Tópicos de Seguridad en Windows

Transcripción

1

2 Acerca de este documento El de la UNAM y el declaran que: 1. Los documentos técnicos son resultado de investigaciones realizadas y probadas dentro del Laboratorio de Seguridad en Cómputo del DSC. 2. Las recomendaciones y consejos generales que se expresan en estos documentos fueron verificados sobre los sistemas a los que se hace referencia. 3. Los programas y herramientas se distribuyen tal como fueron probadas sin alteración de licencias y/o código. 4. La información contenida en este documento es distribuida bajo observaciones de los miembros del y no cuenta con observaciones de los distribuidores de los Sistemas Operativos. 5. La información presentada en estos documentos puede ser reproducida siempre y cuando se mencione la fuente y autores de la misma. 6. Este documento será distribuido de forma libre y gratuita, además de ser actualizado periódicamente.

3

4 Auditoria Windows 2000 permite registrar las actividades de los usuarios y del sistema operativo en un sistema de cómputo. Es necesario analizar estas actividades para evaluar todas las medidas de seguridad. Se debe implementar la auditoria y monitorear los eventos del sistema para detectar intentos de intrusión que puedan comprometer los datos del sistema. Windows 2000 le llama Auditoria al proceso de guardar las actividades (llamadas eventos) de usuarios y del sistema operativo de un sistema de cómputo. Cuando ocurre un evento de auditoria, Windows 2000 escribe un registro del evento en el registro de seguridad. Habilitación de Auditoria Se debe habilitar la auditoria con el objetivo de: Registrar el éxito o falla de los eventos. Minimizar el riesgo de uso no autorizado de los recursos. Mantener un registro de la actividad de los usuarios y del Administrador. Política de Auditoria Se debe establecer una política de auditoria adecuada, ya que si se auditan demasiados tipos de eventos, se puede crear una sobrecarga en el sistema, es decir, se puede afectar el desempeño del mismo. Se recomienda que se auditen sólo aquellos eventos que proporcionen información que es útil para controlar la seguridad. Se pueden seguir los siguientes lineamientos cuando se planea una política de auditoria: Determinar las computadoras en las que se configurará la auditoria. Determinar los eventos auditar. o Accesos a archivos y carpetas. o Conexión y desconexión de usuarios. o Apagado y reinicio del servidor. Cambios a cuentas de usuarios y grupos. Determinar si se audita el éxito o fallo de eventos, o ambos. Determinar si es necesario registrar las tendencias del uso del sistema. Revisar los registros de seguridad frecuentemente.

5 Registros de Auditoria El subsistema de auditoria de Windows 2000 tiene seis registros. Existen tres registros que están presentes de forma predeterminada en todos los sistemas Windows 2000, Aplicación, Sistema y Seguridad. Los otros tres, Servicio de Directorio, Replicación de Archivos y Servidor DNS están presentes solo si se han instalado los servicios apropiados. Aplicación. Guarda los eventos producidos por aplicaciones o programas. Sistema. Contiene eventos producidos por el propio sistema Windows 2000 y por sus componentes. Seguridad. Contiene información concerniente a los eventos del sistema, incluyendo información relativa a la monitorización de la actividad de los usuarios y procesos, igual que mensajes relativos a los servicios de seguridad. Servicio de Directorio. Contiene información relativa a los servicios de directorio. Replicación de Archivos. Guarda los eventos relativos a la replicación de archivos. Servidor DNS. Contiene información relativa al servicio de DNS (Domain Name Server). Registros de Auditoria Predeterminados Se puede establecer independientemente la configuración de cada registro en términos de su tamaño máximo y lo que debería ocurrir cuando alcance éste tamaño. Solamente en el caso del Registro de Seguridad se puede controlar lo que se guardará.

6 Categorías del Registro de Auditoria Independientemente del registro que se visualice, el sistema de auditoria sitúa cada evento en una de cinco categorías: Categoría Descripción Error Indica eventos significativos, como pérdida de funcionalidad o datos. Warning Information Success Audit Failure Audit Indica un evento que no es significativo, pero puede causar problemas en un futuro. Indica una operación realizada con éxito (servicio de una aplicación o dispositivo). Indica un evento ocurrido ante un intento de éxito de auditoria. Indica un evento ocurrido cuando se ha producido un fallo de auditoria. Un evento en el registro de auditoria contiene la siguiente información: La acción que se realizó. El usuario que realizó la acción. El éxito o falla del evento y cuándo ocurrió. Información adicional, como el sistema desde el cual se realizó la acción. Visualización de un Evento

7 Configuración del Registro de Eventos Todos los eventos generados por la auditoria aparecen en el Event Viewer, que es útil para el control de registro de auditoria local o los de otro sistema individual. El Event Viewer ofrece un gran número de posibilidades de control sobre el archivo de registro de eventos. De manera predeterminada, se pueden controlar solamente las configuraciones de los registros de Aplicación, Sistema y Seguridad mediante Group Policy. Para iniciar el Event Viewer: Haga clic en Start. Seleccione Programs, Administrative Tools y Event Viewer. Seleccionando cualquiera de los registros y haciendo clic con el botón derecho se pueden establecer las propiedades del registro. Propiedades de un Archivo de Registro La etiqueta General muestra información relativa al archivo de registro. La etiqueta Filter controla la forma de mostrar la información del registro en el Event Viewer. La etiqueta General permite alterar el nombre con el que se muestra el registro y muestra el archivo donde se almacena el registro (de forma predeterminada en c:\winnt\system32\config\xxxxxxx.evt). También, en esta etiqueta se puede configurar el tamaño del registro en incrementos de 64 KB, con un tamaño mínimo de 64 KB. Existen tres opciones en el caso de que el registro alcance el tamaño máximo: Overwrite events as needed. Habilitarlo implica que cuando el registro alcance el tamaño máximo permitido, los nuevos eventos de auditoria empezarán a sobrescribir a los eventos más antiguos. Overwrite events older than x days. Implica que cuando se alcance el tamaño máximo de registro los nuevos eventos comienzan a sobrescribir a los más antiguos, siempre y cuando estos tengan una antigüedad mayor a x días.

8 Do not overwrite events (clear log manually). No se sobrescribirán eventos, pero no se permite que el registro crezca. Si el registro alcanza el tamaño máximo, no se sobrescribirán nuevos eventos de auditoria y la auditoria se detendrá. Una buena práctica de seguridad establecer la opción Do not overwrite events (clear log manually), pero se debe tener establecida una política que establezca cada que periodo de tiempo se realizará la copia de seguridad de los registros, con el propósito de que no se elimine información del registro. Detención del Sistema Cuando el Registro de Seguridad este Lleno. Solo en el caso del Registro de Seguridad, existe un tercer componente para su administración. Si el Registro de Seguridad alcanzara el tamaño máximo permitido, el sistema detendría la auditoria de forma predeterminada. Se puede configurar al sistema para que se apague si no es capaz de registrar la auditoria. Esta opción sólo se debe considerar en los entornos de muy alta seguridad y se denomina CrashOnAuditFail. Si se elige esta opción, el sistema abortará (pantalla azul) si falla la auditoria. La habilitación de CrashOnAuditFail puede dar como resultado un ataque DoS (Denial of Service) contra el sistema al momento de llenarse el registro. Se puede utilizar Group Policy para configurar CrashOnAuditFail o editar directamente la clave del Registry siguiente: Hive: HKEY_LOCAL_MACHINE Key: \System\CurrentControlSet\Control\Lsa Name: CrashOnAuditFail Type: REG_DWORD Entry: 1 Una vez que el sistema se ha detenido, el valor de la clave del Registry es establecido a 2 y un Administrador es la única persona que tiene permiso para iniciar sesión en el sistema. El Administrador debe hacer una copia de seguridad y limpiar el registro de auditoria, después debe reiniciar el valor de la clave del Registry a 1. También, es necesario cambiar el tipo de clave del Registry a REG_DWORD, ya que se cambia al tipo REG_NONE en el momento en que el valor de la clave del Registry cambia. Después se debe reiniciar el sistema y continuar con la operación normal. Tamaño Recomendado para los Registros. Dependiendo del servicio que este ofreciendo el servidor o la estación de trabajo, es recomendable establecer el tamaño de los registros como se muestra a continuación: Registro DC Archivos/ Base de Servidor Servidor Estación Impresión Datos Web RAS de Trabajo Seguridad 5-10 MB 2-4 MB 2-4 MB 2-4 MB 5-10 MB 1 MB Sistema 1-2 MB 1-2 MB 1-2 MB 1-2 MB 1-2 MB 1 MB Aplicación 1-2 MB 1-2 MB 1-2 MB 1-2 MB 1-2 MB 1 MB

9 Asegurar el Registro de Eventos El acceso al registro de eventos se controla para evitar que sea visualizado o modificado por usuarios no autorizados. El acceso lo determina normalmente la cuenta bajo la que se esta ejecutando la aplicación. Existen cuatro tipos de cuentas utilizadas para el registro de eventos. Local System. Cuenta especial que las aplicaciones de servicio pueden utilizar. Administrator. Cuenta para los administradores del sistema. ServerOperator (ServerOp). Cuenta para administradores de servidores de dominio. Everyone. Cuenta para todos los usuarios del sistema. Cada una de estas cuentas tendrá una mezcla de permisos: read, write, o clear. Registro Aplicación Acceso Aplicación Seguridad Sistema Local System Administrator ServerOperator Everyone Local System Administrator Everyone Local System Administrator ServerOperator Everyone Read, Write, Clear Read, Write, Clear Read, Write, Clear Read, Write Read, Write, Clear Read, Clear Read, Write, Clear Read, Write, Clear Read, Clear Read Solo la cuenta Local System puede escribir en el Registro de Seguridad, previniendo que las aplicaciones puedan llenar el registro. De forma predeterminada, el grupo Everyone puede leer el Registro de Aplicaciones y el de Sistema. En los Controladores de Dominio estos permisos se extienden a los tres registros adicionales. Los administradores pueden acceder al Registro de Seguridad de forma predeterminada, sin embargo, el administrador puede eliminar estos privilegios. El acceso a los registros de Aplicación y de Sistema se puede restringir mediante el empleo de claves en el Registry: Hive: HKEY_LOCAL_MACHINE Key: \System\CurrentControlSet\Services\EventLog\[logname] Name: RestrictGuestAccess Type: REG_DWORD Entry: 1 La configuración anterior evita que las cuentas de Guest y las Null Sessions puedan ver los registros relevantes. Se debe configurar la clave para cada unos de los tipos de registro.

10 Formatos del Registro de Eventos Windows 2000 almacena los registro de auditoria internamente en formato.evt, el cual proporciona la forma mas compacta de almacenarlos debido a que toda la información de auditoria no está almacenada en el registro. Cuando un programa escribe un evento en el registro de eventos, el programa no escribe una cadena de texto, en su lugar, escribe un número que representa un evento específico. Cada combinación de número y aplicación corresponde a una cadena de texto específica. Los registros son almacenados en este formato y no pueden ser leídos directamente. El Event Viewer combina los datos de auditoria almacenados con las cadenas de texto para proporcionar una salida a pantalla con la información completa del evento. Registro de Seguridad en Formato.cvs Existen tres opciones para guardar los registros de auditoria: formato event log (.evt), formato text (.txt delimitado por tabulador) y formato comma-separated values (.cvs delimitado por comas) De estos formatos, el formato event log es el más compacto y el único que el Event Viewer puede leer. Se pueden ver los formatos text y comma-separated values directamente e importarlos a una base de datos si se requiere. De igual forma, se pueden respaldar los registros de eventos en su forma nativa (.evt).

11 Eventos a Auditar El primer paso para implementar una política de auditoria es seleccionar los tipos de eventos que se desean que Windows 2000 audite. La siguiente tabla describe los eventos que Windows 2000 puede auditar. Evento Audit Account Logon Events Audit Account Management Audit Directory Services Access Audit Logon Events Audit Object Access Audit Policy Change Audit Privilege Use Audit Privilege Use Audit System Events Descripción Guardará los éxitos o fallos de un usuario para autenticarse en el equipo local a través de la red. Auditará la creación, modificación o eliminación de cuentas de usuario o grupo. Guarda los intentos fallidos y con éxito de los accesos a los objetos del Servicio de Directorio. Guarda los intentos fallidos o con éxito de un usuario para iniciar sesión de manera interactiva en el equipo local. Guarda cualquier intento con éxito o fallo de un usuario para acceder a un objeto, incluyendo un directorio, archivo o impresora. Guarda cualquier intento con éxito o fallo de hacer cambios de alto nivel en la directiva de seguridad, incluyendo la asignación de privilegios y cambios en las políticas de auditoria. Cualquier intento fallido o con éxito de la utilización de privilegios por parte de los usuarios. Proporciona información detallada sobre los intentos de creación y detención de procesos. Guarda la información que se generan cuando un usuario o proceso modifica aspectos del entorno de cómputo Privilegios para Configurar la Auditoria Para ser capaz de configurar en implementar las configuraciones de auditoria, se deben tener los siguientes privilegios en la cuenta: Generar auditorias de seguridad: Permite a un proceso crear entradas en el Registro de Seguridad para la auditoria del acceso a un objeto. Administración del registro de auditoria. Permite a un usuario especificar opciones de auditoria de acceso a un objeto para recursos individuales como archivos, objetos de Active Directory y claves del Registry. Los usuarios con este privilegio pueden ver también y limpiar el Registro de Seguridad del Event Viewer. Los miembros del grupo Administradores tienen estos privilegios de manera predeterminada.

12 Habilitar la Auditoria en Servidores Independientes. Se puede aplicar una política de auditoria a equipos Windows 2000 Profesional al igual que a equipos Windows 2000 Server que funcionen como servidores independientes. Si se configura la política de auditoria para sistemas que son miembros de un dominio, la política de auditoria de seguridad del dominio o unidad organizativa (OU), sobrescribirá la política de auditoria de seguridad local, si está habilitada. Para configurar la política de auditoria de seguridad: 1. Abra la MMC Group Policy del equipo local. 2. En Local Computer Policy, haga clic en Audit Policy, localizada en \Computer Configuration\Windows Settings\Security Settings\Local Policies\Audit Policy. 3. A continuación, en el panel de detalles, haga doble clic en la política que se quiera configurar o haga clic con el botón derecho y seleccione Security. Para configurar la política, se debe haber iniciado sesión como Administrador o como miembro del grupo Administrators. Group Policy está disponible solo para los miembros del grupo Administrators. A menos que estas configuraciones sean anuladas por un Group Policy aplicado al dominio u OU, las nuevas configuraciones aparecerán en la columna Effective Settings. Habilitar la Auditoria en Controladores de Dominio. La auditoria proporciona la habilidad para determinar si un sistema ha sido atacado, el método de ataque o cuando fue atacado el sistema. También permite resolver los problemas de seguridad. Para configurar la política de auditoria de seguridad en los Controladores de Dominio: 1. Abra Active Directory Users and Computers. 2. En el árbol de la consola, haga clic en Domain Controllers que se encuentra en el nodo Active Directory Users and Computers\Domain Name\Domain Controllers. 3. Elija Properties del menú Action. 4. En la etiqueta Group Policy, haga clic en la directiva que se quiera cambiar y haga clic en Edit. 5. En el árbol de la consola de la ventana Group Policy, haga clic en Audit Policy, localizada en Computer Configuration\Windows\Settings\Security Settings\Local Policies\Audit Policy. 6. En el panel de detalles, haga doble clic en el atributo o evento que se quiera auditar y realice los cambios. Haga clic en Accept cuando se hayan hecho los cambios. Habilitar la Auditoria en Sistemas de Dominio. La auditoria de seguridad para Estaciones de Trabajo, Servidores Miembro y Controladores de Dominio se pueden habilitar remotamente solo por Administradores de Dominio como parte de Group Policy. Para aplicar esta auditoria, se debe crear una OU, agregar las cuentas de equipo a dicha OU y mediante Active Directory Users and Computers crear una política que permita las auditorias de seguridad. De manera alternativa, se puede aplicar un Group Policy creando un GPO (Group Policy Object) mediante el MMC Group Policy y utilizando después Active Directory Users and Computers para aplicar el Group Policy.

13 Configurar la Auditoria de Objetos Una vez que se ha configurado la mayoría de las categorías de las políticas para auditar eventos con éxito o fallos, no necesita realizar otras acciones. Sin embargo, en el caso de la auditoria de objetos, la habitación de las políticas de auditoria es solo el primer paso. Una vez que se ha habilitado la auditoria, se debe configurar la auditoria sobre objetos individuales. Cada objeto tiene un descriptor de seguridad en el que se detalla los grupos o usuarios que puedan acceder al objeto y los tipos de permisos de acceso otorgados a los usuarios o grupos. Esta parte del descriptor se denomina DACL (Discretionary Access Control List). El descriptor de seguridad contiene también la información de auditoria, que se conoce como SACL (System Access Control List). Los tipos de acceso que se pueden auditar dependen de los archivos, directorios u objetos de directorio que se quieran auditar. Auditoria de Archivos y Directorios Si un volumen de disco se formatea utilizando el sistema de archivos NTFS, se puede controlar y auditar el acceso a archivos y directorios. Sin embargo, si el volumen del disco se formateo utilizando FAT, no es posible establecer la auditoria. Cuando se audita un archivo o directorio, se produce una entrada en el Registro de Seguridad cada vez que se produce un acceso a este archivo o directorio. Se deben especificar los archivos o directorios a auditar, al igual que las opciones que producen un evento de auditoria. Se pueden diseñar estas configuraciones para un simple usuario o para grupos de usuarios. Para habilitar la auditoria de los archivos y directorios, se debe habilitar también la auditoria de objetos, esto se logra especificando los tipos de acceso que se van auditar en los archivos y directorios mediante el Explorador de Windows. Permisos Avanzados Full Modify Read & List Folder Read Write Control Execute Contents Traverse Folder/Execute File List Folder/Read Data Read Attributes Read Extended Attributes Create Files/Write Data Create Folders/Append Data Write Attributes Write Extended Attributes Delete Subfolders and Files Delete Read Permissions Change Permissions Take Ownership Permisos de Directorios

14 Permisos Avanzados Full Modify Read & Read Write Control Execute Traverse Folder/Execute File List Folder/Read Data Read Attributes Read Extended Attributes Create Files/Write Data Create Folders/Append Data Write Attributes Write Extended Attributes Delete Subfolders and Files Delete Read Permissions Change Permissions Take Ownership Permisos de Archivos Habilitar la Auditoria de Archivos y Directorios Para habilitar la auditoria de un archivo o directorio: 1. Abra el Explorador de Windows, y localice el archivo o directorio que se quiera auditar. 2. De clic con el botón derecho al archivo o directorio, escoja Properties del menú y de clic en la etiqueta Security. 3. Seleccione el botón Advanced y después de clic en la etiqueta Auditing. 4. Seleccione Add. En el campo name del cuadro de diálogo Select User, Computer, Or Group, escriba el nombre del usuario o grupo o selecciónelo de la lista, y después de clic en OK para abrir automáticamente el cuadro de diálogo Auditing Entry. 5. Si es necesario, en el cuadro de diálogo Auditing Entry, seleccione el lugar donde se quiere que tome lugar la auditoria mediante la lista Apply Onto, esta lista solo está disponible para los directorios. 6. Bajo la opción Access, seleccione el tipo de auditoria que se quiere ejercer, Success, Failed o ambos. 7. De clic en OK. Configuraciones de Auditoria para Archivos y Directorios

15 Auditar Impresoras Como en la mayoría de los objetos, se pueden establecer opciones de auditoria para impresoras, y de esta forma monitorear su uso. Las opciones a auditar son las siguientes: Print. Genera un evento de auditoria cada vez que se imprime un documento. Managing Printer. Cubre la auditoria para la compartición, eliminación o cambio de las propiedades de una impresora. Managing Documents. Incluye el cambio de configuraciones de trabajo de un documento, así como también registra la pausa, reinicio, movimiento o eliminación de documentos de la cola de impresión. Change Permissions. Permite auditar los cambios en los permisos de la impresora. Take Ownership. Permite la auditoria de la función de toma de propiedad. Habilitar la Auditoria para Impresoras 1. Abra Printers. 2. Haga clic con el botón de derecho en la impresora que se quiere auditar y elija Properties. 3. Escoja la etiqueta Security y haga clic en el botón Advanced y después en Auditing. 4. Haga clic en Add y elija el usuario o grupo al que se desee auditar los accesos a la impresora. 5. En la columna Access, selecciones los eventos que se quieren auditar, ya sean satisfactorios o erróneos, y después haga clic dos veces en OK. Configuraciones de Auditoria para Impresoras

16 Auditoria del Registry Se puede establecer la auditoria para las claves del Registry, lo que permite monitorear acciones como la configuración o modificación de las claves del Registry. 1. Haga clic en la clave que se desea auditar. 2. Elija Permissions del menú Security, 3. Haga clic en Advanced y después en la etiqueta Auditing. 4. Oprima el botón Add y seleccione el nombre de usuario o grupo que quiera auditar. 5. En Access seleccione las opciones que se deseen auditar Configuraciones de Auditoria para Claves del Registry Las opciones que se pueden auditar en las claves de registro son las siguientes: Evento Query Value Set Value Create Subkey Enumerate Subkeys Notify Create Link Delete Write DACL Write Owner Read Control Descripción Intentos de leer el valor de una entrada de una clave de registro. Intentos de establecer un valor para una clave de registro. Intentos de crear un subclave en una clave de registro seleccionada. Intentos de identificar las subclaves de una clave de registro. Eventos de notificación de una clave en el registro. Intentos de crear vínculos simbólicos en una clave particular. Intentos de borrar un objeto de registro. Intentos de escribir una DACL en una clave de registro. Intentos de cambiar el propietario de una clave seleccionada. Intentos de abrir una DACL en la clave

17 Proteger el Registro de Eventos Para garantizar que se mantengan las entradas de los registros de eventos como información de referencia para el futuro, deberá adoptar varias medidas con el fin de proteger la seguridad de los registros de sucesos. Éstas incluyen: Definir una directiva para el almacenamiento, la sobrescritura y el mantenimiento de todos los registros de sucesos. Asegurarse de que la directiva incluya como manejar los registros de sucesos completos, en específico el registro de seguridad. Evitar que la cuenta de Guest acceda a los registros de sucesos. Asegurarse de que se auditan tanto los aciertos como los errores de los sucesos del sistema para determinar si se producen intentos de eliminación del contenido del registro de seguridad. Todos los principales de seguridad que pueden ver o modificar la configuración de auditoria deberán utilizar contraseñas complejas o métodos de autenticación. El plan de seguridad debe incluir también la seguridad física de todos los servidores para asegurarse de que ningún intruso puede obtener acceso físico al equipo en el que se está realizando la auditoria. Poner en práctica un método de eliminación o almacenamiento de los registros de sucesos en una ubicación independiente del servidor físico. Prácticas Adicionales Además de la configuración de la auditoria, existen otras prácticas que deberán implementarse para auditar de forma eficaz la seguridad del entorno del servidor. Éstas incluyen: Programar revisiones regulares de los registros de sucesos Si se programa revisiones regulares del registro de sucesos, ayudará a conseguir lo siguiente: Detección más rápida de problemas de seguridad. Definición de la responsabilidad. Reducción del riesgo de que se sobrescriban los sucesos o esté inactivo el servidor. Revisar otros archivos de registro de aplicaciones Además de revisar si existen sucesos de seguridad en los registros de sucesos de Windows 2000, deberá revisar también los registros creados por las aplicaciones. Algunos de estos pueden ser: Servicios de Internet Information Server (IIS). Internet Security and Acceleration (ISA) Server. Servicio de autenticación de Internet (IAS). Aplicaciones de terceros.

18 Supervisar los servicios y controladores instalados Muchos ataques contra un sistema por servicios instalados en el equipo destino o se realizan reemplazando controladores válidos por versiones del controlador que incluyen un caballo de Troya y que permiten así al intruso obtener acceso al equipo de destino. Las siguientes herramientas pueden utilizarse para supervisar los servicios y controladores instalados en los equipos: La consola Services. Netsvc.exe. SvcMon.exe. Drivers.exe. Supervisar los puertos abiertos Los ataques se inician a menudo con la detección de puertos para identificar servicios conocidos que se ejecutan en el equipo de destino. Deberá asegurarse de supervisar cuidadosamente los puertos que están abiertos en los servidores, lo que normalmente implica realizar una detección de los puertos para determinar aquellos a los que se puede tener acceso. Las detecciones de puertos deberán realizarse tanto de forma local, en el equipo de destino, como desde un equipo remoto. Si se puede obtener acceso al equipo desde una red pública, la detección de puertos deberá llevarse a cabo desde un equipo externo para garantizar que el software del servidor de seguridad permita solamente el acceso a los puertos deseados. Netstat.exe es una utilidad de la línea de comandos que puede mostrar todos los puertos abiertos tanto para TCP como para UDP. El comando Netstat utiliza la sintaxis siguiente: NETSTAT [-a] [-e] [-n] [-s] [-p proto] [-r] [interval] Parámetros: -a Muestra todas las conexiones y puertos en escucha. -e Muestra estadísticas Ethernet. Se puede combinar con la opción -s. -n. Muestra números de puertos y direcciones en formato numérico. -p proto Muestra conexiones del protocolo especificado por proto, que puede ser TCP o UDP. Si se usa con la opción -s para mostrar estadísticas por protocolo, proto puede ser TCP, UDP o IP. -r Muestra el contenido de la tabla de rutas. -s Muestra estadísticas por protocolo. De forma predeterminada, se pueden mostrar para TCP, UPD e IP; se puede utilizar la opción -p para especificar un subconjunto de la opción predeterminada. interval. Vuelve a mostrar las estadísticas seleccionadas, haciendo pausas con el intervalo de segundos especificado entre cada muestra. Presione CTRL+C para detener la muestra de estadísticas. Si se omite, netstat imprimirá la información de configuración actual una vez.

19 Herramienta para Visualizar el Registro de Eventos Event Viewer El registro de seguridad de Windows 2000 puede examinarse por medio de la consola MMC del Event Viewer de Windows El Event Viewer le permite ver los registros de aplicaciones, de seguridad y del sistema. Puede definir filtros para encontrar sucesos específicos en el Visor de sucesos. Para definir filtros en el Event Viewer: 1. Seleccione el registro de sucesos en cuestión en el árbol de la consola. 2. Seleccione Filter en el menú View. 3. Seleccione los parámetros de filtrado. En la etiqueta Filter del cuadro de diálogo Properties, puede definir los siguientes atributos para filtrar entradas de sucesos: Event types. El filtro puede limitarse a información, advertencias, errores, auditorias de aciertos, auditorias de errores o cualquier combinación de los tipos de suceso. Event source. El servicio o controlador específico que generó el suceso. Category. El filtro puede limitarse a categorías de sucesos específicos. Event ID. Si conoce el Id. de suceso específico que está buscando, el filtro puede limitar la lista a ese Id. de suceso concreto. User. Puede limitar los eventos mostrados a eventos generados por un usuario específico. Computer. Puede limitar los eventos mostrados a eventos generados por un equipo específico. Date intervals. Puede limitar los sucesos mostrados a aquellos que se produjeron entre fechas de inicio y de finalización específicas. Cuando se aplica el filtro, la lista de sucesos filtrada puede exportarse a una lista separada por comas o por tabulaciones para importarla a una aplicación de bases de datos.

20 Dump Event Log (Dumpel.exe) Dump Event Log es una herramienta de la línea de comandos que se incluye en Windows 2000 Server Resource Kit. Guarda un registro de sucesos de un sistema local o remoto en un archivo de texto separado por tabulaciones. Este archivo puede importarse a una hoja de cálculo o base de datos para realizar una investigación más detallada. La herramienta también sirve para filtrar determinados tipos de sucesos que se desea incluir o excluir. La herramienta dumpel.exe utiliza la sintaxis siguiente: dumpel -f archivo [-s \\servidor] [-l registro [-m origen]] [-e n1 n2 n3...] [-r] [-t] [-d x] Donde: -f archivo. Especifica el nombre de archivo del archivo de resultados. No existe ninguna opción predeterminada para -f, por lo que deberá especificar el archivo. -s servidor. Especifica el servidor para el que desea guardar el registro de sucesos. Las barras diagonales inversas del nombre de servidor son opcionales. -l registro. Especifica el registro que se debe guardar (del sistema, de aplicaciones o de seguridad). Si se especifica un nombre de registro incorrecto, se guarda el registro de aplicaciones. -m origen. Especifica el origen en que se deben guardar los registros (redirector [rdr], serie, etc.). Sólo se puede especificar un origen. Si no se utiliza este modificador, se guardan todos los sucesos. Si se utiliza un origen que no figura en el registro, se buscan los registros de este tipo en el registro de aplicaciones. -e n1 n2 n3. Realiza el filtrado por número de Id. de suceso (pueden especificarse 10 como máximo). Si no se utiliza el modificador -r, se guardan únicamente registros de estos tipos; si se utiliza - r, se guardan todos los registros excepto los registros de estos tipos. Si no se utiliza este modificador, se seleccionan todos los sucesos del nombre de origen especificado. Este modificador no puede utilizarse sin el modificador -m. -r. -t. Especifica si se deben incluir o excluir orígenes o registros específicos durante el filtrado. Especifica que las cadenas individuales aparecen separadas por tabulaciones. Si no se utiliza -t, las cadenas se separan con espacios. -d x. Guarda sucesos de los x días anteriores. Dumpel sólo puede recuperar información de los archivos de registro del sistema, de aplicaciones y de seguridad. No se puede utilizar Dumpel para consultar contenido de registros de sucesos del Servicio de replicación de archivos, de DNS o del Servicio de directorio. EventCombMT EventCombMT es una herramienta con varios subprocesos que analiza registros de sucesos de varios servidores al mismo tiempo generando un subproceso independiente de ejecución para cada servidor incluido en los criterios de búsqueda. Esta herramienta le permite: Definir un Id. de suceso único o varios Id. de suceso para su búsqueda. Puede incluir un Id. de suceso único o varios Id. de suceso separados por espacios. Definir un intervalo de Id. de suceso para su búsqueda. Los extremos son inclusivos. Por ejemplo, si desea buscar todos los sucesos entre el Id. de suceso 528 y el Id. de suceso 540 ambos inclusive, definirá el intervalo como 528 > ID < 540. Esta característica resulta útil porque