Cómo puede ayudar la política de seguridad local (pistas para buscar):
* Política de bloqueo de cuenta:
* Registro de auditoría de éxito y fallas: Habilite la auditoría para eventos de inicio de sesión de cuenta. ¡Esto es crucial! Puede encontrar estas configuraciones en:
* `Configuración de seguridad -> Políticas locales -> Política de auditoría -> Eventos de inicio de sesión de la cuenta de auditoría
* Umbral de bloqueo de cuenta: Si tiene un umbral de bloqueo de cuenta bajo (por ejemplo, 3 intentos de inicio de sesión no válidos), los intentos de inicio de sesión fallidos repetidos bloquearán la cuenta. Un alto umbral de bloqueo no lo protegerá contra los ataques con contraseña. Este es un signo de alguien que intenta adivinar la contraseña.
* Duración de bloqueo de cuenta: Cuanto más larga sea la duración del bloqueo, más perjudicial es. Se necesita un equilibrio.
* Restablecer el contador de bloqueo de la cuenta después de: Esto define el período después del cual se restablece el contador de intentos de inicio de sesión no válidos.
* Qué buscar en los registros de eventos: Después de configurar la política de bloqueo de la cuenta y habilitar el registro de auditorías, use el visor de eventos y el filtro para eventos relacionados con:
* ID de evento 4776 (autenticación Kerberos): Los eventos de falla aquí pueden indicar que alguien está tratando de contraseñas de Kerberos de fuerza bruta.
* ID de evento 4625 (una cuenta no pudo iniciar sesión): Este es el evento general de "inicio de sesión fallido". Examine el "Nombre de la cuenta", la "estación de trabajo de origen", el "tipo de inicio de sesión" y la "información de falla" en el evento. Las fallas repetidas de la misma dirección IP de origen o estación de trabajo son sospechosas.
* ID de evento 4740 (se bloqueó una cuenta de usuario): Este es un indicador crucial de que la política de bloqueo de la cuenta se ha activado debido a demasiados intentos fallidos. El registro de eventos le dirá qué cuenta fue bloqueada.
* Política de auditoría:
* Habilitar auditoría: Además de los eventos de inicio de sesión de la cuenta, considere habilitar la auditoría para otros eventos como:
* Acceso de objeto de auditoría: Seguimiento de acceso al archivo y la carpeta. Si se compromete una cuenta, el atacante podría estar accediendo a datos confidenciales.
* Privilegio de auditoría Uso: Rastree cuando los usuarios ejercen privilegios especiales (por ejemplo, derechos del administrador). El uso inusual de privilegios por un usuario podría ser un signo de compromiso.
* Eventos del sistema de auditoría: Rastree los cambios del sistema, los reinicios, etc. Los cambios en la configuración del sistema podrían indicar un actor malicioso.
* Tamaño del registro de eventos: Aumente el tamaño de su registro de eventos de seguridad para evitar que se envuelva demasiado rápido. Si el registro es demasiado pequeño, perderá datos históricos importantes.
* Política de contraseña:
* Historial de contraseña: Evite que los usuarios reutilicen contraseñas antiguas.
* Edad de contraseña máxima: Obliga a los usuarios a cambiar las contraseñas regularmente.
* Edad de contraseña mínima: Evite que los usuarios cambien las contraseñas con demasiada frecuencia (por ejemplo, para eludir el historial de contraseñas).
* Longitud mínima de contraseña: Haga cumplir las contraseñas seguras.
* La contraseña debe cumplir con los requisitos de complejidad: Requiere una combinación de mayúsculas, minúsculas, números y símbolos.
* Política de bloqueo de cuenta Si la cuenta está bloqueada, esa es la primera señal.
* Asignación de derechos de usuario:
* Revise cuidadosamente quién tiene derechos administrativos sobre el sistema. Limite el acceso administrativo solo a aquellos que realmente lo necesitan. Busque cuentas que hayan obtenido inesperadamente privilegios administrativos.
Cómo encontrar información en el visor de eventos:
1. Open Event Viewer: Escriba "EventVWR" en la barra de búsqueda de Windows y presione Entrar.
2. Navegue a registros de seguridad: En el panel izquierdo, expanda "Windows Logs" y haga clic en "Seguridad".
3. Eventos de filtro: En el panel derecho, haga clic en "Filtro de registro actual". Use los siguientes filtros:
* ID de evento: Use los ID de evento mencionados anteriormente (4776, 4625, 4740, etc.).
* Palabras clave: Filtrar para palabras clave como "Auditoría de falla", "bloqueo de cuenta", "falla de inicio de sesión".
* usuario: Filtrar para el nombre de usuario específico que está investigando.
* Fuente del evento: Filtrar por la fuente del evento para ver si eso le ayuda a encontrar eventos de un servicio específico.
Limitaciones:
* Reactivo, no proactivo: La política de seguridad local es principalmente reactiva. Le ayuda a investigar * después de * un ataque potencial, no necesariamente a evitarlo en tiempo real.
* Alcance limitado: La política de seguridad local solo afecta la máquina * local *. No proporciona una vista centralizada en múltiples sistemas en un dominio. Si un atacante está tratando de comprometer cuentas en su red, la política de seguridad local en una sola máquina no le dará la imagen completa.
* No es un reemplazo para el software de seguridad: La política de seguridad local no es un sustituto del software antivirus, los firewalls, los sistemas de detección de intrusos (IDS) u otras herramientas de seguridad.
* manipulación de registros: Un atacante experto que ha obtenido acceso administrativo puede limpiar o modificar los registros de eventos, lo que dificulta detectar sus actividades.
* falsos positivos: Los intentos de inicio de sesión fallidos a veces pueden ser legítimos (por ejemplo, los usuarios que bridea su contraseña). Debe investigar el contexto de los eventos para determinar si son realmente maliciosos.
Mejores alternativas para el monitoreo de toda la red:
Para un monitoreo integral de seguridad en una red, considere estas alternativas:
* Reenvío de registro de seguridad de Windows: Configure Windows para reenviar registros de seguridad a un servidor de registro central (por ejemplo, usar Windows Event Collector o un SIEM). Esto le permite analizar eventos de todas las máquinas en un solo lugar.
* Sistemas de información de seguridad y gestión de eventos (SIEM): Los SIEM recopilan registros de varias fuentes (servidores, firewalls, dispositivos de red, etc.) y proporcionan análisis avanzados, correlación y alertas. Los ejemplos incluyen:
* Splunk
* QRADAR
* Microsoft Sentinel
* Aliendevault
* Sistemas de detección de intrusos (IDS) y sistemas de prevención de intrusos (IPS): Estos sistemas monitorean el tráfico de la red y la actividad del sistema para patrones maliciosos y pueden bloquear o alertar automáticamente sobre actividades sospechosas.
En resumen:
La política de seguridad local puede ser una herramienta útil para investigar posibles intentos de piratería en una máquina * local *. Sin embargo, es esencial comprender sus limitaciones y usarlas junto con otras medidas de seguridad para una protección integral. Concéntrese en habilitar la auditoría, configurar cuidadosamente las políticas de bloqueo de cuentas y revisar regularmente los registros de eventos de seguridad. Para una vista en toda la red y una detección de amenazas más avanzada, considere usar el reenvío de registro, los sistemas SIEM y las soluciones IDS/IPS.