Compartir a través de

Auditoría en sistemas de archivos

  • Artículo

Uno de los principios de un buen diseño de seguridad es admitir que no hay nada como un sistema seguro. Los desarrolladores saben que ciertas personas intentan eludir cualquier seguridad que esté presente. Esta elusión podría realizarse activamente, por ejemplo, por actores incorrectos que sondeen el subsistema de seguridad para encontrar y aprovechar los agujeros. O podría ser accidental, por ejemplo, sobrescribir o eliminar datos críticos accidentalmente. Sea cual sea la causa, es imperativo construir un sistema que pueda detectar dichas infracciones.

El sistema de auditoría de Windows proporciona un mecanismo para realizar un seguimiento de eventos de seguridad específicos para que el registro se pueda analizar más adelante para realizar análisis posteriores de un sistema dañado o en peligro. Este mecanismo de auditoría implica íntimamente el sistema de archivos porque el sistema de archivos es responsable de mantener el almacenamiento persistente de los datos del sistema. Para muchos sistemas, las necesidades de seguridad son más bajas y, en esos casos, la auditoría está deshabilitada. Los sistemas de archivos deben implementarse de tal manera que puedan abordar las preocupaciones de ambos entornos.

Entre las rutinas clave para la auditoría se incluyen las siguientes:

  • SeAuditingFileEvents, que determina si la auditoría de archivos está habilitada en el sistema. Esta comprobación de directiva global determina si se debe realizar una comprobación de auditoría completa. Se introdujo para optimizar las operaciones del sistema de seguridad.

  • SeAuditingFileOrGlobalEvents, que determina si la auditoría global o de archivos está habilitada en el sistema. Esta comprobación de directiva global determina si se debe realizar una comprobación de auditoría completa en eventos de archivo o eventos globales. Se introdujo para optimizar las operaciones del sistema de seguridad.

  • SeOpenObjectAuditAlarm, que realiza las operaciones de auditoría principales en el sistema Windows. Audita un intento de abrir un objeto . No audita si el acceso al objeto se realizó correctamente o no.

No hay ningún requisito para la auditoría. Por ejemplo, los sistemas de archivos de ejemplo FastFAT y CDFS no implementan auditoría. Sin embargo, desde una perspectiva de seguridad, la auditoría es importante porque permite a los administradores supervisar el comportamiento de seguridad del sistema.