Windows hoyo 2 : Sin informes de logon/logoff

En Windows no hay forma de obtener un informe que diga «Juan se conectó a las  8:00 y se desconectó a las 11:00.»

Nuevamente, el motivo es que el controlador de dominio no realiza un seguimiento del hecho de que Juan todavía está conectado aquí en esta computadora.

Algunos de ustedes podrían pensar que si combinamos los registros de seguridad en esos controladores de dominio y filtramos los eventos correctamente, podríamos obtener un informe de todos los inicios de sesión que también nos mostrarán todas estas conexiones a otros servidores.

Si lo ha intentado, sabe lo problemático que puede ser obtener una lista de todos los inicios de sesión al mirar los registros de seguridad de su controlador de dominio, a menos que tenga la capacidad de correlacionar varios eventos en una fila en su informe.

Algunos otros podrían sugerir que simplemente podríamos rastrear todos los eventos de inicio y cierre de sesión de la red y luego armar un informe que muestre todas las sesiones de inicio de sesión, mostrándonos no solo cuándo Juan inició sesión, sino cuánto tiempo permaneció conectado y luego cuándo cerró la sesión. Bueno, eso no funciona. Cuando un usuario asigna una unidad a un servidor, abre un archivo en este servidor y luego lo cierra, el servidor de archivos cierra (en unos segundos o como máximo un par de minutos) esa sesión de inicio de sesión y registra un evento de cierre de sesión (en el registro de seguridad).

El usuario todavía está sentado en su estación de trabajo y simplemente no tiene idea de que acaba de cerrar sesión en el servidor. La próxima vez que intenta abrir un archivo aquí en el servidor, la estación de trabajo se da cuenta de que se ha desconectado y  lo vuelve a conectar silenciosamente al servidor, lo que genera otro evento de inicio de sesión en el servidor. Y luego, una vez que cierra ese archivo y no tiene ningún otro archivo abierto en el servidor, el servidor cierra esa conexión nuevamente, generando otro evento de cierre de sesión en el servidor de archivos. Es por eso que los servidores de archivos suelen mostrar cientos de eventos de inicio y cierre de sesión para el mismo usuario a lo largo del día.

Por lo tanto, no hay absolutamente ninguna manera de reconstruir la sesión de inicio de sesión general del usuario mirando los registros del controlador de dominio o los registros del servidor de archivos. Y eso deja los registros de seguridad en todas sus estaciones de trabajo. A excepción de algunas redes pequeñas de muy alta seguridad, relacionadas con el gobierno, nunca he visto ninguna empresa que recopile todos los registros de seguridad de sus estaciones de trabajo. Eso no quiere decir que sea imposible, pero puede imaginarse los costos de almacenamiento y licencia al intentar hacer eso y, por lo tanto, es poco práctico intentar usar el registro de seguridad para generar este importante informe en primer lugar.

Ahora bien, ¿por qué son tan importantes los informes de inicio y cierre de sesión?

Ofrece la capacidad de responder preguntas cruciales cuando se trata de investigaciones posteriores a un incidente. ¿Quién estaba realmente conectado? ¿Dónde estaban conectados? ¿Cuándo iniciaron sesión? ¿Cuánto tiempo permanecieron conectados? ¿Cuándo se desconectaron?. En un momento dado, ¿Qué personas iniciaron sesión en sus sistemas? Y eso es lo que no obtenemos con la funcionalidad nativa de Windows …

No obstante, esta función es necesaria para que un sistema de información cumpla con las principales restricciones reglamentarias, que incluyen:

  • Sarbanes-Oxley (secciones 404 y 802)
  • LSF (Ley de seguridad financiera francesa – secciones de «control de la implementación» y de «presentación de informes»)
  • Bâle II (Reglamento europeo para establecimientos financieros – secciones «Recoger y registrar incidentes» y «Informes»)
  • PCI (secciones «Vigilancia» y «Seguimiento y archivo»)
  • US Patriot Act (sección «Gestión y seguimiento de usuarios»)

UserLock registra todos los eventos de bloqueo y registro de sesiones en una base de datos ODBC (Access, servidor SQL Server, Oracle…) para referencia futura. Los informes se pueden generar automáticamente a intervalos regulares, con el fin de actualizar un sitio web de Intranet, o se pueden enviar por correo electrónico (utilizando software de terceros).

UserLock proporciona 9 informes predefinidos:

  • Historial de sesiones: Lista completa de sesiones (inicio de sesión, bloqueo, desbloqueo, instancias de cierre de sesión, usuarios, dominios, estaciones de trabajo …)
  • Estadísticas de sesión: muestra para un usuario y período determinados, sesiones totales, tiempo total de conexión, tiempo promedio por sesión, por día trabajado o por semana.
  • Evolución del recuento de sesiones: vista de la evolución del total de sesiones abiertas
  • Historial de RAS / VPN: vista del historial de sesiones de RAS / VPN
  • Estadísticas de usuarios de RAS / VPN: vista de las estadísticas de las sesiones de RAS / VPN
  • Evolución de las estadísticas de RAS / VPN: un gráfico que muestra la evolución del número de sesiones de RAS / VPN
  • Sesiones de usuario: vista instantánea de todas las sesiones de usuario en el momento de la visualización.
  • Distribución del agente: vista del estado de instalación del agente en todos los equipos de la zona de red protegida.
  • Dashboard: versión imprimible de Dashboard

<< pág. anteriorpág. siguiente >>