GPO - AUDITAR LOGON - LOGOFF

En este tutorial, nos centraremos en una de las prácticas más esenciales para administradores de sistemas en entornos Windows Server 2022: la implementación de una política de auditoría. Aquí te detallamos los aspectos clave que exploraremos:

Importancia de la Seguridad en Windows Server 2022:

Destacaremos la vital importancia de la seguridad en los servidores, considerando que los cambios inapropiados pueden afectar significativamente la seguridad, confidencialidad y rendimiento del sistema.

Implementación de Política de Auditoría:

Te guiaremos paso a paso en la implementación de una política de auditoría en Windows Server 2022. Esto permitirá supervisar las sesiones de inicio de sesión, identificando cualquier acceso no autorizado.

Análisis de Sesiones de Inicio de Sesión:

Exploraremos cómo analizar las sesiones de inicio de sesión para detectar posibles fallas del sistema que puedan estar relacionadas con usuarios no autorizados.

Mejores Prácticas para Administradores:

Abordaremos las mejores prácticas que los administradores de sistemas pueden seguir para garantizar la seguridad y el rendimiento óptimo de Windows Server 2022.

Consideraciones Legales y de Cumplimiento:

Destacaremos la importancia de la auditoría no solo desde una perspectiva técnica sino también legal, asegurando el cumplimiento de normativas y regulaciones.

Esta guía completa te proporcionará una visión detallada de cómo implementar una política de auditoría en Windows Server 2022. Si estás comprometido con la seguridad de tus servidores y deseas fortalecer las defensas contra accesos no autorizados, este tutorial te brindará las bases necesarias. 

La estructura de red empleada para esta práctica es la siguiente.

¿Qué es una GPO?

Una GPO, o Group Policy Object (Objeto de Directiva de Grupo), es una característica de administración en sistemas operativos Windows que permite a los administradores de red implementar configuraciones específicas en múltiples computadoras de manera consistente. Las GPOs se utilizan para simplificar la administración de políticas de seguridad, configuraciones de escritorio, instalación de software y otros ajustes en entornos empresariales.

Te muestro una descripción general de las GPOs y algunos de los tipos más comunes:

1. Group Policy Object (GPO):
• Una GPO es un contenedor para configuraciones de políticas en un dominio de Active Directory. Puede contener configuraciones relacionadas con seguridad, escritorio, software, scripts de inicio y cierre de sesión, y más.
2. Tipos Comunes de GPOs:
• Políticas de Seguridad:
• Controlan configuraciones de seguridad, como contraseñas, permisos y auditoría.
• Configuración de Escritorio:
• Define la apariencia y el comportamiento del escritorio, incluyendo fondos de pantalla, menús, barras de tareas, etc.
• Configuración de Software:
• Permite la instalación, desinstalación y configuración de software en las máquinas cliente.
• Scripts de Inicio y Cierre de Sesión:
• Ejecutan scripts automáticamente al inicio o cierre de sesión del usuario.
• Configuraciones de Internet Explorer:
• Establecen configuraciones específicas para el navegador web Internet Explorer.
• Directivas de Red:
• Controlan configuraciones de red como mapeo de unidades de red, conexiones VPN, etc.
3. Ámbito de Aplicación:
• Las GPOs se aplican a niveles específicos en la jerarquía del Active Directory, como el dominio, unidades organizativas (OUs), o sitios. Esto permite una implementación granular según las necesidades de la organización.
4. Herencia:
• Las GPOs pueden heredar configuraciones de niveles superiores en la jerarquía. Esto facilita la administración eficiente, ya que puedes aplicar configuraciones a niveles más amplios y ajustarlas según sea necesario en niveles más bajos.
5. Administración Centralizada:
• La administración de GPOs se realiza típicamente desde la consola de administración de directivas de grupo (Group Policy Management Console o GPMC). Esto proporciona una interfaz centralizada para crear, vincular, y gestionar GPOs.

Las GPOs son una herramienta poderosa para la administración de configuraciones en entornos de red de Windows, permitiendo a los administradores mantener la coherencia y el control sobre las políticas y configuraciones en toda la infraestructura.

Aspectos clave

Entendamos los aspectos clave de la práctica que vamos a realizar hoy en auditorias de inicio de sesión.

1. Auditoría de Eventos de Inicio de Sesión:
• La auditoría de eventos de inicio de sesión es un proceso mediante el cual se registran y supervisan eventos relacionados con el acceso de los usuarios a un sistema. En el contexto de Windows Server, esto implica registrar eventos específicos cuando un usuario inicia sesión en el sistema.
2. Política de Seguridad Local:
• La Política de Seguridad Local en Windows Server es una herramienta que permite configurar políticas de seguridad en un nivel local. Puedes acceder a ella a través del "Editor de directivas de seguridad local" utilizando el comando "secpol.msc". Esta herramienta es esencial para establecer configuraciones de seguridad específicas en un servidor.
3. Directivas de Auditoría:
• En el Editor de directivas de seguridad local, las Directivas de Auditoría son configuraciones que permiten definir qué eventos se deben auditar. En el caso de eventos de inicio de sesión, la configuración se encuentra en Configuración avanzada del sistema -> Directivas de auditoría -> Inicio de sesión/Logon.
4. Configuración Avanzada del Sistema:
• La Configuración avanzada del sistema proporciona opciones adicionales para configurar diversos aspectos del sistema operativo. En este contexto, se utiliza para acceder a las Directivas de Auditoría y establecer configuraciones específicas relacionadas con el inicio de sesión.
5. Visor de Eventos:
• El Visor de eventos (eventvwr.msc) es una herramienta en Windows Server que muestra registros detallados de eventos del sistema, aplicaciones y seguridad. Bajo la categoría Seguridad, se registran eventos relacionados con la auditoría de inicio de sesión, proporcionando información como el usuario que inició sesión, la hora y otros detalles relevantes.
6. Filtrado de Eventos:
• El Visor de eventos permite filtrar eventos según diversos criterios, como el intervalo de fechas, el tipo de evento y el ID de evento. Al configurar filtros adecuados, puedes centrarte en revisar específicamente los eventos de inicio de sesión, facilitando el análisis de la información relevante.

La auditoría de eventos de inicio de sesión es una práctica esencial para monitorear la seguridad y la actividad de los usuarios en un entorno de servidor Windows. Proporciona un registro detallado que puede ser crucial para la identificación y mitigación de posibles amenazas de seguridad.

¿Cómo visualizo los registros de inicio de sesión?

En el Visor de eventos de Windows, los eventos de inicio y cierre de sesión están asociados con números de identificación de eventos (Event IDs). Aquí están los Event IDs comunes para eventos de inicio y cierre de sesión:

1. Inicio de Sesión:
• Event ID: 4624
• Descripción: Se registra cuando un usuario inicia sesión correctamente en el sistema.
2. Inicio de Sesión Fallido:
• Event ID: 4625
• Descripción: Se registra cuando hay un intento de inicio de sesión que no tiene éxito, ya sea debido a un nombre de usuario o contraseña incorrectos.
3. Cierre de Sesión:
• Event ID: 4634
• Descripción: Se registra cuando un usuario cierra sesión en el sistema.

Estos Event IDs son comunes en entornos Windows y son parte de la categoría de eventos de seguridad en el Visor de eventos. Al configurar la auditoría de inicio de sesión, puedes utilizar estos Event IDs para filtrar y analizar la actividad de inicio y cierre de sesión en el sistema.

En esta práctica aprendemos a implementar una GPO - Group Policy Object (Objeto de Directiva de Grupo) en WINDOWS SERVER 2022 para AUDITAR los EVENTOS de inicio de cierre de sesión, quedando registrado en el visor de eventos los usuarios que acceden en los equipos unidos a nuestro dominio.