Manual de Usuario de Bellator
Contents
1. Administrators SER ad Increase quotas 5 1 5 21 1248158 5 1 5 21 1248158 RE Increase scheduling priority Administrators Administrators lag Iniciar sesi n como proceso por lotes S YSTEM ECD1iSs02 SYSTEM ECD153021 5 1 5 21 1248158 5 1 5 21 1133456 Power Users Admini 5 1 5 21 1248158 5 1 5 21 1248158 Power Users Admini RE Iniciar sesi n como servicio lag Inicio de sesi n local R Load and unload device drivers lag Lock pages in memory ag Manage auditing and security log ae Modify Firmware environment values ag Profile single process lau Profile system performance Rg Remove computer From docking sk etiRenlare aneiacess level haken Administrators Administrators Power Users Admini Administrators Power Users Users 0 1 5 21 124815A Administrators Administrators Power Users Admini Administrators Power Users Users 2 1 5 21 174815B Registry Keys Permisos sobre claves del registro del sistema Vai Consolat Ra z de la consola Configuraci n y an lisis de seguridad Registron MACHINE SYSTEM CurrentControl5et el m Consola Ventana Ayuda Tal Directivas de cuenta a Directivas locales Registro de sucesos idl Grupos restringidos _ Servicios del sistema Registro H A CLASSES ROOT EA MACHINE gif HARDWARE ay SAM gl SECURITY HFA SOFTWARE IEA SYSTEM Ae Control5et001 AF ControlsetOo2 Af ControlSetOo3 FA C2. Manual de Usuario de Bellator 1 INTRODUCCI N Bellator es un programa para la auditoria de sistemas en funci n de unas plantillas predeterminadas de seguridad Por lo tanto el objeto de Bellator es comprobar si est n aplicados los par metros de dichas plantillas y revisar el estado su implantaci n Se puede utilizar Bellator para auditar un sistema despu s de la aplicaci n de la configuraci n de seguridad sobre el mismo o de forma peri dica para saber el nivel de cumplimiento de la configuraci n segura y conocer si ha habido cambios no declarados sobre el sistema Las plantillas que utiliza son de dos tipos e Pol tica Local de Seguridad cuya extensi n es INF e Plantillas Administrativas de Seguridad dentro de la Directiva de Equipo Local tanto la configuraci n del Equipo como la configuraci n de Usuario Extensi n POL La plantilla de la Pol tica Local de Seguridad se puede obtener de dos formas e A trav s de Microsoft gracias a sus gu as de configuraci n segura se pueden descargar las plantillas INF que se quiera comprobar e Exportandolas de un sistema previamente configurado de forma segura Secedit export cfg nombre_del_fichero inf de esta forma se podria comprobar de forma peri dica cualquier cambio en la configuraci n inicial Las Plantillas Administrativas de Seguridad se podr n obtener de la carpeta Group Policy de un sistema configurado de forma segura Adem s de la informaci
3. Y como no una opci n de ayuda e H Por ltimo comentar que Bellator ha sido testado en clientes independientes y clientes de dominio en sistemas Windows 2000 Server Professional ingl s y espa ol y Windows XP Professional ingl s y espa ol y Windows 2003 ingl s y espa ol b Ejecuci n Llegados a este punto s lo falta ejecutar bellator exe Bellator preguntar si se desea obtener un informe con el detalle de los datos obtenidos adem s del informe de resultados que se proporciona en cualquier caso Bellator 1 5 x Do you want a detailed report tallResult txt w coma Bellator notifica al usuario de la finalizaci n correcta del programa as como la denominaci n de los informes que corresponder al nombre de m quina y la fecha de la ejecuci n Bellator 1 5 x Program finished Results in file Bellator 22042010 txt and AllR esult_Bellator_zz042010 txt By Ricardo Ramos rramosgm gmail corn c Estructura plantillas Directivas Locales de Seguridad La plantilla de seguridad debe tener un formato determinado agrupando cada modulo de auditor a por unas determinadas etiquetas ej Application Log Event Audit AuditSystemEvents 3 AuditLogonEvents 3 AuditObjectAccess 3 AuditPrivilegeUse 2 AuditPolicyChange 1 Service General Setting Alerter 4 D AR A CCDCLESWRPWPDTLOCRSDRCWDWO BA A CCLESWLOCRRC 1I U A CCLESWRPWPDTLOCRRC SY A C
4. Rights Asignaci n de derechos de usuario Directiva 2 Configuraci n local Configuraci n vigente lag act as part of the operating system 9 1 5 21 1248158 5 1 5 21 1248158 Rg Add workstations to domain R JBack up Files and directories Ae Bypass traverse checking lad Change the system time Configuraci n de seguridad 408 Directivas de cuenta H 08 Directiva de contrase as j Directiva de bloqueo de cuentas 8 Directivas locales H E Directiva de auditor a Backup Operators Backup Operators P Backup Operators Backup Operators P Power Users Admini Power Users Admini ART Re Create a pagefile Administrators Administrators gp Asignacion de derechos de usuario RH Create a token object H Opciones de seguridad RY Create global objects SERVICE Administra SERVICE Administra 1 Directivas de claves p blicas au Create permanent shared objects 618 Directivas de seguridad IP en M quina local Es Debug programs Administrators Administrators Ey Denegar el acceso desde la red a Rd Denegar el inicio de sesi n como s lad Denegar el inicio de sesi n como tr Rd Denegar el inicio de sesi n localme ECD1530214AS5PMET ECD153021AS5PMNET REJEnable computer and user account ag Force shutdown From a remote sy Administrators Administrators lad Generate security audits ag Impersonate a client after authent Administrators SER
5. consideran en funci n del motivo de la divergencia de dos formas diferentes o Considerarse como resultado negativo y por tanto se catalogar a como resultado INCORRECT ERROR o does not coincide o Considerarse como resultado positivo pero con alguna modificaci n menor a nuestro juicio que no afecta a la seguridad del par metro equipo Se presenta como CORRECT but Ejemplo CORRECT PERMISSION although some flags do not match with C Program Files Windows Media Player En este caso la plantilla especifica los siguientes permisos D PAR A OICI FA BA A OICI 0x1200a9 BU A OICI F A SY Y en la m quina D PAR A FA BA A 0x1200a9 BU A FA SY Como se puede apreciar no coincide el ACE flag que hace referencia a la herencia del fichero Por tanto se avisa de que hay algo incorrecto aunque seg n nuestro criterio los suficientemente laxo como para darlo por correcto En cualquier caso se notifica precisamente para dejar en manos del usuario la decisi n final o Por ltimo se puede presentar un resultado con advertencia de que se debe realizar una comprobaci n manual del par metro Es debido a que en raras ocasiones los valores no son tratados correctamente f Descarga Se puede descargar en e http code qoogle com p bellator downloads list e http sourceforge net projects bellator files 3 COLABORACIONES Bellator es un proyecto iniciado hace tiempo y re
6. CLESWLOCRRE AU S AU FA CCDCLCSWRP WPDTLOCRSDRCWDWO WD CiSvc 4 D AR A CCDCLCSWRPWPDTLOCRSDRCWDWO BA A CCLCSWLOCRRC IU A CCLCSWRPWPDTLOCRRC SY A CCLCSWLOCRRC AU S AU FA CCDCLCSWRPW PDTLOCRSDRCWDWO WD Se enumeran a continuaci n e System Log Security Log Application Log Evento del sistema seguridad y aplicaci n Visor de sucesos 215 EFE Security Log 91 548 sucesos es Aciertos 20 04 2010 16 56 58 Security seguimie 593 Admin a Aciertos 20 04 2010 16 56 58 Security Sequimie 592 Admin ar Aciertos 20 04 2010 16 56 53 Security Seguimie 593 Admin a Aciertos 20 04 2010 16 56 53 Security Seguimie 592 Admin ae Aciertos 20 04 2010 16 56 40 Security Seguimie 593 Admin ew Aciertos 20 04 2010 16 56 47 Security Sequimie S92 Admin of Aciertos 20 04 2010 16 56 42 Security Sequimnie SOS Admin ar Aciertos 20 04 2010 16 56 42 Security Sequimie 592 Admin a Aciertos 20 04 2010 16 56 37 Security Seguimie 593 Admin g Aciertos 20 04 2010 16 56 36 Security Seguimie 59 Admin er Aciertos 20 04 2010 16 56 31 Security Sequimie S95 Admin af Aciertos 20 04 2010 16 56 31 Security Sequimie 592 Admin ar Aciertos 20 04 2010 16 56 26 Security Sequimie S93 Admin a Aciertos 20 04 2010 16 56 26 Security Seguimie 592 Admin g Aciertos 20 04 2010 16 56 21 Security Seguimie 593 Admin a Aciertos 20 04 2010 16 56 21 Security Sequimnie 592 Admin g Aciertos 20 04 2010 16 56 16 Security Sequim
7. ciones de las plantillas e T Fichero inf e GU registry pol de Usuario e GM Registry pol de Maquina En caso contrario buscara los ficheros con los nombre por defecto del programa template inf RegistryU pol y RegistryM pol Los informes pueden ser enviados via FTP a un servidor utilizando las siguientes opciones e F IP_Servidor_FTP e U Usuario_FTP e P Password_FTP Como el programa necesita guardar escribir sobra la carpeta donde va a copiar los informes requiere los permisos necesarios de escritura para el usuario proporcionado Tambi n puede enviar los informes a un recurso compartido Esta opci n es valida para equipos en dominio porque la autenticaci n es transparente para el programa e S IP_ Servidor e R Recurso_Compartido Si se desea un modo similar a silencioso o quiet donde no aparezcan mensajes y no sea necesaria la intervenci n del usuario existe la opci n e NM Adem s si se desea obtener un informe m s detallado AllResult txt si no se obtendr el informe de resultados nicamente e D Se puede extender el formato de los nombres de los informes para realizar varios an lisis en un mismo d a a adiendo al nombre la hora de de realizaci n de la auditor a e E Se ha a adido un chequeo de parches hotfix de Microsoft Para ello se necesita un fichero como plantilla con los KBs de los productos Microsoft y activar la opci n e HF Fichero_Hotfix
8. e Directory gt User must have write permission on folder Extend name of the File Add time to the name od the report Cex server 101129010 146538 txt gt NM Execute the program without interaction with the user Not appear messay D2 Permit get the report with more detail tex Allresult_server_1611286180 Show the Hel Ejemplo de comando n CAWINDOWS system321cmd exe SS Gi be llator exe T CisBellatorHin P_Security inf GU C Be1lator GroupPo Lic pNUser Regist ry pol G C Bellator GroupPolicyuMachinesRegistry pol E HM ES F i 1i28 41 95 U audit F securityPass Adem s se puede ejecutar a trav s del Programador de Tareas de Windows trabajos programados con la frecuencia que se considere y enviar los report donde se requieran y as facilitar la tarea de control de la seguridad sobre los sistemas d Estructura de las Plantillas Administrativas de Seguridad Los ficheros RegistryM pol y RegistryU pol deben cumplir el formato ABNF http download microsoft com download 9 5 E 95EF66AF 9026 4BB0 A41D A4F81802D92C 5BMS GPREG 5D pdf No debe ser modificado con un editor de texto al uso puesto que est en hexadecimal y puede introducir caracteres err neos e Resultados Los resultados presentan las siguientes posibilidades e En caso de coincidir el resultado ser a positivo y por tanto no aparece en el informe de resultados e En caso de no coincidir se muestra en el informe y se
9. ie SOS Admin ar Aciertos 20 04 2010 16 56 16 Security Sequimie 592 Admin a Aciertos 20 04 2010 16 56 10 Security Seguimie 593 Admin 4 Ver e 4 EE es Event Audit Directiva de auditoria Eh Local Security Settings i 10 x Acci n ver a Ee rbol Directiwa Configuraci n local RE Auditar el acceso a objetos Correcto Err neo Sin auditoria AE Auditar el acceso del servicio de di Sin auditor a Sin auditor a RE Auditar el cambio de directivas Sin auditor a Correcto Err nea RY Auditar el seguimiento de procesos Sin auditor a Correcto Err neo AE Auditar el uso de privilegios Sin auditoria Sin auditoria RE Auditar la administraci n de cuentas Sin auditor a Correcto Err neo RY Auditar sucesos de inicio de sesi n Sin auditor a Correcto Err neo A Auditar sucesos de inicio de sesi n Sin auditor a Correcto Err neo RE Auditar sucesos del sistema Sin auditor a Correcto Err neo Configuraci n vigente Configuraci n de seguridad El Directivas de cuenta 1 08 Directiva de contrase as 6 08 Directiva de bloqueo de cuentas Sei Directivas locales MENE Directiva de auditor a Eg Asignaci n de derechos de usuario Hig Opciones de seguridad 29 Directivas de claves p blicas e Directivas de seguridad IP en M quina local Service General Setting Permisos sobre servicios del sistema Consolai Ra z de
10. lScriptEditor EU WA i H E Web Service Providers Mombre ab Predeterminado la DisablePersonalDirChange Hi MoDriveType utoRun no MNowWelcomescreen Hi MowindowsUpdate REG_D WORD REG DWORD REG DWORD REG DWORD Datos valor mo 0000000 O 000000 EE Windows EB Current ersion H Applets Sr Controls Folder 5 Device Installer H E Explorer Si Extensions H E Group Policy Group Policy Objects Multimedia A NetCache i PO Policies io Bei Air ska x Bellator no cubre lo relativo a Directivas de Cuentas System Access que se tendr que hacer manualmente por el momento Bellator se puede ejecutar tambi n a trav s de las opciones presentadas en el punto anterior ME 1WINDOWS system321 cmd exe Gi gt bellator exe h See OEE EE ESE SAE EE EE CO COCO CA OO HHHH Ricardo Ramos rramosgPgmail com gt HHHHH HAHAHA ORAR AHORRE EE prane bellator T GU GM F Ui P lt 4 R 1 E HN M lt D 1 E Policy INF file Local Computer Policy relative to user configuration Local Computer Policy relative to machine configuration IP Address of the FIP Server To send reports by means of FTP Service ESSE IE must have write permission on folder P FTP Service password IP Address of the Server Resource Shared Active Directory option bec ause does not need login in the Domain Controller K Shared folder in the Server Activ
11. la consola Configuraci n y an lisis de seguridad Servicios del sistema Z aj xj i consola entana Ayuda A i x Mo est def No est def B Actualizaciones autom ticas e AgentInstallationService Mo esta def E Alerter Mo est def Mo est def Mo est def Aceptar Mo est def Mo est def a Application Management Aceptar Sh ASP NET State Service No est def Ba Background Intelligent Tran No est def E Registro de suceso H E Grupos restringidos REAL clipeook Aceptar Aceptar rela Registra Bb com Event System Mo est def Mo est def 61 19 Sistema de archive a Computer Browser Aceptar Aceptar Bs Coordinador de transaccion Mo est def No esta def DHCP Client Aceptar Aceptar Distributed Link Tracking Client Aceptar Aceptar Pons Client Aceptar Aceptar Event Log Aceptar Aceptar Mo est def Mo est def Mo est def Aceptar Aceptar Mo est def Mo est def No est def No est def Sb Fax Service Bb IEM Trace Facility 8 Internet Connection Sharing gt IPSEC Policy Agent Aceptar a Logical Disk Manager Aceptar Bb Logical Disk Manager Admini No esta def Bo Mcafee McShield Mo est def Mo est def bh Mcafee Task Manager Mo est def Mo est def Fa Messenger Aceptar Aceptar y Microsoft Telnet Service Mo est def Mo esta def e Privilege
12. n relativa a las plantillas expuestas con anterioridad el programa presenta otra serie de datos de inter s como son usuarios grupos sistema operativo Service Pack particiones tama o del disco y espacio libre y memoria RAM 2 MANUAL DE USO a Requisitos Para que Bellator funcione correctamente requiere la herramienta de Microsoft SubInACL exe http www microsoft com downloads details aspx FamilylID ES8BA3E56 D8FE 4A91 93CF ED6985E3927B amp displaylang en para la obtenci n de permisos en el lenguaje SDDL Security Descriptor Definition Language http msdn microsoft com en us library aa379567 VS 85 aspx de ficheros servicios claves de registro etc Tambi n es imprescindible que est en el sistema la librer a msvcr70 dll que es un m dulo que contiene funciones de biblioteca est ndar de C Ambos ficheros se proporcionan est n integrados en el ejecutable Bellator Si no fuese asi deber an estar en la misma carpeta Como entrada se requieren las plantillas INF y POL que se han descrito anteriormente Es fundamenta renombrar los ficheros como e template inf Correspondiente a la plantilla de la Pol tica Local de Seguridad e RegistryM pol y RegistryU pol seg n corresponda a las plantillas administrativas de configuraci n del equipo o de usuario En la ltima versi n se ha procedido a proporcionar varias opciones que ser n pasadas por l nea de comandos A saber Especificaci n de las ubica
13. sultado del esfuerzo de su autor pero en el cual han contribuido en diversas facetas personas a la cuales quiero agradecer su apoyo altruista al proyecto Ellos son Manuel Rodr guez El cual se ha encargado de coordinar las pruebas de Bellator sobre diversos sistemas y en diversos entornos para la depuraci n de errores Serg por sus aportaciones y representaci n comercial de Bellator Yago por su inestimable ayuda sobre todo a la hora de comenzar a lidiar con ste morlaco que es la programaci n en Windows Y alg n que otro compa ero amigo colega por la aportaci n de sus ideas y algo m s 4 CONTACTO Para cualquier sugerencia error cr tica constructiva o simplemente consulta sobre Bellator se pueden dirigir a bellator audit gmail com Muchas gracias Ricardo
14. urrentControlSet E Of control mf Enum H a Hardware Profiles E 0 Services gA arbiters FABackupRestore FA Biosinfo gABootVerificationProgram AClass ACoDevicelnstallers FACOM Name Arbiter FAComputerMame FA ContentIndex FAContentIndexCommon FAcrashControl FAcCriticalDeviceDatabase ADeviceClasses gAFileSystem A GraphicsDrivers gA GroupOrderList FAHAL FAhivelist FAIDCONfgDE FAKkeyboard Layout FAKeyboard Layouts F Lsa gAMediaCategories Aceptar Aceptar Aceptar Aceptar Aceptar Aceptar Aceptar Aceptar Aceptar Aceptar Aceptar Aceptar Aceptar Aceptar Aceptar Aceptar Aceptar Aceptar Aceptar Aceptar Aceptar Aceptar Aceptar Aceptar Aceptar Aceptar Aceptar Aceptar Aceptar Aceptar Aceptar Aceptar Aceptar Aceptar Aceptar Aceptar Aceptar Aceptar Aceptar Aceptar Aceptar Aceptar Aceptar Aceptar Aceptar Aceptar Aceptar Aceptar O lO x SEE l x E E ll an lisis Directivas de cuent a Directivas locales e Registro de suceso E 3 Grupos restringidos H a Servicios del sistem Registry Values Elementos Elemento 4204 AM ca W Hel 1 x Valores de claves del registro del sistema Cubre diferentes parte de la gu a de configuraci n entre otros lo relativo a Opciones de Seguridad w Editor del Registro Registro Edici n Wer Favoritos Ayuda H a SystemCertificates i E 1 User Location Service A ves i H E visua
Download Pdf Manuals
Related Search