Resultados 1 al 2 de 2

Tema: Alguien me espa en el equipo! - Auditora de acceso a objetos en Windows

  1. #1 Alguien me espa en el equipo! - Auditora de acceso a objetos en Windows 
    HH Administrator Avatar de LUK
    Fecha de ingreso
    Oct 2001
    Ubicacin
    Spaa
    Mensajes
    5.050
    Descargas
    181
    Uploads
    247
    No es la primera vez que recibimos noticias de alguien que cree que le estn accediendo al equipo y le estn leyendo los documentos. Suelen comenzar las sospechas porque notan que se han movido archivos de sitio o porque el correo electrnico aparece como ledo cuando ellos no lo haban hecho an. Es entonces cuando se produce ese momento de paranoia que a nadie le gusta sentir.

    En esos caso lo mejor es hacer un anlisis forense del equipo para descubrir qu ha pasado all en el ltimo periodo de tiempo de uso de ese equipo. En ese momento se revisan logs, eventos, se buscan usuarios con cuentas ocultas, malware instalado en la mquina y/o software de control remoto que pueda estar instalado en la mquina.,

    Sin embargo, hay uno de los espionajes ms difciles de detectar: El que se produce por la misma cuenta de usuario por un amigo/familiar/compaero de trabajo con acceso al equipo de la persona. En esos casos, el atacante ha podido robar la contrasea y lo nico que est haciendo es entrar con la sesin del usuario revisar, tranquilamente, la informacin almacenada por esa cuenta en el sistema.

    Encontrar las pistas que indiquen que est pasando eso es complicado, ya que el analista no conoce los tiempos y fechas en los que el usuario ha hecho un inicio de sesin para poder contrastarlo con los inicios de sesin registrados en la mquina.

    No obstante, tras las recomendaciones previas de analizar el equipo en busca de malware, revisar las cuentas de usuario del sistema, las herramientas de administracin y de cambiar la password, lo siguiente que recomendamos es activar la auditora de accesos a ficheros y registrar los inicios de sesin, para ver las fechas de acceso. No ser la primera vez que se detecta de esta forma que un administrador, extralimitndose de sus funciones, hace uso de sus privilegios administrativos para acceder a documentos privados de un usuario en su carpeta.

    Auditora de acceso a objetos en Windows

    En los sistemas Windows, haciendo uso de las polticas se puede habilitar la auditora de acceso a ficheros, basta con abrir gpedit.msc y activar la auditora.


    Figura 1: Auditora de acceso a objetos


    Por defecto viene desactivada, as que hay que establecer si se quiere activar cuando se produce un acceso con xito o sin xito a un objeto. Por supuesto, si hay paranoia, lo mejor es auditar todos los eventos y revisar los intentos de acceso a nuestros archivos.


    Figura 2: Opciones de auditora

    Una vez configurada la auditora, hay que actualizar la poltica con gpupdate /force y pasar a configurar de qu objetos queremos auditar sus accesos. En este caso he creado una carpeta que se llama importante, y en ella, entrando en Seguridad, Opciones Avanzadas, Auditora (se requiere elevacin de privilegios), he seleccionado que se audite el uso de cualquier privilegio sobre esta carpeta.



    Figura 3: Activacin de auditora de acceso a objetos a nivel de objeto

    As, en el momento en que un usuario o servicio toque esa carpeta, se va a generar un registro de sucesos que podremos ver con el Visor de Eventos. Para que sea ms cmodo de revisar es mejor crear una vista personalizada para los sucesos de auditora que nos permitir saber qu usuario, a qu hora y con qu programa accedi a esos documentos.



    Figura 4: Vista personalizada de auditora en Visor de Eventos

    Despus, basta con seleccionar esa vista personalizada y revisar los eventos que se han ido generando para saber quin estuvo accediendo a esos ficheros y a qu hora.



    Figura 5: Registro de accesos a objetos

    Por supuesto, si el atacante entra con nuestra cuenta, siempre podr borrar todos los eventos del sistema, por lo que si se sospecha que el atacante pudiera realizar esto, lo mejor es automatizar una tarea de envo del evento por correo electrnico en el momento en que se produzca, haciendo uso de la ejecucin de tareas automticas que permite el Visor de Eventos.


    Saludos Malignos! @ http://www.elladodelmal.com/2012/03/...el-equipo.html

    Para mas info, un estupendo libro de informtica64: "Mxima Seguridad en Windows: Secretos Tcnicos"
    [][][] LUK [][][]
    hackhispano.com
    Citar  
     

  2. #2  
    Avanzado
    Fecha de ingreso
    Oct 2009
    Mensajes
    200
    Descargas
    28
    Uploads
    0
    muy bueno, deberias ponerlo como hilo fijo. asi la gente que no le interesa pagar por seguridad hasta que le ocurre algo que sobrepasa sus conocimientos, entiendan que nunca se esta completamente seguro
    Citar  
     

Temas similares

  1. Acceso remoto a un Windows XP no parcheado
    Por MANDALA en el foro INTRUSION
    Respuestas: 4
    ltimo mensaje: 20-03-2009, 07:58
  2. Respuestas: 4
    ltimo mensaje: 28-07-2008, 14:33
  3. Objetos OLE vinculados en acces y en varias paginas
    Por smaug_ en el foro APLICACIONES
    Respuestas: 1
    ltimo mensaje: 21-07-2008, 22:08
  4. Respuestas: 0
    ltimo mensaje: 08-05-2004, 19:20
  5. Tips: un icono para apagar el equipo (windows xp)
    Por aerial25 en el foro GENERAL
    Respuestas: 5
    ltimo mensaje: 07-05-2003, 18:11

Marcadores

Marcadores

Permisos de publicacin

  • No puedes crear nuevos temas
  • No puedes responder temas
  • No puedes subir archivos adjuntos
  • No puedes editar tus mensajes
  •