jueves, 20 de noviembre de 2014

Auditoria IT. Netwrix.

Estimados amigos de Inseguros.

En el episodio de hoy vamos a trabajar con una herramienta de auditoría IT llamada Netwrix Auditor 6.5


Para empezar, debemos entender que es el proceso de auditoría IT. No estamos hablando de los mismos procesos y herramientas que nuestras auditorías de seguridad, aunque ambas se entrelazan de la mano ya que un despliegue de nuestros activos IT de manera correcta y segura, incide directamente en la seguridad de nuestros sistemas.

Imaginemos un escenario con servidores de dominio Microsoft, Active Directory, 1000 usuarios, bases de datos, virtualización con Vmware, intranet con Sharepoint, Sql Server de aplicaciones. Lo que viene siendo la media de las empresas. Una o varias personas administrando los sistemas.

Imagino cientos, miles de objetos de seguridad auditados, como acceso a ficheros, lectura, borrado, creación. Objetos de seguridad relacionados con la autenticación. Cuentas de usuario, pertenencia a grupos, configuraciones de seguridad GPO. File Integrity Monitor de archivos confidenciales. Lo mismo para Sql Server/Exchange/Sharepoint etc.


Es difícil, casi imposible, manejar toda esa información en tiempo real. Información que nos aporte valor para poder actuar, y por qué no decirlo, para cumplir con los requisitos de las certificaciones PCI, COBIT y demás de la industria IT.

Netwrix nos permite gestionar toda esta información de manera centralizada mediante un cuadro de mando. Más de 200 informes predefinidos que nos muestran la información de manera intuitiva, no navegando por el visor de sucesos. Con la herramienta podemos hacer seguimiento a todos los cambios en las configuraciones de objetos de Active Directory ( O Sql Server, Exchange o cualquier producto que licencies) e incluso revertir el estado de la configuración en un momento concreto, sin necesidad de backups. Esto sería una pieza indispensable en el plan de respuesta ante incidentes, en el caso de sufrir un incidente de seguridad interno. No todos los hackers son externos, están los que ahora se denominan Insiders !!!

Todo esto tiene un precio, 1/3 de lo que puede contar una licencia de antivirus.

Vamos a revisar la herramienta para detallar las funcionalidades.
Podeís descargar una versión Quick Guide la configuración para Active Directory.

Recordar que os podéis bajar una versión de prueba full-features para 20 días.

El proceso de instalación no podría ser tan sencilla como ejecutar el asistente. En el caso de no tener instalar el .Net Framework 3.5 o cualquiera otra dependencia (Sql Server Express Advanced  o STD), nos indicará como solucionarlo. Me resulta irónica decirlo, pero debes tener Windows 7 o superior ( o windows 2008 r2 o superior).

La pantalla de inicio podría ser esta.


Empezamos la configuración desde Managed Objects. Vamos a configurar el servidor de correo y de informes y los datos de usuario y contraseña con permisos en Active Directory, en este caso.



Sería interesante crearnos previamente una cuenta para este "servicio" con el fin de delimitar los permisos sobre los file-servers.










Si prestas atención a esta pantalla, hemos establecido que el concepto de cuenta inactiva es aquella que no producido actividad de Login en los últimos 30 días. Recordar que las cuentas de equipo tambien se auditan...Podemos desmarcar el check de Disable para que solo nos alerte, para hacer las pruebas.

Podríamos haber hecho algo parecido con Powershell, pero deberíamos configurar una tarea programada, que suelen ser un punto de "hackeo" habitual. Deberíamos cambiar los parámetros en modo texto, configurar un servidor de correo para el powershell, crearnos una plantilla. Sin duda, estas herramientas ayudan mucho con estas tareas. No obstante, os paso un posible Powershell:

get-aduser -filter * -properties lastlogondate | Where-Object {$_.enabled -eq "true"-and $_.lastlogondate -lt (get-date).adddays(-90)} | Set-Aduser -enabled $false

Comentar que de esta manera tiramos de aduser, no de adcomputer, por lo que deberíamos crear otra sentencia para las cuentas de equipo.


No es necesario configurarlo todo desde este asistente. En cualquier momento podemos acceder a Settings y añadir o modificar los datos tanto del servidor de correo como el SqlServer.

Una vez configurado nuestro primer objeto "managed" o gestionado vamos a ejecutar la comprobación de los datos actuales.



Una vez generada la recolección de datos, comienzan a llegarnos unos correos muy interesantes. Este respecto a la caducidad de cuentas.


Recuerda que esto es un requisito, por ejemplo, para PCI DSS 8.5.5.

8.5.5 Remove/disable inactive user 
accounts at least every 90 days.
8.5.5 Verify that inactive accounts over 90 days old are either 
removed or disabled

El siguiente correo que aprecio es relativo a la configuración de directivas de auditoría de Active Directory, que deben estar configuradas previamente para poder recolectar información.

Dejamos hasta aquí esta entrega sobre Netwrix Auditor 6.5

En el siguiente capítulo habilitaremos todas las opciones necesarias en los servidores de dominio respecto a la auditoría de cambios. Recuerda que este tipo de herramientas gestionan la información que hay configurada, realmente son consolas MMC (Microsoft Management Console) que leen información de Active Directory mediante LDAP.

Espero que os guste, y que uséis estas recomendaciones, independientemente de la compra de este producto o no.

Gracias por leerme !!!