La importancia de habilitar la auditoría de los servicios informáticos

Un análisis forense se verá favorecido, en menor o mayor grado, dependiendo de qué tanto los sistemas registran eventos de auditoría. Por ejemplo, no debe causar sorpresa encontrar que los servidores Windows traen opciones de auditoría deshabilitadas. Es sencillo habilitar un servidor de archivos, y puede ocurrir que solo hasta que se presente la necesidad de saber cuándo y quién borró un archivo, se viene uno a dar cuenta de que en forma predeterminada los servidores Windows (Windows Server 2008 R2 por ejemplo) traen las opciones de auditoría local deshabilitadas, como se puede leer en uno de los propios sitios de Microsoft:

"Antes de implementar una auditoría, debe tomar una decisión sobre una directiva de auditoría. Una directiva de auditoría especifica las categorías de eventos relacionados con la seguridad que desea auditar. Cuando esta versión de Windows se instala por primera vez, todas las categorías de auditoría están deshabilitadas."

De igual manera ocurre en servidores de archivos Samba bajo Linux. La auditoría de servidores de archivos Linux con Samba. A partir de la versión 3.0.25 de Samba es posible registrar en el sistema log de un servidor Linux, operaciones tales como creación, modificación, borrado o renombrado de archivos o carpetas, mediante el uso del módulo VFS vsf_full_audit. Aquí una muestra de cómo se habilita y configura.

En servidores Windows, la auditoría se habilita primero accediendo a la opción Directivas de Auditoría bajo Directivas Locales, por ejemplo así:

El siguiente paso consiste en adicionar reglas de auditoría por usuario o por evento utilizando la opción de Configuración de Seguridad Avanza que aparece al hacer clic derecho sobre una carpeta compartida que se desea auditar, como se aprecia en la siguiente imagen:

Fuente: http://i.technet.microsoft.com/dynimg/IC68974.jpg

Finalmente, para consultar los registros auditados debe utilizarse el visor de eventos del sistema, bajo la rama de seguridad, como se aprecia en la siguiente imagen.

Fuente: Monitorea el acceso a carpetas y archivos en Windows

No obstante lo anterior, esa auditoría es complicada ya que se hace todo en torno a las limitaciones propias de la base de datos de eventos del sistema de Windows, por ello, es recomendable considerar herramientas de terceros, por ejemplo ésta, cuándo haya una razón legal o gerencial para disponer de una buena auditoría.

Un experto forense debe conocer no solo este sino muchos otros temas ya que en el curso de una investigación puede requerir ubicar y analizar archivos log existentes o eliminados.