SSI T2 Seguridad en Sistemas Informáticos PDF
Document Details
Uploaded by FoolproofHeliotrope3116
Universidad de Cádiz
2024
null
null
Tags
Summary
These lecture notes from the Universidad de Cádiz cover the topic of security in operating systems for a Computer Engineering degree. The document discusses various security aspects, including access control, authentication methods, password security, backups/recovery and audit aspects.
Full Transcript
SSI T2 Grado en Ingeniería Informática Control de Seguridad en los Sistemas Informáticos acceso al sistema Tema 2: Seguridad de los sistemas operativos Control de acceso a los datos Copias de seguridad Grado en Ingeniería Informática Auditorías Análisis...
SSI T2 Grado en Ingeniería Informática Control de Seguridad en los Sistemas Informáticos acceso al sistema Tema 2: Seguridad de los sistemas operativos Control de acceso a los datos Copias de seguridad Grado en Ingeniería Informática Auditorías Análisis Departamento de Ingeniería Informática forense Universidad de Cádiz Curso 2024–2025 Índice SSI T2 Grado en Ingeniería Informática 1 Control de acceso al sistema Control de acceso al sistema 2 Control de acceso a los datos Control de acceso a los datos 3 Copias de seguridad Copias de seguridad Auditorías 4 Auditorías Análisis forense 5 Análisis forense Seguridad en el sistema SSI T2 Grado en Ingeniería Informática Control de acceso al sistema La seguridad de un sistema debe contemplar 3 aspectos Control de fundamentales: acceso a los datos Control de acceso al sistema. Copias de seguridad Control de acceso a los datos. Auditorías Administración del sistema y de la seguridad. Análisis forense Control de acceso al sistema SSI T2 Grado en Ingeniería Informática Control de acceso al sistema Los sistemas operativos suelen proporcionar un mecanismo de Control de control del acceso de los usuarios. Este suele constar de dos acceso a los datos pasos: Copias de seguridad 1 Identificación del usuario. Auditorías 2 Autenticación del usuario. Análisis forense Métodos de autenticación SSI T2 Grado en Ingeniería Informática Control de acceso al Los métodos de autenticación se suelen dividir en tres grandes sistema categorías: Control de acceso a los datos 1 Algo que el usuario sabe. Copias de 2 Algo que el usuario posee. seguridad Auditorías 3 Una característica física del usuario (autenticación Análisis biométrica). forense Autenticación Multifactorial (MFA) SSI T2 Grado en Ingeniería Informática Con el paso de los años cada vez es más usual que los Control de servicios utilicen autenticación multifactorial. acceso al sistema La autenticación multifactor consiste en un proceso de Control de acceso a los seguridad que requiere dos o más factores de verificación datos para probar la identidad de un usuario. Copias de seguridad Este proceso requiere la combinación de, al menos, dos Auditorías factores de dos categorías diferentes. Análisis forense Un ejemplo de esta autenticación sería requerir la contraseña de un usuario y además el código proporcionado por alguna aplicación, por ejemplo, Google Authenticator. La elección de las contraseñas (I) SSI T2 Grado en Principio general Ingeniería Informática Una buena contraseña debe ser difícil de adivinar (tanto por las personas como mediante métodos automatizados). Control de acceso al sistema Recomendaciones Control de acceso a los Deben ser lo más largas posible (mínimo 8 caracteres). datos Copias de Conviene combinar caracteres numéricos y alfanuméricos, letras seguridad mayúsculas, minúsculas y caracteres especiales ( %, $, &,... ) Auditorías Deben evitarse las palabras de cualquier idioma y los nombres propios. Análisis forense No deben utilizarse combinaciones simples de datos personales: iniciales del nombre, fecha de nacimiento, DNI, teléfono, matrícula del coche, etc. Utilizar contraseñas fáciles de recordar, para evitar tenerlas apuntadas. Son especialmente recomendables los acrónimos de frases que uno recuerde fácilmente. La elección de las contraseñas (II) SSI T2 Recomendaciones Grado en Ingeniería Si nos basamos en el número de combinaciones posible como medida para Informática determinar la dificultad de rotura de una contraseña, siempre será preferible aumentar el número de carácteres de la misma a la combinación de Control de diferentes tipos de carácteres. acceso al sistema Esto nos ayudará a recordarla más fácilmente. Control de acceso a los datos Copias de seguridad Auditorías Análisis forense Fuente: https://www.welivesecurity.com/la-es/2013/11/28/ tamano-si-importa-construyendo-contrasena-larga-segura/ Protección de las contraseñas SSI T2 Grado en Precauciones a tomar por los usuarios Ingeniería Informática No compartir nunca su contraseña. Control de acceso al Cambiarla cada cierto tiempo. sistema No escribir ni teclear su contraseña delante de otras Control de acceso a los personas. datos Copias de No enviar la contraseña por correo electrónico. seguridad Si la contraseña se guarda por escrito, hacerlo en un lugar Auditorías de difícil acceso para otras personas y de forma que no Análisis forense pueda ser adivinada su función. También podemos usar webs para comprobar si nuestra contraseña ha sido filtrada en algún momento. Un ejemplo es Have I Been Pwned : https://haveibeenpwned.com/ Protección de las contraseñas (cont.) SSI T2 Grado en Ingeniería Informática Control de Precauciones a tomar por el administrador acceso al sistema No debe crear nunca cuentas sin contraseña. Control de acceso a los Cambiar la contraseña después de instalar el sistema. datos Copias de Proteger de forma adecuada el fichero del sistema donde se seguridad almacenan las contraseñas. Auditorías Vigilar las cuentas de los usuarios accidentales, ya que son Análisis forense las más propensas a la penetración por parte de intrusos. Protección de las contraseñas (cont.) SSI T2 Grado en Ingeniería Informática Control de Protección automatizada: acceso al sistema Número limitado de intentos de acceso. Control de acceso a los Control de calidad de las contraseñas. datos Caducidad de contraseñas. Copias de seguridad Generación automática de contraseñas. Auditorías Bloqueo de cuentas. Análisis forense Registro de entradas. Protección de las contraseñas (cont.) SSI T2 Grado en Ingeniería Informática Control de acceso al Protección del fichero de contraseñas sistema Control de Las contraseñas tienen que guardarse cifradas. El método acceso a los datos criptográfico utilizado debe ser irreversible para que no sea Copias de posible descifrarlas. seguridad El fichero que contiene las contraseñas no debería ser Auditorías Análisis visible a los usuarios. forense Las contraseñas en UNIX/Linux SSI T2 Grado en Ingeniería Informática El sistema clásico Control de acceso al sistema Las contraseñas se guardaban cifradas en el fichero Control de /etc/passwd (lectura pública). acceso a los datos Formato del fichero: Copias de login:passwd:UID:GID:varios:dir-entrada:shell seguridad Auditorías Problemas: Se podían adivinar contraseñas comparando Análisis palabras de un diccionario cifradas con las almacenadas en forense el fichero /etc/passwd. Las contraseñas en UNIX/Linux (cont.) SSI T2 Grado en Ingeniería Informática Control de acceso al sistema Mejora de la seguridad de las contraseñas Control de acceso a los El fichero /etc/passwd no contiene la contraseña datos codificada. Copias de seguridad Esta se encuentra en el fichero /etc/shadow que no es de Auditorías lectura pública. Análisis forense Autenticación local en Windows SSI T2 Grado en Ingeniería Informática Local Security Authority Server Service (LSASS) Control de LSASS es el servicio encargado del control de acceso al sistema. acceso al sistema Su principal función es la de gestionar los accesos a Security Control de acceso a los Accounts Manager (SAM). datos Copias de seguridad SAM Auditorías Base de datos local donde se almacenan el usuario y las Análisis credenciales hasheadas (hash NTLM o hash LM) de los usuarios forense con medios de autenticación local, es decir, los usuarios locales y usuarios de dominio autenticados de manera local. Autenticación a nivel de dominio en Windows SSI T2 Directorio activo Grado en Ingeniería Uno de los principales usos de un entorno de directorio Informática activo es gestionar el acceso a diversos recursos de la Control de acceso al organización. sistema Permite autenticar a un usuario desde cualquier equipo Control de acceso a los dentro del entorno. datos Copias de Para ello, existen diversos métodos de autenticación; los seguridad más comunes son Kerberos y NTLM. Auditorías Análisis forense NTDS.dit Similar a la base de datos SAM usada para la autenticación local pero con la información de todos los usuarios del dominio. Este archivo se encuentra en los controladores de dominios. Sistemas de autenticación biométrica SSI T2 Grado en Ingeniería Informática Control de acceso al Pueden utilizar cualquier característica única y mensurable sistema del individuo. Se han utilizado: Control de acceso a los Iris del ojo. datos Retina del ojo. Copias de Huellas dactilares. seguridad Geometría de la mano. Auditorías Firma. Análisis forense Voz. Sistemas de autenticación biométrica (cont.) SSI T2 Grado en Fases Ingeniería Informática 1 Captura o lectura de los datos que el usuario presenta para su validación. Control de acceso al sistema 2 Extracción de ciertas características de la muestra. Control de 3 Comparación de tales características con las guardadas en una acceso a los datos base de datos. Copias de seguridad 4 Decisión de si el usuario es válido o no. Auditorías Análisis Problemas forense Tasa de falso rechazo Probabilidad de que el sistema de autenticación rechace a un usuario legítimo. Tasa de falsa aceptación Probabilidad de que el sistema autentique correctamente a un usuario ilegítimo. Sistemas de autenticación biométrica (cont.) SSI T2 Grado en Ingeniería Informática Control de acceso al Ejercicio 2.1 sistema Control de Si un sistema de autenticación biométrica tiene una tasa de acceso a los falso rechazo elevada: datos Copias de ¿Para quién sería más perjudicial, para los usuarios o para seguridad el sistema? Auditorías Análisis ¿Y si fuera elevada la tasa de falsa aceptación? forense Mecanismos de control de acceso a la información SSI T2 Grado en Ingeniería Informática Control de acceso al sistema Determinan qué información puede ser utilizada por cada Control de usuario del sistema. acceso a los datos Pueden constituir una segunda barrera ante los intrusos Copias de seguridad que consigan saltarse los mecanismos de control de acceso Auditorías al sistema. Análisis forense Modelo de control de acceso SSI T2 Elementos básicos Grado en Ingeniería Sujeto Es una entidad capaz de acceder a los objetos. En Informática general, podemos equiparar el concepto de sujeto Control de acceso al con el de proceso. sistema Objeto Cualquier recurso cuyo acceso deba controlarse, Control de acceso a los por ejemplo, ficheros, partes de ficheros, datos segmentos de memoria, etc. Copias de seguridad Derecho de acceso La forma en que un sujeto accede a un Auditorías objeto, por ejemplo, lectura, escritura y ejecución. Análisis forense Fichero1 Fichero2 Fichero3 Usuario A rw r Usuario B rw r Usuario C rw Listas de control de acceso y listas de capacidades SSI T2 Grado en Ingeniería Informática Listas de control de acceso Resultan de la descomposición por columnas de la matriz Control de acceso al de acceso. sistema Control de Existe una por cada objeto del sistema y enumera los acceso a los datos usuarios y los derechos de acceso de estos al objeto. Copias de seguridad Listas de capacidades Auditorías Análisis Resultan de la descomposición por filas de la matriz de forense acceso. Hay una por cada sujeto y enumera los derechos de acceso de este a los objetos del sistema. Control por niveles de seguridad SSI T2 Grado en Ingeniería Acceso discrecional y obligatorio Informática Acceso discrecional Deja en manos de los usuarios la decisión Control de acceso al de qué tipos de acceso permite para los ficheros sistema que posee. Control de acceso a los Acceso obligatorio Es el sistema el que toma todas las datos decisiones sobre el acceso a los datos basándose Copias de seguridad en unas reglas fijas y en un esquema de Auditorías clasificación que establece los niveles de seguridad Análisis forense de los distintos sujetos y objetos que comparten el sistema. Esta política puede ser implementada por medio del denominado control por niveles de seguridad. Control por niveles de seguridad (cont.) SSI T2 Grado en Ingeniería Informática Es apropiado para organizaciones que tienen requisitos Control de acceso al elevados de seguridad y los usuarios operan de modo sistema jerárquico y disciplinado (organizaciones militares, agencias Control de acceso a los de inteligencia, empresas con altos requisitos de seguridad). datos Cada sujeto y objeto tiene asociada una etiqueta. Copias de seguridad La etiqueta consta de dos partes: Clasificación y un Auditorías conjunto de Categorías. Análisis forense Ejemplo de etiqueta: Secreto [Armas-Químicas Oriente-Medio] Control por niveles de seguridad (cont.) SSI T2 Grado en Niveles de seguridad en entorno militar Ingeniería Informática 1 Alto secreto Control de 2 Secreto acceso al sistema 3 Confidencial Control de acceso a los 4 No clasificado datos Copias de seguridad Niveles de seguridad en entorno empresarial Auditorías 1 Propietario Análisis forense 2 Directivo 3 Jefe de Departamento 4 Empleado 5 Público Control por niveles de seguridad (cont.) SSI T2 Grado en Ingeniería Informática Categorías Control de Las categorías no son jerárquicas. acceso al sistema Representan las distintas áreas de información del sistema. Control de acceso a los Ejemplo de categorías en una empresa: Ventas, Personal, datos Producción, Marketing... Copias de seguridad Auditorías Decisión: Análisis Etiqueta del sujeto forense Etiqueta del objeto Tipo de acceso que se quiere realizar Utilidad de las copias de seguridad Único mecanismo para recuperar datos perdidos SSI T2 Grado en Ingeniería Informática Control de Casos en que son necesarias acceso al sistema Un usuario o un administrador ha borrado de forma no Control de intencionada alguna información que era importante. acceso a los datos Un intruso ha borrado información importante. Copias de seguridad Fallo de hardware. Auditorías Un robo. Análisis forense Desastres naturales: inundación, incendio... ¿Qué debemos copiar? Hay dos tendencias: copiar todo o solo una parte SSI T2 Copia completa Grado en Ingeniería Copiamos todos los ficheros del sistema. Informática Ventajas La recuperación del sistema, en caso de tener Control de acceso al que recuperarlo completo, es más sencilla. sistema Inconvenientes Consume más recursos (soporte y tiempo). Control de acceso a los datos Copias de Copia parcial seguridad Copiamos aquello que sea específico de nuestro sistema: Auditorías ficheros de usuarios, ficheros de configuración... Análisis forense Ventajas Consume menos recursos. Inconvenientes Si hay que recuperar todo el sistema, tendremos que empezar instalando el SO, todo el software adicional instalado (más parches... ) y, por último, la copia de seguridad. Tipos de copias de seguridad SSI T2 Grado en Ingeniería Informática Completas Copia todos los ficheros de interés. Control de acceso al sistema Control de Progresivas acceso a los datos Solo se copian aquellos ficheros que han sido creados o Copias de modificados desde la última copia completa o progresiva seguridad efectuada. Auditorías Análisis forense Diferenciales Solo se copian los ficheros que han sido creados o modificados desde la última copia completa realizada. Plan de copias de seguridad SSI T2 Grado en Ingeniería Informática Contenidos Tipos de copias que se van a realizar. Control de acceso al sistema Ciclos de copia y rotación de soportes. Control de Frecuencia. acceso a los datos Momento en que se van a realizar las copias. Copias de seguridad Auditorías Otros aspectos a considerar Análisis forense Protección. Comprobación. Recursos para la realización de copias de seguridad. Ejercicios de copias de seguridad SSI T2 Grado en Ingeniería Informática Control de acceso al Ejercicio 2.2 sistema Considere los siguientes escenarios: Control de acceso a los Copias completas y progresivas. datos Copias completas y diferenciales. Copias de seguridad Explique cómo llevaría a cabo estas acciones en cada caso: Auditorías Recuperar el sistema completo. Análisis Recuperar un fichero individual. forense Auditorías SSI T2 Grado en Ingeniería Informática Concepto de auditoría Control de acceso al Consiste en la monitorización del funcionamiento del sistema de sistema forma automatizada y sistemática mediante el registro de los Control de acceso a los sucesos clave que se producen en este. datos Copias de seguridad El trabajo de un auditor Auditorías Consiste en comprobar la seguridad de una infraestructura Análisis forense mediante diversos estándares, así como proponer mitigaciones para los fallos de seguridad detectados. Auditorías (cont.) SSI T2 Grado en Ingeniería Informática Objetivos Control de Revisar accesos por usuarios a los objetos del sistema. acceso al sistema Revisar la efectividad de mecanismos de seguridad del Control de acceso a los sistema. datos Descubrir intentos de saltarse los mecanismos de seguridad. Copias de seguridad Descubrir usuarios con privilegios excesivos. Auditorías Análisis Servir de elemento disuasor para los atacantes. forense Ayudar a la recuperación de desastres informáticos. Proporcionar pruebas materiales de los ataques. Auditorías (cont.) SSI T2 Evento auditable Grado en Ingeniería Informática Acciones que queremos que queden registradas en el sistema de auditoría. Control de acceso al Ejemplos: Arranque o parada del sistema, conexión o sistema desconexión de un usuario, cambio de privilegios de acceso Control de acceso a los a los objetos de un sistema, creación/modificación/borrado datos Copias de de un objeto... seguridad Auditorías Información auditable Análisis forense Datos relacionados con el evento auditable que pueden ser útiles. Ejemplos: Fecha y hora en que se produce el evento, tipo de evento, éxito o fracaso, datos del usuario que lo desencadena... Detección de ataques SSI T2 Grado en Ingeniería Informática Tipos más comunes Control de acceso al Intentos fallidos de entrada al sistema. sistema Control de Suplantaciones. acceso a los datos Flujos de información prohibidos. Copias de seguridad Obtención de información restringida. Auditorías Caballos de Troya. Análisis forense Virus. Abuso de recursos. Mecanismos para la detección de ataques SSI T2 Grado en Perfil de usuario Ingeniería Informática Recoge las acciones que cada usuario realiza normalmente Control de en el sistema. acceso al sistema Si un intruso utiliza la cuenta de un usuario se puede Control de detectar debido a que se aparta del perfil del usuario. acceso a los datos Puede avisar de acciones legales que se aparten del perfil. Copias de seguridad Auditorías Perfil de intruso Análisis Los intrusos suelen actuar de una forma similar cuando forense entran en un sistema ajeno: mirar quién está conectado al sistema, examinar el sistema de ficheros, moverse por los directorios tratando de obtener información, no suelen estar conectado mucho tiempo. Mecanismos para la detección de ataques (cont.) SSI T2 Grado en Ingeniería Informática Control de Acciones puntuales acceso al sistema Hay ciertas acciones que por sí mismas denuncian la presencia Control de de un ataque o intento de ataque: acceso a los datos Intento de acceso a la administración del sistema. Copias de seguridad Intento de explotación de agujeros de seguridad conocidos. Auditorías Uso de herramientas que detectan agujeros de seguridad. Análisis forense Uso de órdenes de otros sistemas operativos. Prácticas recomendadas SSI T2 Grado en Ingeniería Informática Disponer de un administrador. Control de acceso al Parametrizar de forma adecuada el sistema de auditoría: sistema Establecer los eventos y la información auditables. Control de acceso a los Definir perfiles. datos Proteger los ficheros de auditoría. Copias de seguridad Compresión y respaldo de los ficheros de auditoría. Auditorías Determinar el método de análisis que se va a realizar sobre Análisis forense los ficheros de auditoría. Cuidar las implicaciones de tipo ético. Análisis forense (I) SSI T2 Definición Grado en Ingeniería Informática Se encarga de la recolección, preservación, análisis y presentación de evidencias. Control de acceso al Cuando sucede una intrusión, acceso no permitido o sistema infección de malware. Control de acceso a los datos Permite detectar una posible amenaza. Copias de seguridad Indicios Auditorías Análisis Elevado uso de disco/red/CPU en una máquina. forense Actividad anormal de un usuario. Duración sospechosa de cierta conexión. Conexión remota desde sitios extraños. Ejecución de servicios o procesos no habituales. Análisis forense (II) SSI T2 Grado en Metodología (etapas) Ingeniería Informática Adquisición. Control de Preservación. acceso al sistema Análisis de memoria. Control de acceso a los Análisis de ficheros y procesos. datos Copias de Presentación de evidencias y realización de informe. seguridad Auditorías Adquisición Análisis forense Captura de evidencias digitales. Preserva el estado volátil de la máquina. Debe volcarse todo el contenido de los procesos que estén en ejecución. Análisis forense (III) SSI T2 Preservación Grado en Ingeniería Resguardar los objetos que supongan una evidencia de una Informática incidencia. Control de acceso al Su resguardo ha de ser competo, claro, verificable. sistema Deben generarse hashes de las evidencias. Control de acceso a los datos Copias de Buenas prácticas seguridad RFC 3227 - Guidelines for Evidence Collection and Auditorías Archiving: https://www.ietf.org/rfc/rfc3227.txt y Análisis forense https://www.incibe-cert.es/blog/rfc3227 UNE 71505-1:2013: Sistema de Gestión de Evidencias Electrónicas (SGEE). UNE 71506:2013: Metodología para el análisis forense de las evidencias electrónicas. Adquisición de evidencias (I) SSI T2 Grado en Ingeniería Triage Informática Consiste en adquirir datos de un dispositivo u ordenador. Control de acceso al Las herramientas utilizadas deben ser no intrusivas, sistema conocidas y reproducibles, y estar bien documentadas. Control de acceso a los datos Se requieren privilegios de administrador. Copias de seguridad Scripts Auditorías Análisis ((date /t) & (time /t)): fecha y hora del sistema. forense ipconfig /all: adaptadores de red del equipo. netstat -nr: lista de interfaces y tablas de enrutamiento. nbtstat -c: dirección IP de un ordenador. Adquisición de evidencias (II) SSI T2 Herramientas Grado en Ingeniería RamCapturer: gratuita de Belkasoft, realiza un volcado de Informática memoria (dump) completo. Control de acceso al RawCopy: realiza volcado de ficheros en ejecución o locked. sistema FTK Imager Lite: gratuita de Access Data, extrae ficheros Control de acceso a los y realiza volcado de memoria. datos Copias de Lastactivityview: de Nirsoft seguridad (https://www.nirsoft.net/), realiza un timeline de la Auditorías actividad de un usuario autenticado y genera un informe en Análisis forense HTML. Winaudit: genera un informe de la actividad y el estado de un sistema. Windows Registry Recovery: http://www.mitec.cz/wrr.html Adquisición de evidencias (III) SSI T2 Grado en Ingeniería Herramientas Informática Windows File Analyzer: http://www.mitec.cz/wfa.html Control de acceso al Shadow Explorer: sistema https://www.shadowexplorer.com/downloads.html Control de acceso a los (copias shadow es una copia oculta realizada por datos Windows). Copias de seguridad Autopsy: https://www.autopsy.com/ Auditorías Análisis Everything: https://www.voidtools.com/es-es/ forense WMIC: Windows Management Instrumentation. SimpleWMIView: http: //www.nirsoft.net/utils/simple_wmi_view.html Adquisición de evidencias (IV) SSI T2 Grado en WMIC Ingeniería Informática wmic useraccount list brief: listado de cuentas de usuario. Control de wmic partition get name,size,type: listado de particiones. acceso al sistema wmic process list brief: listado de procesos. Control de wmic bios get serialnumber: número de serie de la BIOS. acceso a los datos wmic bios get manufacturer,name,version /format:list: fabricante, Copias de nombre y versión de la BIOS. seguridad Auditorías wmic computersystem get model,name,manufacturer,systemtype: modelo, nombre, fabricante y tipo de sistema del equipo. Análisis forense wmic process call create “notepad.exe”: ejecuta el Notepad. wmic process where name=“notepad.exe” call terminate: cierra el Notepad. wmic os list brief: versión y número de serie del sistema operativo. Adquisición de evidencias (V) SSI T2 Grado en Ingeniería Informática Clonado de discos Control de acceso al Clonado bit a bit. sistema Control de El destino deberá contener los mismos errores que haya en acceso a los datos el origen. Copias de El clonado se realiza de disco a disco (mientras que una seguridad Auditorías imagen de disco a un sistema de ficheros). Análisis Tipos de clonado: hardware y software. forense Herramientas de clonado: Guymager y FKT Imager. Artefactos (I) SSI T2 Definición Grado en Ingeniería Informática Conjunto de ficheros, aplicaciones, registros, configuraciones y rutas de acceso que permiten detectar Control de acceso al actividad de usuario malicioso o malware. sistema Control de Contienen información muy relevante para llevar a cabo la acceso a los investigación. datos Copias de Evidencias que deben ser buscadas y preservadas. seguridad Auditorías Análisis Registro de Windows forense Fuente de artefactos forenses. Contiene configuraciones para Windows. Registra datos específicos del usuario. Para interactuar con el registro: regedit.exe. Artefactos (II) SSI T2 Claves del registro de Windows Grado en Ingeniería HKEY_CURRENT_USER: Registra toda la información Informática del usuario que tiene abierta la sesión en el momento de Control de ejecutar el registro. Se almacenan carpetas del usuario, acceso al sistema colores de pantalla, configuración del panel de control, etc. Control de acceso a los HKEY_USERS: Contiene todos los perfiles de usuario datos cargados activamente en el equipo. Copias de seguridad HKEY_LOCAL_MACHINE: Contiene información de Auditorías configuración específica del equipo (para cualquier usuario). Análisis forense HKEY_CLASSES_ROOT: La información que se almacena aquí se asegura de que se abra el programa correcto al abrir un archivo mediante Windows Explorer. HKEY_CURRENT_CONFIG: Contiene información sobre el perfil de hardware que usa el equipo local al iniciar el sistema. Artefactos (III) SSI T2 Registros de eventos Grado en Ingeniería Archivos especiales donde Windows registra los eventos Informática relevantes que ocurren en el equipo. Control de acceso al Por ejemplo, se produce un error de un programa, o un sistema usuario inicia sesión en el equipo. Control de acceso a los En el visor de eventos, estos se agrupan en: datos Eventos de aplicaciones: cada evento se clasifica como Copias de seguridad información, advertencia o error, en función de su Auditorías gravedad. Análisis Eventos relacionados con la seguridad: indican si una forense operación se ha llevado a cabo correctamente o no, por ejemplo, el inicio de sesión. Eventos de configuración. Eventos del sistema: información, advertencia o error. Ficheros de eventos (.evtx) se encuentran en: %WINDIR %\System32\winevt\Logs Artefactos (IV) SSI T2 Grado en Prefetching Ingeniería Informática Permite acelerar el arranque de aplicaciones en Windows (no Windows Server). Control de acceso al sistema Registra datos de una aplicación, ficheros cargados, Control de número de arranques, etc. acceso a los datos Permite asegurar que un fichero fue abierto con un Copias de programa, cuándo, cuántas veces... (pero no quién lo hizo). seguridad Auditorías Tras arrancar el equipo, Windows monitoriza los programas Análisis abiertos habitualmente. forense Información (.pf) almacenada en: %WINDIR %\Prefetch Los ficheros.pf pueden abrirse con WinPrefetchView: http: //www.nirsoft.net/utils/win_prefetch_view.html Artefactos (V) SSI T2 Grado en Ingeniería Informática Control de acceso al sistema Control de Aplicaciones acceso a los datos Herramientas para todos los navegadores web: Copias de BrowsingHistoryView y MyLastSearch. seguridad Auditorías Análisis forense Referencias bibliográficas SSI T2 Grado en Ingeniería Uso de listas de control de acceso en Linux: http://www.escomposlinux. Informática org/iarenaza/articulo-acls/acls-linux-samba.html LastPass: https://www.lastpass.com/es/ Control de acceso al Comprobadores de contraseñas: https://password.es/comprobador/ y sistema https://password.kaspersky.com/es Control de acceso a los Tar: http://www.gnu.org/software/tar/manual/ datos Clonezilla: https://clonezilla.org Copias de Unison: https://github.com/bcpierce00/unison seguridad Malwarebytes: https://es.malwarebytes.com/mwb-download/ Auditorías Desinfecta tus dispositivos: Análisis forense https://www.osi.es/es/desinfecta-tu-ordenador Herramientas imprescindibles para análisis forense: http://www.nirsoft.net/ Herramientas de clonado: FTK Imager, Guymager.