Universidad de Granada

Seguridad Informática - Recopilación de información relevante sobre ciberseguridad para el personal de la Universidad de Granada

Inicio >> Archivo de Buenas Prácticas

Activar la auditoría de inicio de sesión en windows.

(Extracto de Vidatecno)

Qué es la auditoría de inicio de sesión

La auditoría de inicio de sesión es una configuración de directivas de grupo de Windows incorporada que permite a un administrador de Windows registrar y auditar cada instancia de actividades de inicio y cierre de sesión de usuarios en un equipo local o en una red. Junto con el inicio y cierre de sesión por eventos, esta función también es capaz de rastrear cualquier intento fallido de inicio de sesión. Esto es particularmente útil para determinar y analizar cualquier ataque a su equipo Windows.

Habilitar auditoría de inicio de sesión

Para habilitar la auditoría de inicio de sesión, necesitamos configurar la configuración de la directiva de grupo de Windows. Pulse «Win + R», escriba gpedit.msc y pulse el botón Intro para abrir el Editor de directivas de grupo de Windows.

Una vez que esté en el Editor de políticas de grupo, vaya a «Configuración del equipo -> Configuración de Windows -> Configuración de seguridad -> Políticas locales» y, a continuación, seleccione «Política de auditoría» en el panel izquierdo.

La acción anterior le mostrará algunas políticas en el panel derecho. Aquí haga doble clic en la política «Eventos de inicio de sesión de auditoría» para abrirla. Por favor, no confunda «Eventos de inicio de sesión de auditoría» con «Eventos de inicio de sesión de cuenta de auditoría», ya que se trata de una configuración para un propósito completamente diferente.

Una vez abierta la ventana, seleccione las casillas de verificación «Éxito» y «Fallo». Ahora haga clic en los botones «Apply» y «Ok» para guardar los cambios.

Eso es todo lo que hay que hacer. A partir de este momento, todos los intentos de inicio de sesión, de cierre de sesión y de inicio de sesión fallido se registrarán en el Visor de eventos como eventos.

Ver Logon AuditEvents

Puede ver todos los eventos de intento de inicio de sesión, cierre de sesión y inicio de sesión fallido en el Visor de eventos de Windows. Puede iniciar el Visor de Eventos buscando en el menú de inicio. Si está usando Windows 8, puede iniciar lo mismo usando el menú Power User (Win + X).

Una vez que haya iniciado el Visor de eventos, vaya a Registros de Windows y luego a la ficha Seguridad.

Aquí encontrará todos los eventos relacionados con la seguridad que ocurrieron en su sistema Windows. Si hace doble clic en la palabra clave «Éxito de la auditoría», descubrirá los detalles como el usuario que ha iniciado o cerrado la sesión, la marca de tiempo, etc. Como consejo, puede filtrar los registros de eventos usando «Event ID» o «Task Category». Como puede ver en la siguiente imagen, Logon Auditing también realiza un seguimiento de los intentos de inicio de sesión fallidos.

Eso es todo lo que hay que hacer, y es así de simple rastrear los inicios de sesión de los usuarios en su sistema Windows.

Gestores de contraseñas.

Es normal que hoy en dia tengamos varias contraseñas para los diferentes servicios digitales que tenemos, como sabeis es aconsejable no poner siempre la misma, es como si tuviese la misma llave para todas las puertas, si tuviesemos varias casas, una vez que nos la copien pueden acceder a todas nuestras casas, por eso siempre debemos utilizar claves diferentes. En este caso un gestor de contraseñas es como un llavero que nos facilita la vida ya que es imposible que nos acordemos de todas.

Nos puede pasar como dicen en esta chirigota https://youtu.be/LWK7Uq0MxEg

Por ello desde la OSI (Oficina de Seguridad del Internauta) nos dejan un pequeño manual para utilizar un gestor que ellos han elegido, lo podeis ver en este enlace https://www.osi.es/es/actualidad/blog/2021/01/27/gestores-de-contrasenas-como-funcionan Tambien podemos bajarnos algunos gestores de la OSI en este enlace https://www.osi.es/es/herramientas-gratuitas?herramienta_selec%5B0%5D=118

En este otro enlace podeis ver varios gestores de contraseñas https://www.xataka.com/basics/gestores-contrasenas-que-cuales-populares-como-utilizarlos

Espero que os sea util este post.

Seguridad para trabajo en la nube.

Cada vez utilizamos mas la nube para nuestro trabajo dentro de la administración y en aspectos docentes. Por ello debemos ponernos al dia en que pautas debes seguir para no encontrarnos con sorpresas. Siempre he aconsejado utilizar los medios propios de la UGR como principal recurso, y en el caso de falta de recursos solicitarlos de forma justificada a los responsables del CSIRC. Llegados a que no podemos utilizar lo medios propios deberíamos:

– Cambiar claves de forma periódica y utilizar segundo factor de autenticación cuando se permita en el recurso de la nube.

– Saber que lo que subamos a la nube es de responsabilidad del que lo sube. Que si es algo que está protegido por derechos de copia las empresas de la nube se reservan el derecho de eliminar los contenidos o bloquear cuentas. Por ello no aconsejo subir documentos que formen parte de un expediente adminitrativo a la nube por si acaso  consideran que tienen que borrarlo.

– Cuando utilizamos datos personales es mejor subirlos cifrados, para evitar posibles fugas. Y dejarlos en la nube el tiempo justo para disminuir la superficie de exposicion en ciberseguridad.

– Hacer copias en local, nunca aseguran que tenemos podamos recuperar los datos. En la mayoría de los casos sí pero ….

– Asegurarnos que hay contrato firmado con UGR para disponer de dichos medios. Evita trabajar con servicios de nube si no hay contrato ya que el responsable eres tú.

 

En este sentido desde la Oficina de Proteccion de Datos se editó un documento donde se dieron una pautas de seguridad, aconsejo revisarlo https://secretariageneral.ugr.es/pages/proteccion_datos/documentos/documentosobremedidasdeproteccion

Otros enlace de la Agencia de Proteccion de Datos.

https://www.aepd.es/es/documento/guia-cloud-clientes.pdf-0

https://www.aepd.es/es/documento/guia-orientaciones-apps-datos-alumnos.pdf

Tambien revisa las publicaciones realizadas en este blog al respecto de cifrado y nube.

https://blogs.ugr.es/seguridadinformatica/?s=nube

Si tienes algunas dudas preguntanos a Seguridad Informática.

 

Teletrabajo y protección de datos en el ámbito digital.

Si tu organización ha mantenido el teletrabajo, te damos algunas claves que debes tener en cuenta para proteger adecuadamente los datos personales tanto de las personas trabajadoras que realizan teletrabajo como de tus clientes y/o proveedores.

Asi empieza la publicacion de la AEPD para teletrabajo, aquí teneis en enlace de la publicación https://www.aepd.es/es/prensa-y-comunicacion/blog/teletrabajo-y-pd-en-el-ambito-digital , puedes encontrar algunas recomendaciones.