4. Introducció
L’auditoria informàtica és un procés que consisteix a fer una anàlisi de la situació actual del sistema
informàtic. La funció de l’auditoria és la de preveure problemes abans que aquests tinguin un impacte
en el sistema.
L’auditoria informàtica és un procés global que afecta tant als treballadors com al sistema. En aquest
document només es farà èmfasi a l’obtenció i anàlisi de la informació emmagatzemada en el sistema
informàtic.
L’auditoria ha de permetre detectar possibles defectes del sistema actual: per exemple, en una auditoria
es pot detectar una política d’actualització del programari deficient.
Procés auditoria
Per a poder auditar els nostres sistemes es requereixen una sèrie d’eines. Aquestes eines ens han de
permetre analitzar què ha passat i poder deduir l’evolució del sistema a partir d’aquesta informació. El
primer que cal fer és plantejar-nos quina part del sistema es vol auditar.
Auditoria en Windows
L’auditoria té sentit quan el sistema està centralitzat: per tant, hi ha un o més servidors sobre els quals
es realitzen les diferents tasques de manteniment i gestió del sistema. És precisament aquests servidors
en els quals serà necessari realitzar les tasques d’auditoria. Tot i això, l’auditoria també es pot realitzar
sobre sistemes que no tenen l’«Active Directory» instal·lat.
Per a fer un seguiment dels esdeveniments que es produeixen en el sistema disposem de l’eina «Group
Policy Management1
». Aquesta eina ens permet configurar els elements que es volen auditar en el
sistema. Cal combinar l’eina de «Group Policy Management» amb el visor d’esdeveniments («Event
Viewer») per a poder localitzar els diferents registres d’auditoria. Una bona opció per a disposar d’un
informe diari, setmanal,... és la creació d’una vista personalitzada en l’eina de «l’Event Viewer».
Windows ofereix dues opcions d’auditoria: avançada i bàsica. L’auditoria bàsica és a un nivell més
general mentre que en el cas de l’auditoria avançada es pot establir un major detall dels elements a
auditar.
Dins de l’eina «Group Policy Management» cal accedir
editar la política de seguretat sobre el qual volem aplicar
l’auditoria. En el nostre cas utilitzem la política per defecte;
tal i com es mostra en la imatge.
1 Administrative Tools → Group policy Management
5. En les següents imatges es mostre l’auditoria avançada i la bàsica.
Per a aplicar els canvis realitzats a nivell de política de seguretat, cal executar la comanda gpupdate.
Podrem comprovar els registres d’auditoria a través de l’eina «Event Viewer».
Habilitació política de seguretat
6. Video: Configuració auditoria en un sistema Windows Server
Esdeveniments d'auditoria
Vista personalitzada pels registres d’auditoria