10/02/2011 IV Foro Tecnológico de los OCEX Valencia, 14-15 de febrero de 2011 Auditoría de la seguridad en el acceso lógico Servidores Windows Alejandro Salom Campos, Unidad de Auditoría de Sistemas de Información. CISA asalom@sindicom.gva.es Contenido 1. Entorno informático de los entes fiscalizados 2. Bloques de pruebas en la auditoría de sistemas de Información 3. Controles generales de los sistemas de información: control de acceso lógico en servidores Windows 4. Ejemplos de la revisión IV Foro Tecnológico de los OCEX Valencia, 14-15 de febrero de 2011 2 1 10/02/2011 Entorno informático de los entes fiscalizados IV Foro Tecnológico de los OCEX 3 Valencia, 14-15 de febrero de 2011 Entorno informático de los entes fiscalizados PROCESO DE NEGOCIO: APLICACIÓN: FISCALIZACIÓN SECTOR PÚBLICO TEAMMATE EWP BASE DE DATOS: MICROSOFT SQL SERVER SISTEMA OPERATIVO: WINDOWS SERVER R E O D C E L X A N CENTRO PROCESO DATOS OCEX IV Foro Tecnológico de los OCEX Valencia, 14-15 de febrero de 2011 4 2 10/02/2011 Bloques de pruebas en la Auditoría de sistemas de Información (SI) 1. Controles de aplicación • Análisis de riesgos y controles • Pruebas de recorrido del proceso sobre la aplicación (entorno de pruebas) • Pruebas sobre controles clave (en entorno de pruebas) 2. Controles generales de los SI • Revisión de la dirección y organización de los SI • Operación de los Si: Procedimientos SI, responsabilidades, segregación de funciones, desarrollo aplicaciones, gestión de cambio, … • Revisión de la seguridad: Red local, acceso seguridad física, formación en seguridad, … • Revisión de los planes de recuperación lógico, control de actividad en la red, 3. Pruebas de datos: • Cuadre datos contabilidad financiera- aplicación revisada • Revisión interfaces IV Foro Tecnológico de los OCEX Valencia, 14-15 de febrero de 2011 5 Controles generales: control de acceso lógico en servidores Windows Pruebas básicas a realizar: 1. Revisión de la política general de contraseñas en el dominio Windows 2. Revisión de la política general de bloqueo de cuentas 3. Revisión del bloqueo de pantalla 4. Revisión de los usuarios del dominio 5. Trazabilidad de las modificaciones en el directorio activo 6. Revisión de la actualización de la versión del sistema operativo 7. Revisión de los servicios de acceso remoto IV Foro Tecnológico de los OCEX Valencia, 14-15 de febrero de 2011 6 3 10/02/2011 Controles generales: control de acceso lógico en servidores Windows 1. Revisión de la política general de contraseñas en el dominio Windows: • (En el servidor Windows) : Ir a Inicio/panel de control/Herramientas administrativas/Usuarios y equipos del directorio activo • Activar la pestaña de “Política de grupo” y seleccionar “Política del dominio” y editar • Ir a Configuración del equipo/Configuración de Windows/Configuración de seguridad/directivas de cuentas/directiva de contraseñas y realizar una captura de pantalla. IV Foro Tecnológico de los OCEX Valencia, 14-15 de febrero de 2011 7 Controles generales: control de acceso lógico en servidores Windows Revisión de la política general de contraseñas en el dominio windows: • Los valores de referencia son los siguientes (Microsoft): Almacenar contraseñas usando cifrado reversible: Desactiva /No definido Forzar el historial de contraseñas: Activado (24 contraseñas recordadas) Las contraseñas deben cumplir los requerimientos de complejidad: Activado Longitud mínima: De 6 a 8 caracteres Vigencia máxima: 45-90 días Vigencia mínima: 1 día Ejemplo IV Foro Tecnológico de los OCEX Valencia, 14-15 de febrero de 2011 8 4 10/02/2011 Controles generales: control de acceso lógico en servidores Windows 2. Revisión de la política general de bloqueo de cuentas • Ir a Configuración del equipo/Configuración de Windows/Configuración de seguridad/Directiva de cuentas/Directiva de bloqueo de cuentas y realizar una captura de pantalla. IV Foro Tecnológico de los OCEX Valencia, 14-15 de febrero de 2011 9 Controles generales: control de acceso lógico en servidores Windows Revisión de la política general de bloqueo de cuentas • Los valores de referencia son los siguientes (Microsoft): Duración del bloqueo de cuenta: 0 (esto implica que la cuenta permanecerá indefinidamente bloqueada hasta que el administrador la desbloquee manualmente). Restablecer la cuenta de bloqueos después de: 15 minutos. En la medida en que se aumente el intervalo de tiempo, el coste de intentar una intrusión al sistema por adivinación de contraseñas aumenta, pero también aumenta la probabilidad de que los usuarios bloqueen sus cuentas. Umbral de bloqueos de cuenta: 3 intentos Ejemplo IV Foro Tecnológico de los OCEX Valencia, 14-15 de febrero de 2011 10 5 10/02/2011 Controles generales: control de acceso lógico en servidores Windows 3. Revisión del bloqueo de pantalla • Ir a Configuración de usuario/Plantillas administrativas/ Panel de control/Mostrar y realizar una captura de la pantalla • Hacer doble Click en los objetos Contraseña de proteción de pantalla y Tiempo de bloqueo de pantalla Verificar, mediante la revisión de las capturas de pantalla de la configuración del salvapantallas de Windows, que éste se encuentra activado, y que tras un periodo razonable (alrededor de 10-15 minutos) el puesto queda protegido por el salvapantallas. Ejemplo IV Foro Tecnológico de los OCEX Valencia, 14-15 de febrero de 2011 11 Controles generales: control de acceso lógico en servidores Windows 4. Revisión de los usuarios del dominio • Facilitar las instrucciones de uso y la aplicación Dumpsec al administrador del sistema auditado • http://www.systemtools.com/download/dumpacl.zip • Obtener las tablas que contienen la información sobre los usuarios del dominio Windows • Analizar los usuarios utilizando ACL y el Script diseñado para el análisis IV Foro Tecnológico de los OCEX Valencia, 14-15 de febrero de 2011 12 6 10/02/2011 Controles generales: control de acceso lógico en servidores Windows Revisión de los usuarios del dominio Obtener (después de eliminar usuarios bloqueados): • • • • • • • • Relación de todos los usuarios Usuarios administradores Comparar usuarios del sistema con personal de la Entidad Obtener usuarios que no necesitan contraseña Obtener usuarios en que la contraseña no caduca Usuarios que no han cambiado la contraseña en más de 60 días Obtener usuarios que no han accedido nunca Obtener usuarios que no han accedido en 90 días IV Foro Tecnológico de los OCEX Valencia, 14-15 de febrero de 2011 13 Controles generales: control de acceso lógico en servidores Windows 5. Trazabilidad de las modificaciones en el directorio activo Auditoría de las modificaciones en los usuarios y de los intentos de acceso fallidos • Abrir el editor de la política seguridad del controlador del dominio (Domain Controller Security Policy). • Buscar la subcarpeta: Configuración de Windows\Configuración de seguridad\Directivas locales\Directiva de auditoría ( Windows Settings\Security Settings\Local Policies\Audit Policy.) • Hacer doble clic en la opción de acceso al servicio de auditoría del directorio (Audit Directory Service Access) • Verificar que estén activadas las casillas de auditoría de acceso al servicio de directorio activo, de administración de cuentas, e inicio de sesión. • Verificar los permisos sobre las carpetas en que se guarda el registro de auditoría Ejemplo IV Foro Tecnológico de los OCEX Valencia, 14-15 de febrero de 2011 14 7 10/02/2011 Controles generales: control de acceso lógico en servidores Windows 6. Revisión de la actualización de la versión del sistema operativo Verificar la versión de sistema operativo que se está ejecutando en el servidor del dominio. Para ello acceder a las propiedades del equipo y verificar que la versión y la actualización se corresponden con las últimas publicadas en la siguiente página de Microsoft: http://www.microsoft.com/technet/prodtechnol/windowsserver2003/default.mspx) o http://technet.microsoft.com/es-es/windowsserver/bb405947 Verificar también que existen criterios y procedimientos aprobados respecto a las actualizaciones del sistema operativo. Ejemplo IV Foro Tecnológico de los OCEX Valencia, 14-15 de febrero de 2011 15 Controles generales: control de acceso lógico en servidores Windows 7. Revisión de los servicios de acceso remoto Comentar con el Administrador los servicios habilitados, verificar si están habilitados este tipo de servicios con protocolos de acceso poco seguros, específicamente telnet, FTP, accesos mediante modem o RAS (Remote Access Server). En el servidor objeto de análisis, ir a inicio\herramientas administrativas\Enrutamiento y acceso remoto. Ejemplo IV Foro Tecnológico de los OCEX Valencia, 14-15 de febrero de 2011 16 8 10/02/2011 Controles generales: control de acceso lógico en servidores Windows Final IV Foro Tecnológico de los OCEX Valencia, 14-15 de febrero de 2011 17 9