Auditoría de Seguridad Simple de Inicio de Sesión

La auditoría de seguridad de Windows es muy poderosa, pero no es fácil de implementar, sobre todo para llevar un seguimiento, auditar lo que necesitemos y no bajar el rendimiento de la máquina

Por lo anterior, y sin necesidad de implementarla he visto una opción de Directiva de Grupo (GPO), que fácilmente nos permite conocer si alguien estuvo tratando de ingresar interactivamente por teclado a una máquina determinada

Mostraré cómo podemos implementar que al incio de sesión interactivo nos muestre cuál fue la última vez anterior, y si hubieron intentos fallidos donde no se ha colocado correctamente usuario y contraseña

Entiendo que no es una opción para implementar a todas las máquinas del Dominio, pero sí se puede hacer en máquinas que tengan información altamente sensible que quedaría sin la adecuada protección ante un inicio de sesión interactivo. En este caso la implementaré sobre los Controladores de Dominio, pero es muy simple sobre otra clase de servidores

Resalto un detalle que nombré anteriormente, sólo para inicios de sesión desde el teclado, no para inicios de sesión por red tanto sea para el acceso a recursos compartidos como por Escritorio Remoto

Utilizaré sólo una máquina, un Controlador de Dominio (dc1.ad.guillermod.com.ar)

Como aplicaré la configuración a los Controladores de Dominio, y para varios si los tuviera, crearé y enlazaré una GPO a la Unidad Organizativa “Domain Controllers” como muestran las siguientes capturas de pantalla

Debemos editar: “Computer Configuration / Policies / Administrative Templates / Windows Components / Windows Logon Options” y habilitar “Display information about previous logons during user logons”

Forzamos la aplicación de GPOs para no tener que esperar

Y ahora cerramos la sesión, e iniciamos nuevamente. Esta primera vez, luego de ingresar usuario y contraseña sólo nos avisará que es la primera vez

Pero para las siguientes veces que se incie sesión ya mostrará cuándo fue el último inicio de sesión exitoso

Cerramos sesión e intentamos ahora iniciar sesión con una contraseña incorrecta simulando que alguien desconocido está intentando inciar sesión y tratando de adivinar la contraseña. Yo lo he hecho dos veces

Ahora cuando incie sesión correctamente mostrará que hubo varios intentos de acceso incorrecto. Además para que sea más fácil de reconocer lo hace en letra color amarillo

Hay que tener en cuenta que luego de mostrar el mensaje anterior, todo vuelve a la normalidad, y que en el próximo inicio de sesión ya no mostrará la advertencia nuevamente

 

Por supuesto que esto no es una auditoría de seguridad, pero considero que es una forma muy simple de saber si alguien ha estado tratando de ingresar a una máquina que no debía

Post a comment or leave a trackback: Trackback URL.

Comentarios

Este espacio es para comentarios sobre la nota. No es un sitio de soporte

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: