Tema 19. Directivas de seguridad y auditorías
Políticas de seguridad, auditorías, cifrado y buenas prácticas
Directivas de seguridad en Windows
▼
Directiva de seguridad local (secpol.msc)
- Directivas de cuenta: contraseñas (longitud, complejidad, historial) y bloqueo de cuentas.
- Directivas locales: auditoría, derechos de usuario, opciones de seguridad.
- Directivas de software de restricción: controlar qué aplicaciones pueden ejecutarse.
- AppLocker: control avanzado de aplicaciones por reglas (hash, ruta, editor).
PowerShell para seguridad
Get-LocalUser | Where-Object { $_.Enabled -eq $false } # Usuarios deshabilitados
Get-LocalGroupMember -Group "Administrators" # Miembros del grupo Admin
auditpol /get /category:* # Ver política de auditoría
Auditorías en Windows
▼
Configurar auditoría
secpol.msc → Directivas locales → Directiva de auditoría:
- Auditar inicio de sesión: éxito y error de logins.
- Auditar acceso a objetos: ficheros, registros accedidos.
- Auditar cambios de directivas: cambios en GPO.
- Auditar administración de cuentas: crear/borrar/modificar usuarios.
Ver eventos de seguridad
eventvwr.msc → Registros de Windows → Seguridad # PowerShell Get-EventLog -LogName Security -InstanceId 4625 -Newest 20 # Login fallidos (4625) Get-EventLog -LogName Security -InstanceId 4624 -Newest 20 # Logins exitosos (4624)
💡 IDs de eventos importantes: 4624 (login OK), 4625 (login fallido), 4648 (login explícito), 4720 (cuenta creada), 4726 (cuenta eliminada).
Seguridad en Linux — SELinux y AppArmor
▼
AppArmor (Ubuntu por defecto)
Control de acceso obligatorio (MAC) basado en perfiles por aplicación:sudo aa-status # Estado de AppArmor sudo aa-enforce /etc/apparmor.d/usr.sbin.nginx # Modo enforce sudo aa-complain /etc/apparmor.d/usr.sbin.nginx # Modo complain (solo log) sudo apparmor_parser -r /etc/apparmor.d/perfil # Recargar perfil
SELinux (Red Hat/CentOS/Fedora)
getenforce # Ver modo: Enforcing/Permissive/Disabled setenforce 0 # Modo permissive (temporal) sestatus # Estado detallado ausearch -m avc -ts recent # Eventos AVC (denegaciones)
Auditoría en Linux con auditd
sudo apt install auditd auditctl -w /etc/passwd -p rwxa -k passwd_changes # Vigilar /etc/passwd ausearch -k passwd_changes # Buscar eventos aureport --summary # Resumen de auditoría
Cifrado y protección de datos
▼
BitLocker (Windows)
Cifrado de volúmenes completos en Windows:manage-bde -status # Estado del cifrado manage-bde -on C: -RecoveryPassword # Activar con clave de recuperación manage-bde -off C: # Desactivar
LUKS en Linux (dm-crypt)
Cifrado de particiones en Linux:cryptsetup luksFormat /dev/sdb1 # Cifrar partición cryptsetup open /dev/sdb1 datos # Abrir partición cifrada mkfs.ext4 /dev/mapper/datos # Formatear mount /dev/mapper/datos /mnt/datos
GPG — cifrado de ficheros
gpg --full-generate-key # Generar par de claves gpg --encrypt --recipient [email protected] fichero.txt gpg --decrypt fichero.txt.gpg
Concepto
AppArmor
Click para ver definición
Sistema de control de acceso obligatorio en Ubuntu; restringe las acciones de cada aplicación
Click para volver
Concepto
SELinux
Click para ver definición
Security-Enhanced Linux: sistema MAC usado en Red Hat/Fedora/CentOS
Click para volver
Concepto
BitLocker
Click para ver definición
Cifrado de volúmenes completos integrado en Windows (requiere TPM)
Click para volver
Concepto
auditd
Click para ver definición
Daemon de auditoría en Linux; registra eventos del sistema según reglas definidas
Click para volver
Concepto
EventID 4625
Click para ver definición
ID de evento de Windows que indica un intento de inicio de sesión fallido
Click para volver
Concepto
LUKS
Click para ver definición
Linux Unified Key Setup: estándar de cifrado de particiones en Linux
Click para volver
📝 Test de autoevaluación
🎯 Quiz — Tema 19