Auditoría de la seguridad en el acceso lógico. Servidores Windows

Anuncio
10/02/2011
IV Foro Tecnológico de los OCEX
Valencia, 14-15 de febrero de 2011
Auditoría de la seguridad en el acceso lógico
Servidores Windows
Alejandro Salom Campos, Unidad de Auditoría de Sistemas de
Información. CISA
asalom@sindicom.gva.es
Contenido
1. Entorno informático de los entes fiscalizados
2. Bloques de pruebas en la auditoría de sistemas de
Información
3. Controles generales de los sistemas de
información: control de acceso lógico en servidores
Windows
4. Ejemplos de la revisión
IV Foro Tecnológico de los OCEX
Valencia, 14-15 de febrero de 2011
2
1
10/02/2011
Entorno informático de los entes
fiscalizados
IV Foro Tecnológico de los OCEX
3
Valencia, 14-15 de febrero de 2011
Entorno informático de los entes
fiscalizados
PROCESO DE NEGOCIO:
APLICACIÓN:
FISCALIZACIÓN SECTOR PÚBLICO
TEAMMATE EWP
BASE DE DATOS:
MICROSOFT SQL SERVER
SISTEMA OPERATIVO:
WINDOWS SERVER
R
E
O
D
C
E
L
X
A
N
CENTRO PROCESO DATOS OCEX
IV Foro Tecnológico de los OCEX
Valencia, 14-15 de febrero de 2011
4
2
10/02/2011
Bloques de pruebas en la Auditoría de sistemas
de Información (SI)
1. Controles de aplicación
•
Análisis de riesgos y controles
•
Pruebas de recorrido del proceso sobre la aplicación (entorno de pruebas)
•
Pruebas sobre controles clave (en entorno de pruebas)
2. Controles generales de los SI
•
Revisión de la dirección y organización de los SI
•
Operación de los Si: Procedimientos SI, responsabilidades, segregación de funciones,
desarrollo aplicaciones, gestión de cambio, …
•
Revisión de la seguridad: Red local, acceso
seguridad física, formación en seguridad, …
•
Revisión de los planes de recuperación
lógico, control de actividad en la red,
3. Pruebas de datos:
•
Cuadre datos contabilidad financiera- aplicación revisada
•
Revisión interfaces
IV Foro Tecnológico de los OCEX
Valencia, 14-15 de febrero de 2011
5
Controles generales: control de acceso
lógico en servidores Windows
Pruebas básicas a realizar:
1. Revisión de la política general de contraseñas en el
dominio Windows
2. Revisión de la política general de bloqueo de cuentas
3. Revisión del bloqueo de pantalla
4. Revisión de los usuarios del dominio
5. Trazabilidad de las modificaciones en el directorio activo
6. Revisión de la actualización de la versión del sistema
operativo
7. Revisión de los servicios de acceso remoto
IV Foro Tecnológico de los OCEX
Valencia, 14-15 de febrero de 2011
6
3
10/02/2011
Controles generales: control de acceso
lógico en servidores Windows
1. Revisión de la política general de contraseñas en
el dominio Windows:
• (En el servidor Windows) : Ir a Inicio/panel de
control/Herramientas administrativas/Usuarios y equipos
del directorio activo
• Activar la pestaña de “Política de grupo” y seleccionar
“Política del dominio” y editar
• Ir a Configuración del equipo/Configuración de
Windows/Configuración de seguridad/directivas de
cuentas/directiva de contraseñas y realizar una captura de
pantalla.
IV Foro Tecnológico de los OCEX
Valencia, 14-15 de febrero de 2011
7
Controles generales: control de acceso
lógico en servidores Windows
Revisión de la política general de contraseñas en
el dominio windows:
• Los valores de referencia son los siguientes (Microsoft):
Almacenar contraseñas usando cifrado reversible: Desactiva /No definido
Forzar el historial de contraseñas: Activado (24 contraseñas recordadas)
Las contraseñas deben cumplir los requerimientos de complejidad: Activado
Longitud mínima: De 6 a 8 caracteres
Vigencia máxima: 45-90 días
Vigencia mínima: 1 día
Ejemplo
IV Foro Tecnológico de los OCEX
Valencia, 14-15 de febrero de 2011
8
4
10/02/2011
Controles generales: control de acceso
lógico en servidores Windows
2. Revisión de la política general de bloqueo de
cuentas
• Ir a Configuración del equipo/Configuración de
Windows/Configuración de seguridad/Directiva de
cuentas/Directiva de bloqueo de cuentas y realizar una
captura de pantalla.
IV Foro Tecnológico de los OCEX
Valencia, 14-15 de febrero de 2011
9
Controles generales: control de acceso
lógico en servidores Windows
Revisión de la política general de bloqueo de
cuentas
• Los valores de referencia son los siguientes
(Microsoft):
Duración del bloqueo de cuenta: 0 (esto implica que la cuenta permanecerá
indefinidamente bloqueada hasta que el administrador la desbloquee manualmente).
Restablecer la cuenta de bloqueos después de: 15 minutos.
En la medida en que se aumente el intervalo de tiempo, el coste de intentar una
intrusión al sistema por adivinación de contraseñas aumenta, pero también aumenta
la probabilidad de que los usuarios bloqueen sus cuentas.
Umbral de bloqueos de cuenta: 3 intentos
Ejemplo
IV Foro Tecnológico de los OCEX
Valencia, 14-15 de febrero de 2011
10
5
10/02/2011
Controles generales: control de acceso
lógico en servidores Windows
3. Revisión del bloqueo de pantalla
• Ir a Configuración de usuario/Plantillas administrativas/
Panel de control/Mostrar y realizar una captura de la
pantalla
• Hacer doble Click en los objetos Contraseña de proteción
de pantalla y Tiempo de bloqueo de pantalla
Verificar, mediante la revisión de las capturas de pantalla de la configuración del
salvapantallas de Windows, que éste se encuentra activado, y que tras un periodo
razonable (alrededor de 10-15 minutos) el puesto queda protegido por el
salvapantallas.
Ejemplo
IV Foro Tecnológico de los OCEX
Valencia, 14-15 de febrero de 2011
11
Controles generales: control de acceso
lógico en servidores Windows
4. Revisión de los usuarios del dominio
• Facilitar las instrucciones de uso y la aplicación Dumpsec al
administrador del sistema auditado
• http://www.systemtools.com/download/dumpacl.zip
• Obtener las tablas que contienen la información sobre los
usuarios del dominio Windows
• Analizar los usuarios utilizando ACL y el Script diseñado
para el análisis
IV Foro Tecnológico de los OCEX
Valencia, 14-15 de febrero de 2011
12
6
10/02/2011
Controles generales: control de acceso
lógico en servidores Windows
Revisión de los usuarios del dominio
Obtener (después de eliminar usuarios bloqueados):
•
•
•
•
•
•
•
•
Relación de todos los usuarios
Usuarios administradores
Comparar usuarios del sistema con personal de la Entidad
Obtener usuarios que no necesitan contraseña
Obtener usuarios en que la contraseña no caduca
Usuarios que no han cambiado la contraseña en más de 60 días
Obtener usuarios que no han accedido nunca
Obtener usuarios que no han accedido en 90 días
IV Foro Tecnológico de los OCEX
Valencia, 14-15 de febrero de 2011
13
Controles generales: control de acceso
lógico en servidores Windows
5. Trazabilidad de las modificaciones en el
directorio activo
Auditoría de las modificaciones en los usuarios y de los
intentos de acceso fallidos
• Abrir el editor de la política seguridad del controlador del dominio (Domain
Controller Security Policy).
• Buscar la subcarpeta: Configuración de Windows\Configuración de
seguridad\Directivas locales\Directiva de auditoría ( Windows Settings\Security
Settings\Local Policies\Audit Policy.)
• Hacer doble clic en la opción de acceso al servicio de auditoría del directorio (Audit
Directory Service Access)
• Verificar que estén activadas las casillas de auditoría de acceso al servicio de
directorio activo, de administración de cuentas, e inicio de sesión.
• Verificar los permisos sobre las carpetas en que se guarda el registro de auditoría
Ejemplo
IV Foro Tecnológico de los OCEX
Valencia, 14-15 de febrero de 2011
14
7
10/02/2011
Controles generales: control de acceso
lógico en servidores Windows
6. Revisión de la actualización de la versión del
sistema operativo
Verificar la versión de sistema operativo que se está ejecutando en el servidor del
dominio. Para ello acceder a las propiedades del equipo y verificar que la versión y la
actualización se corresponden con las últimas publicadas en la siguiente página de
Microsoft:
http://www.microsoft.com/technet/prodtechnol/windowsserver2003/default.mspx) o
http://technet.microsoft.com/es-es/windowsserver/bb405947
Verificar también que existen criterios y procedimientos aprobados respecto a las
actualizaciones del sistema operativo.
Ejemplo
IV Foro Tecnológico de los OCEX
Valencia, 14-15 de febrero de 2011
15
Controles generales: control de acceso
lógico en servidores Windows
7. Revisión de los servicios de acceso remoto
Comentar con el Administrador los servicios habilitados, verificar si están habilitados
este tipo de servicios con protocolos de acceso poco seguros, específicamente telnet,
FTP, accesos mediante modem o RAS (Remote Access Server).
En el servidor objeto de análisis, ir a inicio\herramientas administrativas\Enrutamiento
y acceso remoto.
Ejemplo
IV Foro Tecnológico de los OCEX
Valencia, 14-15 de febrero de 2011
16
8
10/02/2011
Controles generales: control de acceso
lógico en servidores Windows
Final
IV Foro Tecnológico de los OCEX
Valencia, 14-15 de febrero de 2011
17
9
Descargar