Universidad Piloto de Colombia, Especializacin en Seguridad Informtica

LABORATORIO 8

Presentado por los estudiantes Modulo 17: Mauricio Andrs Gutirrez, Maycol Guio

AUDITANDO WINDOWS SERVER De acuerdo a la parte II captulo 6 del libro IT AUDITING se recomienda el uso del conjunto de herramientas de Sysinternals se proponen las siguientes actividades: 1. Obtener la informacin del sistema, versin del Service Pack y comparar con los requerimientos de la poltica Se usa la herramienta Psinfo.exe

En la poltica se define que de acuerdo al procedimiento de mantenimiento que se debe tener un inventario fsico de los equipos y que con cierta periodicidad se realiza un mantenimiento preventivo el cual incluye actividades de actualizaciones de software las cuales son registradas en el formato de control de mantenimientos.

2. Determinar si en el servidor se est ejecutando un firewall. Para revisar este estadose usa la herramienta netsh firewall show config

Universidad Piloto de Colombia, Especializacin en Seguridad Informtica

3. Determine si en el servidor se est ejecutando un software antivirus Se usa la herramienta pslistrtvscan

4. Asegrese de que todos los parches se instalan por su poltica de administracin del servidor Se puede usar la herramienta: systeminfo

Universidad Piloto de Colombia, Especializacin en Seguridad Informtica

En el procedimiento del mantenimiento existen actividades de actualizacin y reparcheo de programas.

5. Determine si en el servidor se est ejecutando una herramienta de gestin de parches. Se usa la herramienta:Pslist

Universidad Piloto de Colombia, Especializacin en Seguridad Informtica

6. Revisar y verificar la informacin de inicio Se pueden usar las herramientas: pendmoves y autoruns

Al revisar la informacin de inicio se puede determinar si existe algn servicio no autorizado o sospechoso que se ejecute cuando la maquina se reinicia. 7. Determinequ servicios estn habilitados y validar si son necesarios, revisar y evaluar procedimientos para evaluar vulnerabilidades asociadas con estos servicios y acordar su parchado Para realizar esta revisin se puede usar la siguiente herramienta: psservice

Universidad Piloto de Colombia, Especializacin en Seguridad Informtica

scquery

tcpvcon

tcpview

Universidad Piloto de Colombia, Especializacin en Seguridad Informtica

procexp

La poltica no cuenta con un literal de revisin de servicios habilitados, se recomienda la revisin peridica de los servicios que se encuentran habilitados y determinar si son necesarios, revisar sus vulnerabilidades y gestionar sus parcheo adecuados.

8. Asegrese de que solo las aplicaciones se instalan en el sistema de acuerdo con su poltica de gestin del servidor

Universidad Piloto de Colombia, Especializacin en Seguridad Informtica

En la poltica seleccionada existe el lineamiento Licenciamiento de Software que plantea lo siguiente:El licenciamiento del software instalado en la planta tecnolgica de la compaa, esta inventariado y controlado en el software de administracin de inventario informtico y de red GLPI bajo la responsabilidad y supervisin del Coordinador de Sistemas. Ningn usuario tiene permitido realizar instalacin de software ilegal en los equipos.

9. Asegurese de que solo las tareas programadas se estn ejecutando. Se puede usar la herramienta: schtasks

10. Revisar y evaluar el procedimiento para la creacin de cuentas de usuario, que solo son creadas cuando es necesario y asegurar que son desactivadas en caso de cese o cambio de trabajo. en la poltica de la empresa no se tiene como tal un literal que hable de creacin de cuentas de usuario por lo tanto se sugiere crear la poltica, que podra ser: El ingreso de personal nuevo a la empresa cuya labor requiera la asignacin de un computador debe ser notificado al Coordinador de Sistemas para asignarle los derechos correspondientes (Equipo de Cmputo, Creacin de Usuario para la Red (Perfil de usuario en el Directorio

Universidad Piloto de Colombia, Especializacin en Seguridad Informtica

Activo) o en caso de retiro del funcionario, anular y cancelar los privilegios asociados a su cuenta y registrarlo en GMT-R08 Acta Entrega De Elementos O Bienes Devolutivos . 11. Asegrese de que todos los usuarios se crean en el nivel de dominio y claramente vinculado en el directorio activo.

en la poltica de la empresa existe el siguiente literalNombres de equipos dentro del dominio El dominio creado en el servidor DNS es synermin.com y la asignacin de nombres de equipos dentro de este dominio se hace de acuerdo a los siguientes lineamientos: El nombre debe estar relacionado con el cargo de la persona que tiene asignado el equipo. El nombre no debe superar los 13 caracteres El nombre del equipo debe ser en mayscula Si se requiere asignar un nombre que contenga dos palabras la separacin de las palabras se debe hacer con el smbolo underline _ ejemplo: SALA_JUNTAS.

Adicional a este literal se podra incluir que todas las cuentas de los usuarios que usan los equipos de cmputo de la empresa deben ser incluidas en el dominio synermin.com para su correcta administracin. 12. Revisar y evaluar el uso de los grupos y determinar la restriccin de su uso. Se puede revisar los grupos en la ventana usuario y equipos de active directory, que para el ejemplo se toma el directorio activo de una maquina con Windows server 2008 y que contiene un dominio ya configurado.

Universidad Piloto de Colombia, Especializacin en Seguridad Informtica

Se sugiere la creacin de un literal en la poltica que contenga lo siguiente: Cada cambio de cargo y equipo de cmputo de los usuarios se debe notificar al coordinador de sistemas para proceder a restablecer las caractersticas y privilegios del usuario reportado como lo es el nombre del equipo, el registro en el inventario, el cambio de grupo dentro del directorio activo, cambio de contraseas, etc 13. Revisar y evaluar la fortaleza de las contraseas del sistema. En la poltica existe el siguiente literal: El Coordinador de Sistemas asigna una clave inicial a los usuarios, estos a su vez debern cambiar la misma para el acceso al dominio, el sistema est programado para el cambio de claves diferente hasta 25 cada 60 das. La longitud de la contrasea y su estructura est definida de acuerdo a la poltica de grupo que exige los parmetros para contrasea segura de Windows server. 14. Evaluar el uso de los controles de contraseas en el servidor, como por ejemplo
la caducidad de contraseas, la longitud, la complejidad, la historia y las directivas de bloqueo. Se pueden revisar ejecutando el comando Rsop.msc

Universidad Piloto de Colombia, Especializacin en Seguridad Informtica

15. Revisar los derechos de usuario y opciones de seguridad Se puede revisar usando el comando Secpol.msc

Universidad Piloto de Colombia, Especializacin en Seguridad Informtica

16. Revisar y evaluar el uso y la necesidad de acceso, incluyendo conexiones RAS, FTP, Telnet, SSH, VPN y otros mtodos. Se puede revisar la consola Routing and Remote Access para verificar si existen conexiones remotas.

Frente a la poltica no existen ningn literal que determine las actividades o las reglas cuando se requieren sesiones remotas, para ello se sugiere lo siguiente: para el uso de conexiones remotas a los equipos de la empresa el jefe inmediato debe autorizar a la persona que necesita el acceso remoto, indicando el motivo por el cual necesita este privilegio, que servicios va a utilizar remotamente, y el tiempo que va a usar la sesin remota. 17. Asegrese que exista un banner de alerta cuando se va a establecer una conexin en el sistema. Se aconseja la creacin de banners de alerta cuando se ingresa con un login valido al sistema usando escritorio remoto, Telnet y SSH. 18. Buscar y evaluar el uso de las acciones en el host Se puede usar el comando net share

Universidad Piloto de Colombia, Especializacin en Seguridad Informtica

compmgmt.msc

Se aconseja quitar los recursos compartidos que vienen por defecto como el C$., revisar la
seguridad sobre estos recursos y solo dar el respectivo permiso a los que se considere que deben accesar este recurso.

19. Asegrese que el servidor este habilitado a auditar en las polticas de la organizacin. Se aconseja crear un lineamiento dentro de la poltica que involucre actividades peridicas de auditoria en el servidor que contengan revisiones de logs, revisiones de servicios activos, revisiones de tareas programas y en general las actividades vistas en los puntos anteriores. Y de acuerdo a los hallazgos tomar acciones preventivas o correctivas segn sea el caso. 20. Revisar y evaluar los procedimientos para monitorear el estado de seguridad en el sistema. Se aconseja revisar detenidamente los procedimientos de seguridad junto con sus actividades, y verificar si estas se estn llevando a cabo de acuerdo a la programacin planteada en los procedimientos, revisar la evidencia de ejecucin de la actividad ya sea en registros de programas, logs del sistema o formatos creados asociados al procedimiento para generar la evidencia. 21. Determine un estndar de seguridad para sistemas nuevos y que sean adecuados a las herramientas de seguridad. Se aconseja documentar estados iniciales para nuevos sistemas o maquinas que ingresan a operar en la red, teniendo en cuenta los servicios que va a utilizar o a brindar a la empresa, se puede hacer creando listas de configuraciones iniciales que deben tener los nuevos equipos.

Universidad Piloto de Colombia, Especializacin en Seguridad Informtica

22. el punto se refiere a realizar una secuencia de verificaciones fsicas propuestas en el captulo 4 del libro IT AUDITING, como el ejercicio se realiz en un ambiente virtual no aplicara para el desarrollo de este punto.