AUDITORIA A LOS SISTEMAS OPERATIVOS WINDOWS 2003 SERVER

ANDRES OSPINA SANCHEZ

Universidad Caldas

AUDITORIA WINDOWS 2003 SERVER

OBJETIVOS
OBJETIVO GENERAL Evaluar las polticas y procedimientos de administracin de los servidores Windows 2003 implementados por ABC S.A. OBJETIVOS ESPECFICOS Evaluar que los procedimientos estn acordes con las mejores prcticas. Evaluar los procedimientos de administracin de los equipos de cmputo de la empresa ABC. Implementar los controles necesarios para cumplir con los requerimientos de los proyectos adquiridos por la empresa ABC. Evaluar las polticas de dominio para la empresa ABC. Evaluar los perfiles de usuario de los servidores.

AUDITORIA WINDOWS 2003 SERVER

ALCANCE

Documentacin Procedimientos Actuales Directorio Activo Administracin de usuarios y equipos Procedimiento de adquisicin y licenciamiento de Equipos Logs de Auditora Administracin de la Seguridad Crear informe especificando la situacin actual de los servidores y sus posibles riesgos. Formular recomendaciones para fortalecer la administracin de los servidores.

AUDITORIA WINDOWS 2003 SERVER RESUMEN EJECUTIVO

A continuacin se presenta un resumen que muestra el estado actual del rea de TI de ABC a los cuales se les asign niveles de calificacin de la siguiente manera: Satisfactorio: Riesgos que no afectan los intereses de ABC mientras se mantengan activos los controles actuales y se les haga seguimiento a mediano plazo. * Oportunidad de mejoramiento: Debilidades de control que impactan los intereses de la Entidad y que requieren de correctivos a corto plazo o de manera inmediata.

AUDITORIA WINDOWS 2003 SERVER RESUMEN EJECTUVO

Aspecto Evaluado Documentacin Procedimientos Actuales Administracin Directorio Activo Administracin de Polticas de Grupo y OU Administracin de Usuarios y Equipos Cuentas de Usuarios Logs de Auditora Updates Seguridad Adquisicin y licenciamiento de Equipos
Evaluacin Actual

* * * * * * * * *

AUDITORIA WIN. 2003 SERVER OM- DOCUMENTACIN PROCEDIMIENTOS ACTUALES

Situacin Actual No existe documentacin ni para Windows 2003 Server ni para Linux Red Hat 9.0 que estipule de forma detallada, clara y concisa los procedimientos para la administracin del servidor de dominio. Riesgo Que no se puedan administrar de forma adecuada los recursos y el control interno de la empresa ABC. Recomendacin
Empezar a crear y documentar apropiadamente: - Polticas y estndares de los procesos relacionados con el sistema operativo (Ej. Recuperacin) - Polticas de seguridad de la organizacin. - Manuales del sistema operativo. - Manuales de procedimientos. - Manuales de usuario y de funciones. - Plizas de seguros. - Documentacin de la instalacin y configuracin inicial.

AUDITORIA WIN. 2003 SERVER OM- ADMINISTRACIN DIRECTORIO ACTIVO

Situacin Actual ABC no tiene implementado polticas de administracin de Directorio Activo, no cuenta con un procedimiento especfico para publicacin de recursos en el Directorio Activo, tampoco una administracin de replicacin y de la base de datos del mismo. Riesgo Que no se tenga una administracin efectiva de usuarios, grupos, equipos (pcs e impresoras), lo que generara huecos de seguridad e integridad de la informacin. Recomendacin
- Replicar el servidor de dominio. Instalar el directorio activo y el archivo de log en archivo separado. Elaborar backups del estado del sistema, de los controladores de domino con frecuencia semanalmente. - Restringir permisos a objetos de grupos y usuarios que no lo necesiten. - Crear polticas de instalacin de software distribuido.

AUDITORIA WIN. 2003 SERVER OM- Administracin de Polticas de Grupo y OU

Situacin Actual Se observ en el servidor de dominio de Windows 2003 Server que en el directorio activo hay 1 OUs (Unidades Organizativas) creadas en donde NO hay ningn usuario asignado del dominio SODA; tampoco se han configurado GPO (Polticas de Grupos) en cada OU. Riesgo El no contar con GPO (Group Police Objects) configuradas podra exponer al servidor de dominio a problemas de seguridad. Recomendacin
- Administrar en una misma GPO, GPOs que tengan propsitos comunes. - Deshabilitar las cuentas que no van a ser usadas inmediatamente. - Crear usuarios dentro de OUs y GPOs para una mejor administracin acorde con la estructura y funciones de la dependencia. - Manejo de cuentas especiales. (Cuentas sin contrasea, cuentas predeterminadas, cuentas de invitados, Cuentas de acceso de comandos, cuentas de grupo). - Crear polticas y procedimientos de creacin, modificacin, bloqueo y eliminacin de GPOs.

AUDITORIA WIN. 2003 SERVER OM- Administracin de Usuarios y Equipos

Situacin Actual No se estn aplicando las respectivas polticas de administracin de usuarios a ninguno de los usuarios creados en el directorio activo Riesgo No se pueden identificar, monitorear y solucionar problemas de cuentas que tengan actividades en comn. Recomendacin - Restringir y controlar la asignacin y uso de privilegios. - Polticas para la seguridad y complejidad en el uso de contraseas. - Procedimientos de registro de inicio seguros para el acceso. - Restringir y controlar estrictamente el uso de programas utilitarios que puedan anular los controles del sistema y de las aplicaciones. - Restringir tiempos de conexin para brindar seguridad adicional para las aplicaciones de alto riesgo. Procedimiento para el registro y cancelacin de usuarios para el acceso o no a los sistemas de informacin. - Identificacin automtica de los equipos para autenticar conexiones de equipos y ubicaciones especficas.

AUDITORIA WIN. 2003 SERVER OM- Cuentas de Usuarios

Situacin Actual No se estn aplicando las respectivas polticas de administracin de directivas de contraseas y de bloqueos de cuentas , las contraseas y las cuentas no tienen un nivel de seguridad, todas las cuentas no tienen tiempo de caducidad, no tienen tiempo de uso, no tienen delimitado los tiempos de sesiones inactivas, todos los usuarios son miembros del administrador. Riesgo Que las cuentas incluyendo la del administrador no esten bien configuradas o sin contraseas lo que generara un hueco de seguridad que podra afectar las actividades de la empresa. Recomendacin - Crear un manual de procedimientos y polticas para la administracin de cuentas de usuario. - Las contraseas deben tener un buen nivel de seguridad. - Activar el bloqueo de cuentas de usuario despus de tres intentos fallidos al loguearse. Crear polticas y procedimientos de creacin, modificacin, bloqueo y eliminacin de GPOs. Establecer polticas de control de acceso segn los requisitos del negocio. Asignacin de contraseas por medio de un proceso formal de gestin. - Revisin peridica de los derechos de acceso de los usuarios. - Inactivar sesiones despus de un periodo definido de inactividad.

AUDITORIA WIN. 2003 SERVER OM- Logs de Auditora

Situacin Actual En la verificacin del registro de sucesos no est configurado los logs de auditora para detectar y registrar sucesos relativos a la seguridad, el acceso a los objetos. No estn configurados o definidos los logs de seguridad, aplicacin y sistema, tampoco las polticas para manejar el visor de eventos y dar soluciones a los posibles errores. Riesgo Que no se puedan detectar problemas a nivel de hardware o software y huecos de seguridad como intrusos tratando de ingresar al sistema. Recomendacin - Configurar la auditora para el seguimiento de los usuarios que tienen acceso a los objetos. - Configurar los logs de seguridad, aplicacin y sistema. - Revisar con frecuencia mensual los logs con el fin de identificar los eventos que presentan error y consultar la causa de ellos. Reportes de anlisis de logs del sistema (instalacin, operaciones). Los servidores deben tener configurado que sobreescriban los logs y un tamao de 10mb por lo menos. Hay que tener un sistema que traspase los logs a un servidor forense al cual los administradores no tengan acceso. Hay que sacar informes y alarmas de la base de datos del servidor forense, tales como intentos de acceder a la cuenta de administrador.

AUDITORIA WIN. 2003 SERVER OM- Updates

Situacin Actual En la verificacin a las actualizaciones automticas de Windows, se observ que el servidor Windows 2003 no cuenta con un sistema automtico de actualizacin de Windows Update denominado SUS (Systems Update Software). El rea de Tecnologa realiza revisiones manuales de los updates instalados en cada equipo y los servidores. Riesgo El no contar con un sistema automtico de instalacin de updates hace que no se est actualizando oportunamente los servidores, y se expone a vulnerabilidades el sistema operativo por intrusos en los servidores y PCs de la red. Recomendacin
- Mantener documentado un plan de contingencias de recuperacin del sistema Operativo, en donde se explique detalladamente pasos a seguir ante una eventualidad dado que el sistema operativo no se restaure satisfactoriamente despus de aplicar la actualizacin. - Mantener un servidor de pruebas dedicado para instalar actualizaciones (parches y hotfix) antes de implementar las actualizaciones en los servidores de produccin. - Tomar un backup del estado del sistema y de los archivos principales del servidor (datos, carpetas). - Buscar en la referencia de la base de datos del Technet los sntomas de anomala del Sistema operativo.

AUDITORIA WIN. 2003 SERVER OM- Seguridad

Situacin Actual ABC reconoce la necesidad de seguridad para TI pero no hay procedimientos que permitan medir el el nivel de seguridad de TI, no hay asignacin de responsabilidades en cuanto a seguridad. No hay reportes de seguridad de TI ni un proceso de respuesta para resolver brechas de seguridad de TI. Riesgo Falta de control a intrusos, prdida de informacin, cadas del servidor Recomendacin
- Implementar mecanismos de control de acceso a objetos del sistema . - Archivos con permisos especiales. - Mecanismos de identificacin y autenticacin. Almacenamiento de cintas, discos y documentacin. - Definicin de horarios de trabajo para los usuarios del sistema. -Implementar el modelo de seguridad COBIT DS5 donde se implementa: la administracin y el plan de seguridad, pruebas y monitoreo de la seguridad, prevencin, deteccin y correccin de software malicioso, seguridad en la red. - Implementar un sistema de gestin de llaves apoyando el uso de tcnicas criptogrficas por parte de la empresa. - Realizar copias de seguridad progresivas. - Realizar copias de seguridad de los sistemas de archivos activos de forma regular.

AUDITORIA WIN. 2003 SERVER OM- Seguridad

Recomendacin -Crear polticas para mejorar la seguridad fsica en cuanto a restricciones de acceso, uso y cierre de sesiones, guardar copias de seguridad en sitios seguros. -Crear polticas de conexin al sistema, verificar cuentas sin contraseas, cuentas no utilizadas, cuentas predeterminadas, cuentas de invitados, cuentas de acceso de comando (finger), cuentas de grupo. -Gestionar la seguridad y permisos sobre los archivos. -Evitar amenazas de ingeniera social. -Aprobar asignaciones de roles especficos y responsabilidades para la creacin de conciencia de seguridad de la informacin. -Definir y documentar claramente los niveles de autorizacin. -Recibir alertas de deteccin temprana, advertencias y parches para los ataques y vulnerabilidades. -Gestionar el acceso a terceros como oustsourcing, proveedores de servicios, clientes, cosultores gerenciales y de negocios, auditores, personal temporal u estudiantes practicantes. -Firmar acuerdos de confidencialidad con empleados, contratistas y terceros. -Establecer polticas en cuanto a la instalacin y proteccin de equipos,la seguridad del cableado.

AUDITORIA WIN. 2003 SERVER OM- Adquisicin y licenciamiento de Equipos

Situacin Actual ABC cuenta con cuatro (4) equipos con sistema operativo XP que no tienen licencia, un equipo con Windows 2003 Server y un equipo con Linux Red Hat 9.0, ABC compr una licencia retail de Windows 2003 server para 5 clientes (CAL). Riesgo Que la empresa pueda ser sancionada legalmente, lo que podra generar no continuidad en el servicio. Recomendacin Hacer un inventario de lo que actualmente est utilizando la empresa para identificar las no licenciadas. -Para la licitacin adquirir los equipos a travs de un arrendamiento o leasing. Adquirir licencias Open Multi-Anual Enterprise y Open Multi-Anual Volumen. La primera permite estandarizar los siguientes productos en todos los PCs de la empresa: Windows XP Professional (Actualizacin); Office XP Professional; Office XP Standard; Core CAL (Licencia de Acceso que permite el acceso a los siguientes servidores: Windows Server, Exchange Server, SMS y SharePoint Portal Server); Exchange CAL; Windows CAL -Para la licitacin adquirir un equipo que cuente con las caracterticas y robustez necesarias para cumplir las tareas que le confieren al servidor. No tener usuario trabajando sobre el servidor ya que su funcin es la administracin y atencin a los dems equipos.