Blog gratis
Reportar
Editar
¡Crea tu blog!
Compartir
¡Sorpréndeme!
Blog de la Escuela de Educación Secundaria Técnica N 8 de Quilmes
Administrador Prof. Claudio Enrique Alonso Alvite
img
05 de Mayo, 2015    General

Monitoreo de Procesos Windows desde Linux


Un saludo, en esta ocasión deseo compartir una solución a un problema de seguridad común: "El monitoreo de las actividades de los usuarios en sistemas operativos Windows", que va más alla de saber que esta haciendo un usuario en un determinado momento, implica también determinar si las acciones que esta llevando a cabo corresponden a las necesidades laborales de su cargo. 

Por ejemplo, existen aplicaciones portables que permiten establecer conexión remota con servidores, como el caso de PUTTY, ¿Cual es el riesgo de que un usuario con perfil de Oficial de Crédito tenga acceso a esta aplicación?. En el caso de los desarrolladores de software ¿Cuál es el riesgo de que estos tengan los programas compilados propios de su empresa, en sus equipos de cómputo?

Para esta problemática existen diversas soluciones, libres y de paga, en mi caso, algunas soluciones antivirus o similares permiten solamente extraer una lista de programas instalados, y no así un registro instantáneo de lo que el usuario esta realizando, es decir, una lista de procesos ejecutados en el equipo de cómputo, por lo que muchas veces, toca implementar una solución propia.

Como primer paso se debe realizar un "perfilamiento de usuarios", que en realidad se traducirá en un perfilamiento de los cargos laborales, ya que la persona puede cambiar, pero los roles del cargo laboral no cambiarán,  por tanto la primera tarea consiste en el perfilamiento de cargos:

CARGOGRUPOS PERMITIDOS
Desarrollador-Software base
-Lenguajes de Programación
-Ofimática
Oficial de Crédito-Software base
-Ofimática
-Aplicaciones de CRÉDITO

El objetivo del cuadro anterior consiste en declarar que, un usuario Desarrollador no puede ejecutar ningún software dentro del grupo "Aplicaciones de CRÉDITO", porque su función laboral no lo requiere. Del mismo modo un Oficial de Crédito no puede ejecutar software de tipo "Lenguajes de Programación". 

Esta relación "Cargo -  Grupos Permitidos" debe reflejarse en una base de datos, para su posterior consulta, asociando el proceso a un Grupo.

PROCESOGRUPO
winword.exeOfimática
iPodService.exeCloud Service
winvnc4.exeAcceso Remoto
chrome.exeSoftware Base
TSVNCache.exeDesarrollo de Software

Pasamos a la parte técnica, realizaremos el monitoreo desde un servidor LINUX, en un esquema de Directorio Activo, y haciendo uso del programa WMIC, el cual es un cliente para la herramienta WMIC de Windows (Windows Management Instrumentation Command-line), la cual permite no solo obtener información sino realizar acciones sobre un equipo de cómputo.  El enlace de descarga, manual de instalación y ejemplos es: http://www.aldeid.com/wiki/Wmic-linux.

Los datos que necesitamos son:

- Nombre de Dominio                           :   MIDOMINIO
- Usuario de Dominio con permiso
de sesión remota                                    :  USR_MONITOREO
- Contraseña del Usuario de Dominio
con permiso de sesión remota:                : M1P@sSw0Rd!
- IP del Equipo a Monitorear                  :  192.168.1.15     

Luego, se puede combinar wmic y php de la siguiente manera:

$IP=$_POST['direccion_IP'];
exec('wmic -W MIDOMINIO -U USR_MONITOREO%M1P@sSw0Rd! //'.$IP.'  "select caption, ExecutablePath from Win32_Process" ',$salida);
print_r($salida);
La variables $salida, contiene el nombre de los procesos y la ruta de los ejecutables, este puede tratarse con funciones de vector, no entrare al detalle técnico de la programación en PHP, y pasaré a los resultados obtenidos.



Por tanto, se obtuvo los procesos que ejecuta un usuario determinado desde un servidor LINUX, además de un estado del proceso, y en comparación a una base de datos previamente implementada se pudo categorizar los procesos de acuerdo al perfil.

Se puede implementar también el envió de notificaciones cuando se identifiquen grupos como "Servicios en la Nube" o cuando un usuario "Oficial de Crédito" este ejecutando procesos que pertenecen al grupo "Acceso Remoto", como es el caso de "WinVNC.exe" (como se observa en la imagen anterior), este control debe ser de tipo tarea programada.

Espero que este pequeño ejemplo sea de utilidad, lo he implementado con muy buenos resultados y si alguien esta interesado en hacerlo solo tiene que escribirme. Hasta la próxima.

CesarR.

Email: cesarcuenca@gmail.com
Twitter:@ccuencad
Palabras claves , ,
publicado por alonsoclaudio a las 23:54 · Sin comentarios  ·  Recomendar
 
Más sobre este tema ·  Participar
Comentarios (0) ·  Enviar comentario
Enviar comentario

Nombre:

E-Mail (no será publicado):

Sitio Web (opcional):

Recordar mis datos.
Escriba el código que visualiza en la imagen Escriba el código [Regenerar]:
Formato de texto permitido: <b>Negrita</b>, <i>Cursiva</i>, <u>Subrayado</u>,
<li>· Lista</li>
CALENDARIO
Ver mes anterior Junio 2017 Ver mes siguiente
DOLUMAMIJUVISA
123
45678910
11121314151617
18192021222324
252627282930
BUSCADOR
Blog   Web
TÓPICOS
» General (2606)
NUBE DE TAGS  [?]
SECCIONES
» Inicio
ENLACES
MÁS LEÍDOS
» Cómo espiar WhatsApp
» Cómo usar Metashield protector for Client y por qué utilizarlo
» Ejecución remota de código arbitrario en OpenSSH
» Ganar dinero con 1.200 Millones de identidades robadas
» Hardware y sus 4 Funcionamientos Basicos y Principales en una Computadora
» #Phishing masivo a #BancoFrances, #PagoMisCuentas y #Movistar (110 afectados en 4 horas)
» Redes de la Deep Web: CJDNS y la Red Hyperboria
» Unidad Central de Procesamiento CPU
» Vulnerabilidad en Youtube permitió borrar cualquier video
» Wassap, la aplicación que permite usar WhatsApp desde la PC
SE COMENTA...
» Cómo liberar software – guía para principiantes :)
1 Comentario: seo plugin
» Cómo descargar música desde Goear
2 Comentarios: seo plugin, Juanjo
» Cómo espiar WhatsApp
10 Comentarios: Hacktivist, Bayford., carlos quiros, [...] ...
» Analizando el LiveBox 2.1 de Orange
1 Comentario: brahim
» Software libre para punto de venta
2 Comentarios: JOSE, Esc00
SOBRE MÍ
FOTO

Prof. Claudio Enrique Alonso Alvite



» Ver perfil

AL MARGEN
Escuela de Educacion Secundaria Tecnica N 8 de Quilmes
(Técnicos en Informática Personal y Profesional)
FULLServices Network | Blogger | Privacidad