Registro de seguridad de Windows

El registro de seguridad , en Microsoft Windows , es un registro que contiene registros de la actividad de inicio y cierre de sesión u otros eventos relacionados con la seguridad especificados por la política de auditoría del sistema. La auditoría permite a los administradores configurar Windows para registrar la actividad del sistema operativo en el registro de seguridad. El registro de seguridad es uno de los tres registros que se pueden ver en el Visor de eventos . El servicio del subsistema de autoridad de seguridad local escribe eventos en el registro. El registro de seguridad es una de las principales herramientas que utilizan los administradores para detectar e investigar actividades no autorizadas intentadas y exitosas y para solucionar problemas; Microsoft lo describe como "Su mejor y última defensa". ^[1] El registro y las políticas de auditoría que lo rigen también son objetivos favoritos de los piratas informáticos y administradores de sistemas deshonestos que buscan cubrir sus huellas antes y después de cometer actividades no autorizadas. ^[2]

Tipos de datos registrados

Si la política de auditoría está configurada para registrar los inicios de sesión, un inicio de sesión exitoso da como resultado que se registren el nombre de usuario y el nombre de la computadora del usuario, así como el nombre de usuario con el que está iniciando sesión. ^[3] Según la versión de Windows y el método de inicio de sesión, la dirección IP puede o no registrarse. Windows 2000 Web Server, por ejemplo, no registra las direcciones IP de los inicios de sesión exitosos, pero Windows Server 2003 incluye esta capacidad. ^[4] Las categorías de eventos que se pueden registrar son: ^[5]

• Eventos de inicio de sesión de cuenta
• Gestión de cuentas
• Acceso al servicio de directorio
• Eventos de inicio de sesión
• Acceso a objetos
• Cambio de política
• Uso privilegiado
• Seguimiento de procesos
• Eventos del sistema

La gran cantidad de eventos registrables significa que el análisis de registros de seguridad puede ser una tarea que consume mucho tiempo. ^[6] Se han desarrollado utilidades de terceros para ayudar a identificar tendencias sospechosas. También es posible filtrar el registro utilizando criterios personalizados.

Ataques y contramedidas

Los administradores pueden ver y borrar el registro (no hay forma de separar los derechos para ver y borrar el registro). ^[7] Además, un administrador puede usar Winzapper para eliminar eventos específicos del registro. Por este motivo, una vez que la cuenta del administrador se ha visto comprometida, el historial de eventos que se incluye en el registro de seguridad no es confiable. ^[8] Una defensa contra esto es configurar un servidor de registro remoto con todos los servicios apagados, permitiendo solo el acceso a la consola. ^[9]

A medida que el registro se acerca a su tamaño máximo, puede sobrescribir los eventos antiguos o dejar de registrar los nuevos. Esto lo hace susceptible a ataques en los que un intruso puede inundar el registro generando una gran cantidad de eventos nuevos. Una defensa parcial contra esto es aumentar el tamaño máximo del registro de modo que se requiera una mayor cantidad de eventos para inundar el registro. Es posible configurar el registro para que no sobrescriba los eventos antiguos, pero como señala Chris Benton, "el único problema es que NT tiene la muy mala costumbre de bloquearse cuando sus registros se llenan". ^[10]

Ultimate Windows Security de Randy Franklin Smith señala que, dada la capacidad de los administradores de manipular el registro de seguridad para cubrir actividades no autorizadas, la separación de funciones entre el personal de operaciones y el de TI que supervisa la seguridad, combinada con frecuentes copias de seguridad del registro en un servidor accesible solo a este último, puede mejorar la seguridad. ^[11]

Otra forma de burlar el Registro de seguridad sería que un usuario inicie sesión como Administrador y cambie las políticas de auditoría para dejar de registrar la actividad no autorizada que pretende llevar a cabo. El cambio de política en sí podría registrarse, dependiendo de la configuración de "cambio de política de auditoría", pero este evento podría eliminarse del registro mediante Winzapper; y a partir de ese momento, la actividad no generaría un rastro en el Registro de seguridad. ^[12]

Microsoft señala: "Es posible detectar intentos de eludir una solución de monitoreo de seguridad con tales técnicas, pero es un desafío hacerlo porque muchos de los mismos eventos que pueden ocurrir durante un intento de cubrir las huellas de una actividad intrusiva son eventos que ocurren regularmente en cualquier red comercial típica". ^[13]

Como señala Benton, una forma de prevenir ataques exitosos es la seguridad a través de la oscuridad . Mantener la confidencialidad de los sistemas y prácticas de seguridad del departamento de TI ayuda a evitar que los usuarios formulen formas de ocultar sus huellas. Si los usuarios saben que el registro se copia al servidor de registro remoto a las :00 de cada hora, por ejemplo, pueden tomar medidas para derrotar a ese sistema atacando a las :10 y luego eliminando los eventos de registro relevantes antes del final de la siguiente hora. ^[10]

La manipulación de registros no es necesaria para todos los ataques. El simple hecho de conocer cómo funciona el Registro de seguridad puede ser suficiente para tomar precauciones contra la detección. Por ejemplo, un usuario que desee iniciar sesión en la cuenta de un compañero de trabajo en una red corporativa podría esperar hasta después del horario laboral para obtener acceso físico sin ser observado a la computadora de su cubículo; utilizar subrepticiamente un keylogger de hardware para obtener su contraseña; y luego iniciar sesión en la cuenta de ese usuario a través de Servicios de Terminal Server desde un punto de acceso Wi-Fi cuya dirección IP no se pueda rastrear hasta el intruso.

Una vez que se borra el registro a través del Visor de eventos, se crea inmediatamente una entrada en el registro recién borrado, en la que se indica la hora en que se borró y el administrador que lo hizo. Esta información puede ser un punto de partida en la investigación de la actividad sospechosa.

Además del registro de seguridad de Windows, los administradores pueden consultar el registro de seguridad del Firewall de conexión a Internet para obtener pistas.

Escribir eventos falsos en el registro

En teoría, es posible escribir eventos falsos en el registro. Microsoft señala: "Para poder escribir en el registro de seguridad, se requiere SeAuditPrivilege. De forma predeterminada, solo las cuentas de servicio de red y sistema local tienen ese privilegio". ^[14] Microsoft Windows Internals indica: "Los procesos que llaman a los servicios del sistema de auditoría... deben tener el privilegio SeAuditPrivilege para generar correctamente un registro de auditoría". ^[15] Las preguntas frecuentes de Winzapper indican que es "posible agregar sus propios registros de eventos 'inventados' al registro", pero esta característica no se agregó porque se consideró "demasiado desagradable", una referencia al hecho de que alguien con acceso de administrador podría usar dicha funcionalidad para culpar a una parte inocente por una actividad no autorizada. ^[8] Server 2003 agregó algunas llamadas API para que las aplicaciones pudieran registrarse en los registros de eventos de seguridad y escribir entradas de auditoría de seguridad. Específicamente, la función AuthzInstallSecurityEventSource instala la fuente especificada como una fuente de eventos de seguridad. ^[16]

Admisibilidad en el tribunal

El boletín EventTracker afirma que "la posibilidad de manipulación no es suficiente para que los registros sean inadmisibles, debe haber evidencia específica de manipulación para que los registros se consideren inadmisibles". ^[17]

Véase también

• Formato de registro común
• Gestión de registros
• Registro del sistema

Referencias

1. El registro de seguridad del NT: su mejor y última defensa, Randy Franklin Smith
2. Protección del registro de seguridad de NT, Randy Franklin Smith, Windows IT Pro, julio de 2000.
3. Seguimiento de la actividad de inicio y cierre de sesión en Windows 2000, Microsoft.
4. Captura de direcciones IP para eventos de inicio de sesión del servidor web, Randy Franklin Smith, Windows IT Pro , octubre de 2003.
5. Categorías de políticas de auditoría, UltimateWindowsSecurity.com.
6. “Cinco errores en el análisis de registros de seguridad”, Anton Chuvakin, Ph.D., GCIA, GCIH.
7. Acceso denegado: permitir a los usuarios ver registros de seguridad, Randy Franklin Smith, julio de 2004 – enlace roto intermitentemente a partir del 27 de septiembre de 2007.
8. Preguntas frecuentes sobre Winzapper, NTSecurity.
9. Guía definitiva para el registro, loggly.com
10. Auditoría de Windows NT Archivado el 8 de febrero de 2012 en Wayback Machine , Chris Benton.
11. Seguridad definitiva de Windows, Randy Franklin Smith. Archivado el 14 de marzo de 2022 en Wayback Machine.
12. Política de auditoría, Microsoft. Archivado el 27 de diciembre de 2007 en Wayback Machine.
13. Supervisión de seguridad y detección de ataques, Microsoft, 29 de agosto de 2006.
14. Auditoría de eventos de seguridad, Microsoft.
15. Componentes internos de Microsoft Windows, Microsoft.
16. Función AuthzInstallSecurityEventSource, Microsoft.
17. Boletín de noticias EventTracker, abril de 2006, ¿Sus archivos de registro se sostendrán en un tribunal? ¿Autenticación frente a eventos de inicio de sesión? Archivado el 21 de junio de 2007 en Wayback Machine

Enlaces externos

• Descripción de eventos de seguridad en Windows Vista y Windows Server 2008
• Descripción de eventos de seguridad en Windows Vista y Windows Server 2008 (XLS)