripción. Esto es debido a que en la suscripción los
eventos se recuperan de la carpeta de seguridad de los sistemas de origen, lugar donde se
dejan todos los eventos de seguridad. Sin embargo, las vistas van a mostrar los eventos ya
recuperados y que se alojan, por lo tanto, en la carpeta de “Eventos reenviados”. Siguiendo con
el ejemplo previo, se generará una vista de inicios de sesión con la cuenta de dominio “Admin”.
Paso Descripción
35. Se mostrará una ventana para introducir un nombre que permita identificar la vista
personalizada y definir la ruta donde se almacenará. Introduzca, en primer lugar, el nombre y
descripción de la vista.
36. Para mantener una estructura ordenada de los eventos, puede generar un árbol de carpetas
donde almacenar las vistas. Puede generar la estructura en función de sus necesidades. En
este sentido y para el ejemplo, se va a crear una carpeta con el nombre de “Inicios de sesión”.
Para ello pulse el botón “Nueva carpeta”.
Paso Descripción
41. Una de las posibilidades que permite el sistema, es la realización de una acción ante la
generación de un evento en una vista personalizada. Éstas pueden ser básicas o avanzadas.
En primera instancia, se va mostrar cómo se genera una acción de tipo básica. Para ello, en la
vista correspondiente deberá pulsar con el botón derecho y seleccionar la opción “Adjuntar
tarea a esta vista personalizada…”.
Paso Descripción
42. En el inicio del asistente, asigne un nombre a la tarea y pulse “Siguiente >”.
43. Puesto que la vista tenía personalizado el filtro, no puede establecerse ninguna modificación en
el asistente para la ventana de registro de eventos. Pulse el botón “Siguiente >” para continuar.
Paso Descripción
44. A continuación, indique la acción a realizar cuando se genera el evento. En esta circunstancia,
se empleará “Enviar un correo electrónico” para anunciar al auditor el proceso de un inicio de
sesión indebido. Una vez seleccionada la opción adecuada, pulse el botón “Siguiente >”.
45. Introduzca la información de envío de correo electrónico indicando el origen y destinatarios, así
como el asunto y el texto descriptivo. Agregue también la información de un servidor SMTP
válido para el envío de los correos. Una vez introducida la información, pulse “Siguiente >” para
continuar.
Nota: Deberá configurar correctamente el servidor de correo electrónico para aceptar correos del servidor
de recolección de eventos. Esto requerirá la configuración del servicio SMTP en la plataforma de correo
que será empleada por este módulo.
Paso Descripción
46. Pulse el botón “Finalizar” para cerrar el asistente y crear la acción correspondiente.
Paso Descripción
48. En el caso de una necesidad más compleja, como la generación de una acción ante un
conjunto de desencadenadores diversos, la generación básica de una tarea no será válida. Sí
se puede crear una tarea más avanzada, aunque ésta no se puede generar desde el visor de
eventos, sino desde la herramienta de tareas programadas. Para acceder a la misma, se
deberá invocar desde el Menú inicio -> Todos los programas -> Herramientas
administrativas -> Programador de tareas.
49. Introduzca las credenciales de un administrador para poder cargar el Programador de tareas.
Paso Descripción
50. Despliegue la “Biblioteca del Programador de Tareas” y podrá ver dos carpetas una
correspondiente a las tareas del sistema y otra propia del Visor de Eventos. Pulse sobre esta
última.
Podrá observar que se creó una tarea básica, como la definida en los anteriores pasos, ésta se
encontrará aquí ubicada. Si quiere eliminarla o bien modificarla, lo podrá realizar desde esta
ubicación.
51. Para crear una tarea avanzada, seleccione la opción “Crear tarea…” tal y como se remarca en
la siguiente imagen.
Paso Descripción
Paso Descripción
56. Dentro del desplegable “Iniciar la tarea:” defina la correspondiente a “Al producirse un evento”.
Paso Descripción
57. La configuración del desencadenador (inicio) de la tarea, podrá ser básica (asignación de un
único identificador de evento) o bien personalizada, donde podrá definirse un filtro siguiendo las
mismas pautas de generación que las definidas en el punto 2 del presente anexo. Para ello y
una vez seleccionada la configuración en “Personalizada”, deberá pulsarse el botón “Nuevo
filtro de evento…”.
58. En el filtro de evento, se podrá hacer uso del asistente gráfico o bien de la construcción
avanzada del filtro a través de XPath. Cree el filtro que necesite. La guía, en este punto, define
exclusivamente el proceso a seguir pero no define un ejemplo por ser considerado un hecho
particular para cada organización. Si quiere crear solo un ejemplo para ver su funcionalidad,
puede hacer uso del ejemplo de XPath empleado en el filtro de la vista personalizada del
presente anexo.
59. Una vez creado el filtro, podrá cerrar el desencadenador pulsando el botón “Aceptar”. A
continuación, podrá agregar tantos desencadenadores como sean necesarios para el
cumplimiento de los objetivos. Si quiere crear nuevos desencadenadores, siga los pasos
nuevamente, desde el número 54, volviendo a generar un nuevo desencadenador.
Paso Descripción
60. Una vez agregados los desencadenadores necesarios, vaya a la pestaña de “Acciones”.
61. Cree una nueva acción pulsando el botón “Nueva…”.
62. Seleccione la acción “Enviar un correo electrónico” y rellene todos los campos necesarios.
63. Pulse el botón “Aceptar” cuando haya completado todos los campos necesarios.
64. Por último, vaya a la pestaña de “Configuración”.
Paso Descripción
Este anexo se ha diseñado para ayudar a los operadores en la realización de determinadas tareas,
de índole administrativa, relacionadas con la recolección y consolidación de eventos. Aunque la
mayor parte de operaciones son realizadas en los servidores de recolección de eventos,
determinadas de ellas serán de aplicación en el dominio a través de la modificación de las
políticas de grupo. Se indicará, al iniciar cada proceso, donde será de aplicación cada operativa a
llevar a efecto.
Paso Descripción
Paso Descripción
Nota: En versiones previas a Windows 2008, el valor máximo recomendado para la suma de todos los
registros era de 300 MB. En Windows 2008 R2 el valor máximo recomendado es de 4 GB por fichero. No
supere nunca este tamaño para el registro de eventos reenviados. Como dato adicional, debe tener en
cuenta también que la tasa de registros máximos de eventos por segundo que puede gestionarse es de
5000.
6. Para mantener los ficheros recolectados, cuando se haya superado el tamaño máximo
especificado, se establecerá la opción de “Archivar el registro cuando esté lleno; no sobrescribir
eventos”. Esto permitirá almacenar el fichero lleno en la misma ruta donde se almacenen los
registros reenviados, especificándose de forma automática un nombre donde se incluye la
fecha y hora del mismo. A partir de ese momento, se recreará un nuevo registro con los nuevos
eventos recuperados.
Paso Descripción
Paso Descripción
11. Seleccione la unidad donde vaya a ubicar la nueva ruta del fichero de eventos reenviados y,
sobre ella (en la imagen siguiente se encuentra vacía ya que es un disco nuevo), pulse botón
derecho y seleccione la opción “Nuevo -> Carpeta”.
13. A continuación se modificarán los permisos para que el visor de eventos pueda crear el fichero
y escribir los eventos, pero no puedan acceder usuarios no autorizados. Para ello acceda a las
propiedades de la carpeta pulsando con el botón derecho del ratón y seleccionando la opción
“Propiedades”.
Paso Descripción
Paso Descripción
Paso Descripción
20. A continuación, se van a modificar los permisos existentes. Para ello, en la pantalla de
seguridad, pulse el botón “Editar”.
Nota: Si la carpeta tuviese usuarios adicionales, deberá eliminar todos aquellos usuarios a los que desee
restringir el acceso a la carpeta.
Paso Descripción
22. A continuación, deberá agregarse el grupo de “Servicio Local” con permisos de modificar,
puesto que es la cuenta que gestiona el servicio del visor de eventos. Para ello, pulse el botón
“Agregar…”.
23. Pulse el botón “Ubicaciones…”, puesto que la cuenta de usuario a agregar no es de dominio,
sino del servidor de recolección de eventos.
Paso Descripción
25. En el apartado del nombre de objeto, escriba “Servicio local” y pulse el botón “Aceptar”.
26. Seleccione el grupo “Servicio local” y marque la opción “Permitir” del permiso “Modificar”.
Paso Descripción
27. A continuación, se deberán asignar permisos al grupo de auditores del dominio. Para ello,
vuelva a pulsar el botón “Agregar…”.
28. Pulse el botón “Ubicaciones…”, puesto que el grupo de auditores a agregar es miembro del
dominio.
29. Seleccione su dominio y pulse “Aceptar”.
30. En el apartado del nombre de objeto, escriba “Auditores” y pulse el botón “Aceptar”.
31. Deje los permisos de auditores tal cual aparecen y pulse el botón “Aceptar” para hacer
efectivos los nuevos permisos.
Paso Descripción
32. Pulse el botón “Aceptar”, nuevamente, para aceptar el cambio en las propiedades de la
carpeta.
33. Cierre el explorador de Windows.
34. Acceda al visor de eventos, para ello escriba en la ayuda “eventvwr” y pulse la tecla “Enter”.
Paso Descripción
36. Una vez abierta la herramienta, despliegue la carpeta “Registros de Windows” y pulsando
botón derecho sobre “Eventos reenviados” seleccione la opción de “Propiedades”.
37. En la pantalla de propiedades, cambie el valor de la “Ruta del registro”. Ponga la ruta completa
y no olvide indicar un nombre de fichero con la extensión .evtx.
Paso Descripción
39. Si aparece una advertencia de que el sistema no puede encontrar la ruta especificada, será
debido a que ha escrito mal la ruta y ésta no existe. Si aparece indicada una advertencia de
acceso denegado, puede ser debido a que no ha asignado correctamente los permisos.
Compruebe los mismos para ver que están asignados, tal y como se detallan en este
procedimiento. Si no existe ninguna advertencia, el cambio será efectivo. Puede comprobar
que, en la nueva ruta asignada, se habrá creado el nuevo fichero especificado.
40. Este fichero se encontrará vacío. Los antiguos eventos habrán quedado almacenados en los
ficheros de la antigua ruta. Que de forma predeterminada es:
c:\windows\system32\winevents\logs\forwardedevents.evtx.
41. Inicie sesión en el servidor de recolección de eventos con una cuenta administrador.
42. Acceda al visor de eventos. Para ello, escriba en la ayuda “eventvwr” y pulse la tecla “Enter”.
Paso Descripción
44. Una vez abierta la herramienta, seleccione, del panel de “Acciones”, la opción “Abrir registro
guardado…”.
45. Seleccione el fichero que desea abrir. En el ejemplo, se va a seleccionar el antiguo fichero de
eventos reenviados que quedó después de que se produjera el cambio en la ruta mostrado en
el punto anterior de este mismo anexo.
Paso Descripción
47. Asigne un nombre identificativo a este registro para que pueda localizarlo en la consola del
visor de eventos. Si lo desea, puede crear una carpeta para separar los diferentes eventos.
Pulse el botón “Aceptar” para finalizar.
48. Los eventos almacenados, podrá consultarlos en la nueva ruta, dentro de los “Registros
guardados”.
49. Estos registros, podrá tratarlos como el resto de eventos, pudiendo hacer vistas personalizadas
de los mismos para identificar un detalle o acción concreta.
50. Inicie sesión en el servidor de recolección de eventos, con una cuenta administrador.
51. Deberá tener un certificado de autenticación de servidor con el nombre DNS del servidor de
recolección de eventos en el contenedor de certificados del equipo. Este certificado no puede
ser de tipo autofirmado y, por tanto, deberá haber sido emitido por una entidad certificadora, en
la cual confíe el servidor, para que pueda ser válido. Los orígenes de datos también deberán
confiar en dicha entidad certificadora y tener certificado de autenticación emitido a su nombre
DNS. La presente guía no define el procedimiento de creación de certificados. La siguiente
imagen, muestra un certificado válido empleado en el escenario de ejemplo por el ServidorAC.
52. Cuando el certificado se encuentre ubicado en el equipo, inicie una sesión de comandos con
privilegios de administrador.
Paso Descripción
53. En el intérprete de comandos abierto, escriba:” winrm quickconfig –transport:https” tal y como
se muestra en la imagen y pulse la tecla “Enter”.
En caso de recibir un error como el que se muestra en la siguiente imagen, será debido a que
no existe un certificado válido para emplear en el servicio WinRM. Revise los certificados para
comprobar que existe un certificado de equipo o de autenticación de servidor con el mismo
nombre completo del equipo y que confía en la entidad certificadora que lo ha emitido.
54. A la pregunta que solicita la configuración de WinRM, pulse la tecla “y” y seguidamente la tecla
“Enter”.
Paso Descripción
59. Introduzca, cuando se le solicite, la cuenta y contraseña de un administrador con los privilegios
suficientes para poder administrar el dominio.
A continuación, proceda a realizar los pasos siguientes con el objeto de modificar la política
existente para los servidores de recolección de logs. Hasta que se indique lo contrario, los
contenedores a los que se hará referencia serán subcontenedores de este contenedor recién
expandido (<nombre de su dominio>).
Paso Descripción
62. Pulse con el botón derecho la política “CCN-STIC-899 Recolector de eventos” y seleccione la
opción “Editar”.
Paso Descripción
63. Despliegue el menú hasta llegar a las reglas de entradas del firewall con seguridad avanzada
que encontrará en:
Configuración del equipo -> Directivas -> Configuración de Windows -> Configuración de
seguridad -> Firewall de Windows con seguridad avanzada -> Reglas de entrada
64. Edite la regla “WinRM recolector de eventos” pulsando botón derecho sobre ella y
seleccionando la opción “Propiedades”.
Paso Descripción
66. Modifique el puerto local para incluir el puerto SSL empleado por WinRM. El valor deberá
quedar así: “5985, 5986”.
Paso Descripción
74. Introduzca las credenciales con privilegios de administración del dominio cuando se le solicite.
Paso Descripción
75. Escriba “gpupdate /force” y pulse la tecla “Enter" para forzar la aplicación de los cambios
realizados en la política.
Nota: Esta operación de actualización de política de grupo, deberá realizarse también en los sistemas
orígenes de eventos Windows Server 2008 R2 y Windows 7 para que se le aplique la nueva configuración
de Firewall.
Paso Descripción
79. Vaya a la carpeta de suscripciones y acceda a las propiedades de las suscripciones para
modificar el protocolo. Para ello pulse, sobre la suscripción deseada, el botón derecho y
seleccione la opción “Propiedades”.
Paso Descripción
81. En “Protocolo” despliegue y seleccione “HTTPS”. Compruebe que el puerto queda establecido
en “5986”.
Paso Descripción
86. Modifique todas las suscripciones para las que desee establecer una comunicación de tipo
HTTPS.
87. Cierre el visor de eventos y por último la sesión del servidor.
Paso Descripción
88. Inicie sesión en el servidor de recolección de eventos con una cuenta administrador.
89. Acceda al visor de eventos. Para ello, escriba en la ayuda “eventvwr” y pulse la tecla “Enter”.
Paso Descripción
91. Vaya a la carpeta de suscripciones y saque las propiedades de las suscripciones para
modificar el protocolo. Para ello pulse, sobre la suscripción deseada, el botón derecho y
seleccione la opción “Propiedades”.
Paso Descripción
96. Abra el Firewall de Windows con seguridad avanzada. Para ello, siga la siguiente ruta:
Paso Descripción
98. Expanda el nodo “Firewall de Windows con seguridad avanzada / Reglas de entrada”. Se habrá
creado la regla “Administración remota de Windows (HTTP de entrada)”.
99. Pulse botón derecho sobre la regla “Administración remota de Windows (HTTP de entrada)” y
seleccione la opción “Propiedades”.
Paso Descripción
104. Agregue tantas direcciones IP como sea necesario hasta incluir todas las direcciones IP de
servidores o clientes que, con el rol de orígenes de eventos, vaya a tener la organización.
105. Una vez agregadas todas las direcciones IP necesarias, deberá aceptar la configuración para
que ésta sea efectiva.
106. Ya puede cerrar el editor del firewall de Windows.
107. A continuación, en la consola del visor de eventos, seleccione la suscripción, abra el menú
contextual con el botón derecho y pulse sobre “Reintentar”. Posteriormente, vuelva a mostrar el
menú contextual y compruebe el estado de la suscripción seleccionando “Estado en tiempo de
ejecución”.
Paso Descripción
109. De forma predeterminada, el número de elementos de entrega por lotes al mismo tiempo es de
5. Aunque es un valor adecuado, puede modificarse dicho valor para permitir una entrega
mayor. Para ello, deberá iniciar un intérprete de comandos con privilegios de administrador.
112. Inicie sesión en un controlador de dominio con una cuenta administrador de dominio.
113. Inicie la herramienta de administración de directivas de grupo. Dicha herramienta la localizará
en la ruta siguiente:
114. Introduzca, cuando se le solicite, la cuenta y contraseña de un administrador con los privilegios
suficientes para poder administrar el dominio.
Paso Descripción
A continuación, proceda a realizar los pasos siguientes con el fin de modificar la política
existente para los servidores de recolección de logs. Hasta que se indique lo contrario, los
contenedores a los que se hará referencia serán subcontenedores de este contenedor recién
expandido (<nombre de su dominio>).
116. Despliegue el contenedor de “Objetos de directivas de grupo”.
117. Pulse con el botón derecho la política “CCN-STIC-899 Recolector de eventos” y seleccione la
opción “Editar”.
Paso Descripción
118. Despliegue el menú hasta llegar a las reglas de entradas del firewall con seguridad avanzada
que encontrará en la siguiente ruta:
Configuración del equipo -> Directivas -> Configuración de Windows -> Configuración de
seguridad -> Firewall de Windows con seguridad avanzada -> Reglas de entrada
119. Pulse botón derecho sobre “Reglas de entrada” y seleccione la opción “Nueva regla”.
Paso Descripción
121. En el panel de programas, seleccione “Esta ruta de acceso del programa:” y escriba
“%SystemRoot%\System32\svchost.exe”.
Paso Descripción
123. Marque la opción “Aplicar a este servicio” y seleccione el servicio “Llamada a procedimiento
remoto (RPC)”.
Paso Descripción
Paso Descripción
Paso Descripción
131. Introduzca la dirección IP del puesto de trabajo Windows 7 que va a realizar conexión remota al
visor de eventos del servidor de recolección de logs.
Paso Descripción
133. Si va a realizarse el acceso desde más de un puesto de trabajo, introduzca las direcciones IP
necesarias empleando los pasos previos.
134. Pulse el botón “Siguiente >” para continuar el asistente.
Paso Descripción
139. Una vez creada la regla del asignador de extremos de RPC, deberá crearse una nueva regla
para permitir el acceso al servicio de registro remoto de eventos. Para ello, pulse de nuevo el
botón derecho sobre “Reglas de entrada” y seleccione la opción “Nueva regla”.
140. En el asistente, seleccione “Personalizada” y pulse el botón “Siguiente >”.
Paso Descripción
141. En el panel de programas, seleccione “Esta ruta de acceso del programa:” y escriba lo
siguiente:
“%SystemRoot%\System32\svchost.exe”.
Paso Descripción
143. Marque la opción “Aplicar a este servicio” y seleccione el servicio “Registro de eventos de
Windows”.
Paso Descripción
147. En “Puerto local:” despliegue y seleccione la opción “Puertos dinámicos RPC” y en puerto
remoto deje “Todos los puertos”.
Paso Descripción
151. Introduzca la IP del puesto de trabajo Windows 7 que va a realizar la conexión remota al visor
de eventos del servidor de recolección de logs.
Paso Descripción
153. Si va a realizarse el acceso desde más de un puesto de trabajo, introduzca las direcciones IP
necesarias empleando los pasos previos.
154. Pulse el botón “Siguiente >” para continuar el asistente.
Paso Descripción
Paso Descripción
163. En la ayuda, escriba “cmd” y, en la aplicación que aparecerá, pulse botón derecho y seleccione
la opción “Ejecutar como administrador”.
Paso Descripción
165. En el intérprete de comandos abiertos, escriba “gpupdate /force” y pulse la tecla “Enter”.
170. Seleccione la opción “Deseo escribir mis credenciales en la pantalla de autenticación del inicio
de Windows para completar esta acción”.
171. Presione control + alt + suprimir.
172. Introduzca las credenciales de un administrador de dominio.
173. En el visor de eventos abiertos, pulse con el botón derecho sobre el componente “Visor de
eventos (local)” y seleccione la opción “Conectarse a otro equipo…”.
Paso Descripción
176. Podrá observar, en la carpeta de “Eventos reenviados”, todos los eventos recolectados en el
servidor. No podrá, sin embargo, administrar las suscripciones.
Este anexo se ha diseñado para mostrar diferentes ejemplos de filtros construidos y que pueden
ayudar bien a buscar diferentes eventos de seguridad en la organización, a través de las
suscripciones, o bien a mostrar información a través de las vistas personalizadas. Debe tenerse en
cuenta que determinados valores, empleados en los filtros, son propios del escenario creado para
genera la guía. Por lo tanto, deberá adaptar los valores a las necesidades de su organización.
Adicionalmente a los ejemplos aquí mostrados, tiene también el ejemplo de acceso con la cuenta
de administrador, empleado como ejemplo en el Anexo de construcción de suscripciones y vistas
personalizadas.
El evento con identificador 5145 establece la conectividad con un recurso compartido en red
accesible por un usuario. Identifica, además, si se puede conceder el acceso deseado al cliente.
El elemento “Sharename” con el dato “\\*\confidencial” establece que en la consulta analizará
los accesos al recurso de red “confidencial” que el servidor origen de eventos tendrá compartido.
El elemento “AccessMask” con el dato “0x10080” establece un acceso de tipo eliminación.
Debe recordar que, para que estos eventos sean recuperables, deberá haberse establecido una
auditoría sobre la carpeta compartida “Confidencial”. Para ello, deberá realizar los siguientes
pasos.
Paso Descripción
1. Inicie sesión en el servidor origen de datos que tenga la carpeta compartida que desea auditar.
2. Inicie el explorador de Windows.
3. Acceda a las propiedades del recurso compartido correspondiente. Para ello, pulse con el
botón derecho en la carpeta correspondiente y seleccione la opción “Propiedades”.
Paso Descripción
Paso Descripción
10. Agregue a los usuarios o grupo de usuarios que desee añadir. Si quiere a todos los usuarios
escriba el grupo “Usuarios del dominio” y pulse el botón “Aceptar”.
Paso Descripción
11. A continuación, establezca los controles de auditoría que quiera auditar. Estos se corresponden
con permisos. Si solo desea controlar la eliminación de ficheros o carpetas, que es el objeto de
filtro de los eventos, active los accesos que aparecen en la siguiente imagen. Una vez definidos
los accesos, pulse el botón “Aceptar”.
El evento con identificador 5136 indica una modificación de objeto del servicio de directorio
(Directorio Activo).
El elemento “ObjectClass” con el dato GroupPolicyContainer” establece que el filtro
corresponde a objetos GPO dentro de todos los posibles elementos existentes en el servicio de
directorio.
En el caso de que se desee realizar una búsqueda concreta de un usuario, podrá utilizarse la
consulta que puede recuperar del fichero
“03_cambio_contraseña_por_usuario_consulta_usuario.txt”.
A diferencia del ejemplo anterior, en éste se establece un filtro para el campo “TargetUserName”
donde se buscan exclusivamente cambios de contraseña realizados por el usuario “usuario1”.
En este sentido, ya como planteamiento de estrategia de gestión de credenciales podría
plantearse la recuperación de todos los eventos relativos a cambios de contraseña mediante
subscripción. Posteriormente, establecer vistas personalizadas, bajo demanda, para cuando
existan incidencias relacionadas con una cuenta y poder realizar así búsquedas concretas.
En el caso de que se desee realizar una búsqueda concreta de un usuario, podrá utilizarse la
consulta que puede recuperar del fichero
“04_cambio_contraseña_de_usuario_consulta_usuario.txt”.
A diferencia del ejemplo anterior, en éste se establece un filtro para el campo “TargetUserName”
donde se buscan exclusivamente cambios de contraseña realizadas en la cuenta del usuario
“usuario1”.
La pestaña “General” muestra la información relativa al evento de una forma descriptiva. Sin
embargo, en esta circunstancia la pestaña que interesa es la de detalles, puesto que muestra los
campos por los que realizar los filtros.
Aunque podrían extraerse otros datos importantes, como la fecha y hora del evento
(TimeCreated), el dato más significativo corresponde al identificador del evento. En este caso,
corresponde con el “5145”. La representación en el filtro es:
*[System[(EventID=5145)]]
El otro elemento dentro del filtro, que hay que buscar, es el que corresponde al dato. En este
caso, el dato corresponde a accesos al recurso compartido c$. Analizando los datos relativos al
evento, puede identificarse claramente tanto el nombre del campo como el resultado.
Tal y como se identifica en el código de ejemplo, el filtro para el recurso compartido quedaría
como se muestra a continuación.
*[EventData[Data[@Name='ShareName'] = '\\*\c$']]
El sistema de consulta permitiría agregar otras condiciones como la dirección IP de origen del
acceso (IpAaddress) o el usuario que la realiza (SubjectUserName)."
Este anexo se ha diseñado para ayudar a los operadores a verificar que se han aplicado las
distintas configuraciones de seguridad en los servidores que implementan el servicio de
recolección de logs y los diferentes sistemas de orígenes de eventos.
En primer lugar, deberá iniciar sesión en un controlador de dominio con una cuenta de usuario
que tenga privilegios de administración en el dominio. En esta fase, se comprobará la
configuración del directorio activo con respecto a la configuración de elementos necesarios para
la funcionalidad del servicio de recolección de eventos.
Posteriormente, se deberán realizar las comprobaciones en el servidor de recolección de eventos,
así como en cada uno de los diferentes orígenes de eventos que pudieran existir en la
organización.
Las consolas y herramientas que se utilizarán son las siguientes:
– En el controlador de dominio:
Explorador de Windows (explorer.exe).
Usuarios y equipos de Active Directory (dsa.msc).
Administrador de directivas de grupo (gpmc.msc).
– En el servidor de recolección de eventos:
Explorador de Windows (explorer.exe).
Intérprete de comandos.
Servicios (services.msc).
Consola de visor de eventos.
– En los servidores y clientes orígenes de eventos:
Explorador de Windows (explorer.exe).
Intérprete de comandos
Servicios (services.msc).
Administrador de usuarios y grupos locales (lusrmgr.msc).
Los siguientes pasos ayudan a verificar la correcta configuración del dominio en el que se ha
desplegado el sistema de recolección de eventos.
Comprobación OK/NOK Cómo hacerlo
1. Inicie sesión en un En uno de los controladores de dominio, inicie sesión con una
controlador de cuenta que tenga privilegios de administración del dominio.
dominio.
2. Verifique que el Ejecute la herramienta “Usuarios y Equipos de Directorio Activo”.
grupo de seguridad Inicio Herramientas administrativas Usuarios y equipos
global “Recolectores de Active Directory
de eventos” existe en
Seleccionando la carpeta “Users”, verifique que existe un grupo
el dominio.
de seguridad global denominado “Recolectores de eventos”. El
sistema solicitará elevación de privilegios.
3. Verifique que el Ejecute la herramienta “Usuarios y Equipos de Directorio Activo”.
servidor de Inicio Herramientas administrativas Usuarios y equipos
recolección de de Active Directory
eventos es miembro
Acceda a las propiedades del grupo “Recolectores de eventos”.
del grupo
Compruebe que el servidor o los servidores de recolección de
“Recolectores de
eventos son miembros del grupo.
eventos”
4. Verifique que el Ejecute la herramienta “Usuarios y Equipos de Directorio Activo”.
grupo de seguridad Inicio Herramientas administrativas Usuarios y equipos
global “Origen de de Active Directory
eventos 2008R2”
Seleccionando la carpeta “Users”,, verifique que existe un grupo
existe en el dominio.
de seguridad global denominado “Origen de eventos 2008R2”.
5. Verifique que los Ejecute la herramienta “Usuarios y Equipos de Directorio Activo”.
servidores de origen Inicio Herramientas administrativas Usuarios y equipos
de eventos Windows de Active Directory
2008 R2 son
Acceda a las propiedades del grupo “Origen de eventos
miembros del grupo
2008R2”. Compruebe que los servidores Windows 2008 R2 que
“Origen de eventos
son orígenes de eventos son miembros del grupo.
2008R2”
6. Verifique que el En el caso de que cuente con clientes Windows 7 como orígenes
grupo de seguridad de eventos, ejecute la herramienta” Usuarios y Equipos de
global “Origen de Directorio Activo”.
eventos W7” existe Inicio Herramientas administrativas Usuarios y equipos
en el dominio. de Active Directory
Seleccionando la carpeta “Users”, verifique que existe un grupo
de seguridad global denominado “Origen de eventos W7”.
10. Verifique los valores Utilizando el editor de directiva de grupo, verifique que la
de la directiva del directiva “CCN-STIC-899 Recolector de eventos” tiene los
perfil del dominio del siguientes valores en la directiva del perfil de dominio del Firewall
Firewall de Windows dentro de:
de la directiva “CCN- CCN-STIC-899 Recolector de eventos \ Configuración del
STIC-899 Recolector equipo \ Directivas \ Configuración de Windows \
de eventos”. Configuración de seguridad \ Firewall de Windows con
seguridad avanzada \ Firewall de Windows con seguridad
avanzada \ Reglas de entrada
11. Verifique los valores Utilizando el “editor de objetos de directiva de grupo”, verifique
de los servicios del que la directiva “CCN-STIC-899 Recolector de eventos” tiene los
sistema de la siguientes valores de servicios de sistema dentro de:
directiva “CCN-STIC- Directiva CCN-STIC-899 Recolector de eventos \
899 Recolector de Configuración del equipo\ Directivas \ Configuración de
eventos”. Windows \ Configuración de seguridad \ Servicios del
sistema
13. Verifique los valores Utilizando el “editor de directivas de grupo”, verifique que la
de la configuración directiva “CCN-STIC-899 Recolector de eventos” tiene los
de servicio WinRM siguientes valores en las directivas de servicio WinRM de:
“CCN-STIC-899 Directiva CCN-STIC-899 Recolector de eventos \
Recolector de Configuración del equipo \ Directivas \ Plantillas
eventos”. administrativas \ Componentes de Windows \ Administración
remota de Windows (WinRM) \ Servicio WinRM
16. Verifique los valores Utilizando el “editor de directivas de grupo”, verifique que la
de la directiva del directiva “CCN-STIC-899 Orígenes de eventos Servidores
perfil del dominio del Windows 2008 R2” tiene los siguientes valores en la directiva del
Firewall de Windows perfil de dominio del Firewall dentro de:
de la directiva “CCN- CCN-STIC-899 Orígenes de eventos Windows Servidores
STIC-899 Orígenes 2008 R2\ Configuración del equipo \ Directivas \
de eventos Configuración de Windows \ Configuración de seguridad \
Servidores Windows Firewall de Windows con seguridad avanzada \ Firewall de
2008 R2”. Windows con seguridad avanzada \ Reglas de entrada
17. Verifique los valores Utilizando el “editor de objetos de directiva de grupo”, verifique
de los servicios del que la directiva “CCN-STIC-899 Orígenes de eventos Servidores
sistema de la Windows 2008 R2” tiene los siguientes valores de servicios de
directiva “CCN-STIC- sistema dentro de:
899 Servidores Directiva CCN-STIC-899 Orígenes de eventos Servidores
Orígenes de eventos Windows 2008 R2\ Configuración del equipo\ Directivas \
Servidores Windows Configuración de Windows (WinRM) \ Configuración de
2008 R2”. seguridad \ Servicios del sistema
19. Verifique los valores Utilizando el editor de directiva de grupo, verifique que la
de la configuración directiva “CCN-STIC-899 Orígenes de eventos Servidores
del servicio WinRM Windows 2008 R2” tiene los siguientes valores en las directivas
“CCN-STIC-899 de asignación del servicio WinRM de:
Orígenes de eventos Directiva CCN-STIC-899 Orígenes de eventos Servidores
Servidores Windows Windows 2008 R2\ Configuración del equipo \ Directivas \
2008 R2”. Plantillas administrativas \ Componentes de Windows \
Administración remota de Windows \ Servicio WinRM
22. Verifique los valores Utilizando el “editor de directivas de grupo”, verifique que la
de la directiva del directiva “CCN-STIC-899 Orígenes de eventos Clientes Windows
perfil del dominio del 7” tiene los siguientes valores en la directiva del perfil de dominio
Firewall de Windows del Firewall dentro de:
de la directiva “CCN- CCN-STIC-899 Orígenes de eventos Windows Clientes
STIC-899 Orígenes Windows 7\ Configuración del equipo \ Directivas \
de eventos Clientes Configuración de Windows \ Configuración de seguridad \
Windows 7”. Firewall de Windows con seguridad avanzada \ Firewall de
Windows con seguridad avanzada \ Reglas de entrada
23. Verifique los valores Utilizando el “editor de objetos de directiva de grupo”, verifique
de los servicios del que la directiva “CCN-STIC-899 Orígenes de eventos Clientes
sistema de la Windows 7” tiene los siguientes valores de servicios de sistema
directiva “CCN-STIC- dentro de:
899 Servidores Directiva CCN-STIC-899 Orígenes de eventos Clientes
Orígenes de eventos Windows 7\ Configuración del equipo\ Directivas \
Clientes Windows 7”. Configuración de Windows \ Configuración de seguridad \
Servicios del sistema
25. Verifique los valores Utilizando el “editor de directivas de grupo”, verifique que la
de la configuración directiva “CCN-STIC-899 Orígenes de eventos Clientes Windows
del servicio WinRM 7” tiene los siguientes valores en las directivas de asignación del
“CCN-STIC-899 servicio WinRM en:
Orígenes de eventos Directiva CCN-STIC-899 Orígenes de eventos Clientes
Clientes Windows 7”. Windows 7\ Configuración del equipo \ Directivas \ Plantillas
administrativas \ Componentes de Windows \ Administración
remota de Windows (WinRM) \ Servicio WinRM
27. Verifique los valores Utilizando el “editor de directivas de grupo”, verifique que la
de la configuración directiva “CCN-STIC-899 Orígenes de eventos Clientes Windows
del perfil de dominio 7” tiene los siguientes valores en la configuración del perfil de
del firewall de dominio del firewall de Windows.
Windows “CCN- Directiva CCN-STIC-899 Orígenes de eventos Clientes
STIC-899 Servidores Windows 7\ Configuración del equipo \ Directivas \ Plantillas
Orígenes de eventos administrativas \ Red \ Conexiones de red \ Firewall de
Clientes Windows 7”. Windows \ Perfil de dominio
29. Inicie sesión en el En el servidor inicie sesión con una cuenta que sea
servidor de administrador del dominio o administrador local del sistema.
recolección de eventos
30. Verifique que las Ejecute como administrador la consola de línea de comandos.
directivas de grupo se Inicio Todos los programas Accesorios Símbolo
están aplicando del sistema
correctamente.
El sistema solicitará elevación de privilegios.
Escriba “GPRESULT /R /SCOPE COMPUTER” y presione la
tecla “Enter”. Compruebe que en la sección “Objetos de
directiva de grupo aplicados”, aparece la política “CCN-STIC-
899 Recolector de eventos” y que ésta se aplica antes que la
política “CCN-STIC-851A Servidor Miembro”.
31. Verifique que el Inicie el administrador de servicios y compruebe que el servicio
servicio de de recopilador de eventos de Windows se encuentra iniciado y
recopilación de configurado en modo automático.
eventos de Windows Escriba en la ayuda “services.msc” y pulse la tecla “Enter”. El
está activo sistema solicitará elevación de privilegios.
33. Compruebe que puede Inicie el visor de eventos y acceda a las suscripciones.
acceder a las Escriba en la ayuda “eventvwr.msc” y pulse la tecla “Enter”. El
suscripciones sistema solicitará elevación de privilegios.
existentes en la
consola del visor de
eventos
36. Inicie sesión en el En el servidor, inicie sesión con una cuenta que sea
servidor de origen de administrador del dominio o administrador local del sistema.
eventos Windows
Server 2008 R2.
37. Verifique que las Ejecute como administrador la consola de línea de comandos.
directivas de grupo se Inicio Todos los programas Accesorios Símbolo
están aplicando del sistema
correctamente.
El sistema solicitará elevación de privilegios.
Escriba “GPRESULT /R /SCOPE COMPUTER” y presione la
tecla “Enter”. Compruebe que en la sección “Objetos de
directiva de grupo aplicados”, aparece la política “CCN-STIC-
899 Orígenes de eventos Windows Server 2008 R2” y que ésta
se aplica antes que la política “CCN-STIC-851A Servidor
Miembro”.
Nota: En el caso de los controladores de dominio esta política deberá
aplicarse antes que la política”CCN-STIC-851 Incremental DC”.
40. Inicie sesión en el En el puesto de trabajo inicie sesión con una cuenta que sea
cliente de origen de administrador del dominio o administrador local del sistema.
eventos Windows 7.
41. Verifique que las Ejecute como administrador la consola de línea de comando.
directivas de grupo se Inicio Todos los programas Accesorios Símbolo
están aplicando del sistema
correctamente. El sistema solicitará elevación de privilegios.
Escriba “GPRESULT /R /SCOPE COMPUTER” y presione la
tecla “Enter”. Compruebe que en la sección “Objetos de
directiva de grupo aplicados”, aparece la política “CCN-STIC-
899 Orígenes de eventos Clientes Windows 7” y que ésta se
aplica antes que la política “CCN-STIC-850A Windows 7 -
Equipos”.
Este anexo ofrece la información de los eventos más significativos que pueden aparecer como
resultado de las diferentes auditorías de seguridad en Windows Server 2008 R2 y Windows 7.
Los eventos se han agrupado en las categorías y subcategorías existentes.
ID Mensaje
ID Mensaje
ID Mensaje
4978 Durante la negociación del modo extendido, IPsec ha recibido un paquete inválido.
4979 Se ha establecido una asociación con los modos principal y extendido de IPsec.
4980 Se ha establecido una asociación con los modos principal y extendido de IPsec.
4981 Se ha establecido una asociación con los modos principal y extendido de IPsec.
4982 Se ha establecido una asociación con los modos principal y extendido de IPsec.
4983 Una negociación del modo extendido de IPsec ha fallado. Se ha eliminado la asociación
principal correspondiente.
4984 Una negociación del modo extendido de IPsec ha fallado. Se ha eliminado la asociación
principal correspondiente.
ID Mensaje
ID Mensaje
4896 Una o más líneas han sido eliminadas de la base de datos de certificados.
4897 Se ha habilitado la separación de roles.
4898 El servicio de certificados ha cargado una plantilla.
4899 Una plantilla del servicio de certificados ha sido actualizada.
4900 Una plantilla de seguridad del servicio de certificados ha sido actualizada.
5120 Se ha iniciado el servicio OCSP Responder.
5121 Se ha parado el servicio OCSP Responder.
5122 Se ha producido un cambio de configuración en el servicio OCSP Responder.
5123 Se ha producido un cambio de configuración en el servicio OCSP Responder.
5124 Una propiedad de seguridad ha sido actualizada en el servicio OCSP Responder.
5125 Una petición ha sido enviada al servicio OCSP Responder.
5126 Un certificado firmado ha sido actualizado automáticamente por el servicio OCSP
Responder.
5127 El proveedor de revocación OCSP ha actualizado satisfactoriamente una información de
revocación.
5145 Se ha comprobado un objeto de red compartido para ver si el cliente tenía concedido el
acceso deseado.
4671 Una aplicación ha intentado un acceso a un ordinal bloqueado a través del TBS.
4691 Se ha solicitado un acceso indirecto a un objeto.
4698 Se ha programado una tarea.
4699 Se ha eliminado una tarea.
4700 Se ha habilitado una tarea.
4701 Se ha deshabilitado una tarea.
ID Mensaje
ID Mensaje
ID Mensaje
4948 El firewall de Windows no aplica la siguiente regla porque refiere a un ítem no configurado
en el equipo.
9. CATEGORÍA. SISTEMA
ID Mensaje