¿Que buzones puedo borrar?

Pues sencillo a la par que efectivo.

Para Exchange Server 2010 / 2007

To TXT:

Get-Mailbox -Org “domain.local/Users/Finance” | Get-MailboxStatistics | sort lastlogontime -descending| ft Displayname,last* > C:\somefile.txt

TO CSV:

Get-Mailbox -Org “domain.local/Users/Finance” | Get-MailboxStatistics | sort lastlogontime -descending| select Displayname,last* | Export-Csv C:\somefile.csv -NoTypeInformation

——————————————————————————–

To TXT:

Get-Mailbox -Org “domain.local/Users/Finance” | Get-MailboxStatistics | sort lastlogontime -descending| ft Displayname,last* > C:\somefile.txt

TO CSV:

Get-Mailbox -Org “domain.local/Users/Finance” | Get-MailboxStatistics | sort lastlogontime -descending| select Displayname,last* | Export-Csv C:\somefile.csv -NoTypeInformation

——————————————————————————–

Este es un poco más completo ya que te indica en que servidor esta cada Mailbox

To TXT:

$Days = 60

$TimeLimit = (Get-Date).AddDays(-$Days)

get-mailboxdatabase | get-mailboxstatistics | where-object {(get-mailboxstatistics $_.LegacyDN).LastLogonTime -eq $NULL -or (get-mailboxstatistics $_.LegacyDN).LastLogonTime -lt $TimeLimit} | ft DisplayName, TotalItemSize, ItemCount, LastLogonTime > C:\somefile.txt

TO CSV:

$Days = 60

$TimeLimit = (Get-Date).AddDays(-$Days)

get-mailboxdatabase | get-mailboxstatistics | where-object {(get-mailboxstatistics $_.LegacyDN).LastLogonTime -eq $NULL -or (get-mailboxstatistics $_.LegacyDN).LastLogonTime -lt $TimeLimit} | ft DisplayName, TotalItemSize, ItemCount, LastLogonTime | Export-Csv C:\somefile.csv -NoTypeInformation

——————————————————————————–

Firma Blog

Anuncios

Network Protocol Time (windows OS)

Desde hace bastante tiempo, siempre he sufrido los problemas ocasionados por la des sincronización horaria de las maquinas con OS Windows. Pues bien, hace poco he generado un script en PowerShell que me permite tener un control sobre la sincronización de los controladores de dominio y sobre mis dos servidores que utilizo para que sincronicen la hora con las fuentes externas.

Mi infraestructura esta diseñada de la siguiente manera;

– Dos DataCenter y en cada uno de ellos 2 servidores de sincronización de tiempos (NTP01 y NTP02) con 8 fuentes externas; 3 de un proveedor (en tres continentes diferenciados) y 5 de otro (en 5 continentes diferenciados)

El resto de los controladores de dominio de la organización, sincronizan la hora con estos dos servidores, en orden inverso; primero el 02 y segundo el 01. Inicialmente el controlador de dominio con el ROL de PDC es el que marca la hora para el resto de maquinas de la infraestructura.

El script se divide en las siguientes partes;

Definimos las variables del mensaje de correo electrónico

image

Comprobamos que los ficheros que tenemos de control y si existe el fichero que utilizamos para almacenar el contenido de la comprobación lo borramos. Aprovechamos para crear el fichero correspondiente a la comprobación.

image

A continuación cargamos la variable para realizar las comprobaciones de tiempo sobre las maquinas indicadas.

image

Ejecutamos el comando de comprobación de tiempos para cada servidor, cargamos el ficheros de datos inicial y parseamos el contenido al fichero final de reporte.

image

Una vez que completamos el contenido de los ficheros con la comprobación, evaluamos si cualquiera de ellos tenga un  delay superior o inferior a  10s con un offset superior a 250.

image

Si esto valores se superan o son iguales a los valores de la comprobación, enviamos el mensaje de correo electrónico. En este punto, también podemos ampliar el script con la ejecución del comando de sincronización horaria en aquellos servidores que sufren este desfase. Inicialmente, en esta primera versión del script, el scope solo es la comprobación de la correcta sincronización de los mismos.

image

Este script, almacena un reporte cada vez que es ejecutado en la ruta indicada. El formato de mi estructura para este y otros script es:

image

Así controlamos la sincronización de nuestros servidores. Como siempre, estoy abierto a cualquier tipo de comentarios o mejoras que se puedan implementar en el script, para mejorar el control de la sincronización de tiempos en los servidores.

Event ID (Auditoría de Seguridad)

Estos son los Eventos más comunes que cualquier administrador debería de manejar día a día.

Subcategoría: Validación de credenciales

ID.

Mensaje

4774

Se ha asignado una cuenta de inicio de sesión.

4775

No se puede asignar una cuenta de inicio de sesión.

4776

El controlador de dominio intentaba validar las credenciales para una cuenta.

4777

El controlador de dominio no se pudo validar las credenciales de una cuenta.

Subcategoría: Servicio de autenticación de Kerberos

ID.

Mensaje

4768

Se solicitó un vale de autenticación de Kerberos (TGT).

4771

Error en la autenticación previa Kerberos.

4772

Ha fallado una solicitud de vale de autenticación de Kerberos.

Subcategoría: Las operaciones de vale de servicio Kerberos

ID.

Mensaje

4769

Se solicitó un vale de servicio de Kerberos.

4770

Se ha renovado un vale de servicio de Kerberos.

4773

Ha fallado una solicitud de vale de servicio de Kerberos.

Categoría: Administración de cuentas

ID.

Mensaje

4783

Ha creado un grupo de aplicaciones básicas.

4784

Se ha modificado un grupo de aplicaciones básicas.

4785

Se ha agregado un miembro a un grupo de aplicaciones básicas.

4786

Se ha quitado un miembro de un grupo de aplicaciones básicas.

4787

Que no sea miembro se ha agregado a un grupo de aplicaciones básicas.

4788

Se quitó un miembro de un grupo de aplicaciones básicas.

4789

Se ha eliminado un grupo de aplicaciones básicas.

4790

Se ha creado un grupo de consulta LDAP.

4791

Se ha modificado un grupo de aplicaciones básicas.

4792

Se ha eliminado un grupo de consulta LDAP.

Subcategoría: Administración de cuentas de equipo

ID.

Mensaje

4741

Se ha creado una cuenta de equipo.

4742

Se ha modificado una cuenta de equipo.

4743

Se ha eliminado una cuenta de equipo.

Subcategoría: Administración de grupo de distribución

ID.

Mensaje

4744

Ha creado un grupo local con la seguridad deshabilitada.

4745

Ha modificado un grupo local con la seguridad deshabilitada.

4746

Se ha agregado un miembro a un grupo local con la seguridad deshabilitada.

4747

Se ha quitado un miembro de un grupo local con la seguridad deshabilitada.

4748

Se ha eliminado un grupo local con la seguridad deshabilitada.

4749

Se creó un grupo global con la seguridad deshabilitada.

4750

Ha modificado un grupo global con la seguridad deshabilitada.

4751

Se ha agregado un miembro a un grupo global con la seguridad deshabilitada.

4752

Se ha quitado un miembro de un grupo global con la seguridad deshabilitada.

4753

Se ha eliminado un grupo global con la seguridad deshabilitada.

4759

Ha creado un grupo universal con la seguridad deshabilitada.

4760

Ha modificado un grupo universal con la seguridad deshabilitada.

4761

Se ha agregado un miembro a un grupo universal con la seguridad deshabilitada.

4762

Se ha quitado un miembro de un grupo universal con la seguridad deshabilitada.

Subcategoría: Otros eventos de administración de cuentas

ID.

Mensaje

4739

Se ha cambiado la directiva de dominio.

4782

Se obtuvo acceso el valor de hash de contraseña una cuenta.

4793

Se llamó a la API de comprobación de directiva de contraseña.

Subcategoría: Administración de grupo de seguridad

ID.

Mensaje

4727

Se ha creado un grupo global con seguridad habilitada.

4728

Se ha agregado un miembro a un grupo global con seguridad habilitada.

4729

Se ha quitado un miembro de un grupo global con seguridad habilitada.

4730

Se ha eliminado un grupo global con seguridad habilitada.

4731

Ha creado un grupo local con la seguridad habilitada.

4732

Se ha agregado un miembro a un grupo local con la seguridad habilitada.

4733

Se ha quitado un miembro de un grupo local con la seguridad habilitada.

4734

Se ha eliminado un grupo local con la seguridad habilitada.

4735

Se ha modificado un grupo local con la seguridad habilitada.

4737

Se ha modificado un grupo global con seguridad habilitada.

4754

Ha creado un grupo universal con seguridad habilitada.

4755

Se ha modificado un grupo universal con seguridad habilitada.

4756

Se ha agregado un miembro a un grupo universal con seguridad habilitada.

4757

Se ha quitado un miembro de un grupo universal con seguridad habilitada.

4758

Se ha eliminado un grupo universal con seguridad habilitada.

4764

Tipo de grupo se ha cambiado.

Subcategoría: Administración de cuentas de usuario

ID.

Mensaje

4720

Se ha creado una cuenta de usuario.

4722

Se habilitó una cuenta de usuario.

4723

Se ha intentado cambiar la contraseña de cuenta.

4724

Se ha intentado restablecer la contraseña de cuenta.

4725

Se ha deshabilitado una cuenta de usuario.

4726

Se ha eliminado una cuenta de usuario.

4738

Se ha modificado una cuenta de usuario.

4740

Se ha bloqueado una cuenta de usuario.

4765

SID History se ha agregado a una cuenta.

4766

Error al intentar agregar SID History a una cuenta.

4767

Se ha desbloqueado una cuenta de usuario.

4780

La ACL se ha establecido en las cuentas que son miembros de grupos de administradores.

4781

Se cambió el nombre de una cuenta:

4794

Se ha intentado establecer el modo de restauración de servicios de directorio.

5376

Las credenciales de administrador de credenciales realizó la copia.

5377

Las credenciales de administrador de credenciales se restauran desde una copia de seguridad.

Categoría: Realizar un seguimiento detallado

ID.

Mensaje

4692

Se ha intentado efectuar copia de seguridad de clave de sesión de protección de datos.

4693

Se ha intentado iniciar la recuperación de clave de sesión de protección de datos.

4694

Se intentó realizar la protección de datos protegidos auditables.

4695

Se intentó realizar la desprotección de los datos protegidos auditables.

Subcategoría: La creación del proceso

ID.

Mensaje

4688

Se ha creado un nuevo proceso.

4696

Un símbolo (token) primario se ha asignado al proceso.

Subcategoría: Finalización del proceso

ID.

Mensaje

4689

Un proceso ha terminado.

Subcategoría: Eventos RPC

ID.

Mensaje

5712

Se intentó realizar una llamada a procedimiento remoto (RPC).

Categoría: Acceso DS

ID.

Mensaje

4928

Se ha establecido un contexto de nomenclatura de la fuente de réplica de Active Directory.

4929

Se ha quitado un contexto de nomenclatura de la fuente de réplica de Active Directory.

4930

Se modificó un contexto de nomenclatura de la fuente de réplica de Active Directory.

4931

Se modificó un contexto de nombres de destino de réplica de Active Directory.

4934

Se han replicado los atributos de un objeto de Active Directory.

4935

Error de replicación se inicia.

4936

Errores de replicación de los extremos.

4937

Un objeto persistente se ha quitado una réplica.

Subcategoría: Acceso al servicio de directorio

ID.

Mensaje

4662

Se realizó una operación en un objeto.

Subcategoría: Los cambios de servicio de directorio

ID.

Mensaje

5136

Se modificó un objeto de servicio de directorio.

5137

Se creó un objeto de servicio de directorio.

5138

No se ha borrado un objeto de servicio de directorio.

5139

Se ha movido un objeto de servicio de directorio.

Subcategoría: Replicación del servicio de directorio

ID.

Mensaje

4932

Ha comenzado la sincronización de una réplica de un contexto de nomenclatura de Active Directory.

4933

Ha finalizado la sincronización de una réplica de un contexto de nomenclatura de Active Directory.

Categoría: Inicio de sesión/cierre de sesión

ID.

Mensaje

4978

Durante la negociación de modo extendido, IPsec ha recibido un paquete de negociación no válido. Si el problema persiste, puede indicar un problema de red o un intento de modificar o volver a reproducir esta negociación.

4979

Se han establecido las asociaciones de seguridad de modo principal de IPsec y modo extendido.

4980

Se han establecido las asociaciones de seguridad de modo principal de IPsec y modo extendido.

4981

Se han establecido las asociaciones de seguridad de modo principal de IPsec y modo extendido.

4982

Se han establecido las asociaciones de seguridad de modo principal de IPsec y modo extendido.

4983

Error de una negociación de modo extendido de IPsec. Se eliminó la asociación de seguridad de modo principal correspondiente.

4984

Error de una negociación de modo extendido de IPsec. Se eliminó la asociación de seguridad de modo principal correspondiente.

Subcategoría: Modo de principal de IPsec

ID.

Mensaje

4646

Iniciada el modo de prevención de denegación de servicio de IKE.

4650

Se ha establecido una asociación de seguridad de modo principal de IPsec. No se habilitó el modo extendido. No se utilizó la autenticación de certificado.

4651

Se ha establecido una asociación de seguridad de modo principal de IPsec. No se habilitó el modo extendido. Un certificado se utiliza para la autenticación.

4652

Error de una negociación de modo principal de IPsec.

4653

Error de una negociación de modo principal de IPsec.

4655

Una asociación de seguridad de modo principal de IPsec finalizó.

4976

Durante la negociación de modo principal IPsec recibió un paquete de negociación no válido. Si el problema persiste, puede indicar un problema de red o un intento de modificar o volver a reproducir esta negociación.

5049

Se ha eliminado una asociación de seguridad de IPsec.

5453

Negociación de IPsec con un equipo remoto falló porque no se ha iniciado el servicio IKE y AuthIP IPsec incrustación de módulos (IKEEXT).

Subcategoría: Modo rápido de IPsec

ID.

Mensaje

4654

Error de una negociación de IPsec de modo rápido.

4977

Durante la negociación de modo rápido, IPsec ha recibido un paquete de negociación no válido. Si el problema persiste, puede indicar un problema de red o un intento de modificar o volver a reproducir esta negociación.

5451

Se ha establecido una asociación de seguridad de IPsec de modo rápido.

5452

Una asociación de seguridad de modo rápido IPsec finalizó.

Subcategoría: cierre de sesión

ID.

Mensaje

4634

Una cuenta se ha cerrado la sesión.

4647

Cierre de sesión iniciada por el usuario.

Subcategoría: inicio de sesión

ID.

Mensaje

4624

Una cuenta se ha iniciado una sesión.

4625

No se pudo iniciar sesión una cuenta.

4648

Se ha intentado efectuar un inicio de sesión mediante credenciales explícitas.

4675

Se han filtrado los SID.

Nota Todos los eventos de la subcategoría de servidor de directivas de red están disponibles sólo en Windows Vista Service Pack 1 y en Windows Server 2008.

Subcategoría: Servidor de directivas de red

ID.

Mensaje

6272

Servidor de directivas de red había concedido acceso a un usuario.

6273

Servidor de directivas de red había denegado el acceso a un usuario.

6274

Servidor de directivas de red descarta la solicitud de un usuario.

6275

Servidor de directivas de red descarta la solicitud de administración de cuentas para un usuario.

6276

Servidor de directivas de red en cuarentena a un usuario.

6277

Servidor de directivas de red había concedido acceso a un usuario pero colocar en período de prueba porque el host no cumplía con la directiva de mantenimiento definidas.

6278

Servidor de directivas de red acceso completo a un usuario debido a que el host cumple la directiva de mantenimiento definidas.

6279

Servidor de directivas de red había bloqueada la cuenta de usuario debido a intentos erróneos de autenticación repetidas.

6280

Servidor de directivas de red desbloquear la cuenta de usuario.

Subcategoría: Otros eventos de inicio de sesión/cierre de sesión

ID.

Mensaje

4649

Se detectó un ataque de reproducción.

4778

Se volvió a conectar una sesión a una estación de ventana.

4779

Se ha desconectado una sesión desde una estación de ventana.

4800

Se bloqueó la estación de trabajo.

4801

La estación de trabajo se ha desbloqueado.

4802

Se ha invocado el protector de pantalla.

4803

Se cerró el protector de pantalla.

5378

La delegación de credenciales solicitado no se ha permitido por la directiva.

5632

Se realizó una solicitud para autenticar a una red inalámbrica.

5633

Se realizó una solicitud para autenticarse en una red con cable.

Subcategoría: Inicio de sesión especial

ID.

Mensaje

4964

Grupos especiales se han asignado a un nuevo inicio de sesión.

Categoría: El acceso a objetos

ID.

Mensaje

4665

Se ha intentado crear un contexto de cliente de aplicación.

4666

Una aplicación intentó una operación:

4667

Se ha eliminado un contexto de cliente de aplicación.

4668

Una aplicación se puede inicializar.

Subcategoría: Servicios de certificación

ID.

Mensaje

4868

El Administrador de certificados ha denegado una petición de certificado pendiente.

4869

Servicios de Certificate Server recibieron una solicitud de certificado reenviada.

4870

Servicios de Certificate Server revocan un certificado.

4871

Servicios de Certificate Server recibieron una solicitud para publicar la lista de revocación de certificados (CRL).

4872

Servicios de Certificate Server publican la lista de revocación de certificados (CRL).

4873

Puede cambiar una extensión de solicitud de certificado.

4874

Puede cambiar los atributos de solicitud de certificado.

4875

Servicios de Certificate Server recibieron una solicitud para apagar.

4876

Inicia la copia de seguridad de servicios de certificado.

4877

Certificado de copia de seguridad de servicios realizada.

4878

Inició la restauración de servicios de certificado.

4879

Completada la restauración de servicios Certificate Server.

4880

Inician servicios de Certificate Server.

4881

Detienen servicios de Certificate Server.

4882

Puede cambiar los permisos de seguridad para servicios de Certificate Server.

4883

Servicios de Certificate Server recuperaron una clave archivada.

4884

Servicios de Certificate Server importaron un certificado a su base de datos.

4885

Puede cambiar el filtro de auditoría para servicios de Certificate Server.

4886

Servicios de Certificate Server recibieron una solicitud de certificado.

4887

Servicios de Certificate Server aprobó una solicitud de certificado y emitió un certificado.

4888

Servicios de Certificate Server ha denegado una petición de certificado.

4889

Servicios de Certificate Server sea el estado de una solicitud de certificado pendiente.

4890

Puede cambiar la configuración del Administrador de certificados para servicios de Certificate Server.

4891

Una entrada de configuración puede cambiada en servicios de Certificate Server.

4892

Cambia una propiedad de servicios de Certificate Server.

4893

Servicios de Certificate Server archivan una clave.

4894

Servicios de Certificate Server importaron y archivaron una clave.

4895

Servicios de Certificate Server publican el certificado de entidad emisora de certificados en servicios de dominio de Active Directory.

4896

Se eliminaron una o varias filas de la base de datos de certificado.

4897

Función de separación habilitada:

4898

Servicios de Certificate Server cargan una plantilla.

4899

Se actualizó una plantilla de servicios de Certificate Server.

4900

Seguridad de plantillas de servicios de certificado se ha actualizado.

5120

Se inició el servicio de Respondedor OCSP.

5121

Detener el servicio de Respondedor OCSP.

5122

Una entrada de configuración puede cambiada en el servicio de Respondedor de OCSP.

5123

Una entrada de configuración puede cambiada en el servicio de Respondedor de OCSP.

5124

Una configuración de seguridad se actualizó de servicio de Respondedor de OCSP.

5125

Se envió una solicitud al servicio de Respondedor de OCSP.

5126

Certificado de firma se actualizó automáticamente por el servicio de Respondedor de OCSP.

5127

El proveedor de revocación de OCSP había actualizado correctamente la información de revocación.

Subcategoría: Recurso compartido de archivos

ID.

Mensaje

5140

Se tiene acceso a un objeto de recurso compartido de red.

Subcategoría: Sistema de archivos

ID.

Mensaje

4664

Se ha intentado crear un vínculo físico.

4985

El estado de una transacción ha cambiado.

5051 para

Un archivo fue una solución virtualizado.

Subcategoría: Conexión de Filtering Platform

ID.

Mensaje

5031

El servicio de Firewall de Windows bloquea una aplicación acepte conexiones entrantes en la red.

5154

Windows Filtering Platform haya permitido que una aplicación o servicio para escuchar en un puerto para las conexiones entrantes.

5155

La plataforma de filtrado de Windows ha bloqueado una aplicación o un servicio de escucha en un puerto para las conexiones entrantes.

5156

Windows Filtering Platform ha permitido una conexión.

5157

La plataforma de filtrado de Windows ha bloqueado una conexión.

5158

Windows Filtering Platform haya permitido que un enlace a un puerto local.

5159

La plataforma de filtrado de Windows ha bloqueado un enlace a un puerto local.

Subcategoría: Colocación de paquetes de plataforma de filtrado

ID.

Mensaje

5152

La plataforma de filtrado de Windows bloquea un paquete.

5153

Un filtro más restrictivo de plataforma de filtrado de Windows ha bloqueado un paquete.

Subcategoría: Identificador de manipulación

ID.

Mensaje

4656

Se ha solicitado un identificador para un objeto.

4658

Se ha cerrado el identificador para un objeto.

4690

Se intentó duplicar un controlador a un objeto.

Subcategoría: Otros eventos de acceso de objeto

ID.

Mensaje

4671

Una aplicación intentó obtener acceso a un ordinal bloqueado a través de TBS.

4691

Se ha solicitado acceso indirecto a un objeto.

4698

Se creó una tarea programada.

4699

Se ha eliminado una tarea programada.

4700

Se habilitó una tarea programada.

4701

Se ha deshabilitado una tarea programada.

4702

Se ha actualizado una tarea programada.

5888

Ha modificado un objeto en el catálogo COM +.

5889

Un objeto se ha eliminado del catálogo de COM +.

5890

Se agregó un objeto en el catálogo COM +.

Subcategoría: registro

ID.

Mensaje

4657

Un valor del registro se modificó.

5039

Una clave del registro se virtualiza.

Subcategoría: Special Multi-use Subcategory

ID.

Mensaje

4659

Se ha solicitado un identificador para un objeto con la intención de eliminar.

4660

Se ha eliminado un objeto.

4661

Se ha solicitado un identificador para un objeto.

4663

Se ha intentado tener acceso a un objeto.

Categoría: Cambio de directiva

ID.

Mensaje

4715

Se ha cambiado la directiva de auditoría (SACL) en un objeto.

4719

Se ha cambiado la directiva de auditoría del sistema.

4902

Se creó la tabla de normas de auditoría por usuario.

4904

Se ha intentado registrar un origen de eventos de seguridad.

4905

Se ha intentado anular el registro de un origen de eventos de seguridad.

4906

El valor de CrashOnAuditFail ha cambiado.

4907

Se han cambiado la configuración de auditoría en objeto.

4908

Tabla de grupos de inicio de sesión especial por última vez.

4912

Se ha cambiado por directiva de auditoría de usuario.

Subcategoría: Cambio de directiva de autenticación

ID.

Mensaje

4706

Se creó una nueva confianza a un dominio.

4707

Se ha quitado una confianza a un dominio.

4713

Se ha cambiado la directiva Kerberos.

4716

Se ha modificado la información de dominio de confianza.

4717

Se ha concedido acceso al sistema de seguridad a una cuenta.

4718

Acceso al sistema de seguridad se ha quitado una cuenta.

4864

Se ha detectado una colisión de espacio de nombres.

4865

Se ha agregado una entrada de información de bosque de confianza.

4866

Se quitó una entrada de información de bosque de confianza.

4867

Se modificó una entrada de información de bosque de confianza.

Subcategoría: Cambio de directiva de autorización

ID.

Mensaje

4704

Se asignó un derecho de usuario.

4705

Se ha quitado un derecho de usuario.

4714

Se ha cambiado la directiva de recuperación de datos cifrados.

Subcategoría: Cambio de Filtering Platform directiva

ID.

Mensaje

4709

Se ha iniciado Servicios de IPsec.

4710

Se ha deshabilitado los servicios IPsec.

4711

Puede contener cualquiera de estos procedimientos:

El motor PAStore aplicó copia en caché local de la directiva IPsec de almacenamiento de Active Directory en el equipo.

El motor PAStore aplicó la directiva IPsec de almacenamiento de información de Active Directory en el equipo.

El motor PAStore aplicó la directiva IPsec de almacenamiento de información de registro local en el equipo.

Error del motor PAStore al aplicar copia en caché local de la directiva IPsec de almacenamiento de Active Directory en el equipo.

Error del motor PAStore al aplicar directiva IPsec de almacenamiento de Active Directory en el equipo.

Error del motor PAStore al aplicar directiva IPsec de almacenamiento del registro local en el equipo.

Error del motor PAStore al aplicar algunas reglas de la directiva IPsec activa en el equipo.

Error del motor PAStore al cargar directiva de IPsec en el equipo de almacenamiento de información de directorio.

El motor PAStore cargó directiva de IPsec en el equipo de almacenamiento de información de directorio.

Error del motor PAStore al cargar directiva de IPsec en el equipo de almacenamiento local.

El motor PAStore cargó almacenamiento local de directiva de IPsec en el equipo.

El motor PAStore realizó un sondeo de cambios en la directiva IPsec activa y no detectó ningún cambio.

4712

Los servicios IPsec detectaron un error potencialmente grave.

5040

Ha realizado un cambio a la configuración de IPsec. Se ha agregado un conjunto de autenticación.

5041

Ha realizado un cambio a la configuración de IPsec. Un conjunto de autenticación que se modificó.

5042

Ha realizado un cambio a la configuración de IPsec. Un conjunto de autenticación se ha eliminado.

5043

Ha realizado un cambio a la configuración de IPsec. Se ha agregado una regla de seguridad de conexión.

5044

Ha realizado un cambio a la configuración de IPsec. Se ha modificado una regla de seguridad de conexión.

5045

Ha realizado un cambio a la configuración de IPsec. Se ha eliminado una regla de seguridad de conexión.

5046

Ha realizado un cambio a la configuración de IPsec. Se ha agregado un conjunto de cifrado.

5047

Ha realizado un cambio a la configuración de IPsec. Un conjunto criptográfico de se ha modificado.

5048

Ha realizado un cambio a la configuración de IPsec. Un conjunto criptográfico de se ha eliminado.

5440

La siguiente llamada estaba presente cuando se ha iniciado la plataforma de filtrado de Windows motor de filtrado de Base.

5441

El siguiente filtro estaba presente cuando se ha iniciado la plataforma de filtrado de Windows motor de filtrado de Base.

5442

El proveedor de la siguiente estaba presente cuando se ha iniciado la plataforma de filtrado de Windows motor de filtrado de Base.

5443

El contexto de proveedor siguiente estaba presente cuando se ha iniciado la plataforma de filtrado de Windows motor de filtrado de Base.

5444

La subcapa siguiente estaba presente cuando se ha iniciado la plataforma de filtrado de Windows motor de filtrado de Base.

5446

Se ha cambiado una llamada de Windows Filtering Platform.

5448

Se ha cambiado un proveedor de Windows Filtering Platform.

5449

Ha cambiado un contexto de proveedor Windows Filtering Platform.

5450

Se ha cambiado una subcapa de Windows Filtering Platform.

5456

El motor PAStore aplicó la directiva IPsec de almacenamiento de información de Active Directory en el equipo.

5457

Error del motor PAStore al aplicar directiva IPsec de almacenamiento de Active Directory en el equipo.

5458

El motor PAStore aplicó copia en caché local de la directiva IPsec de almacenamiento de Active Directory en el equipo.

5459

Error del motor PAStore al aplicar copia en caché local de la directiva IPsec de almacenamiento de Active Directory en el equipo.

5460

El motor PAStore aplicó la directiva IPsec de almacenamiento de información de registro local en el equipo.

5461

Error del motor PAStore al aplicar directiva IPsec de almacenamiento del registro local en el equipo.

5462

Error del motor PAStore al aplicar algunas reglas de la directiva IPsec activa en el equipo. Utilice el complemento Monitor de seguridad IP para diagnosticar el problema.

5463

El motor PAStore realizó un sondeo de cambios en la directiva IPsec activa y no detectó ningún cambio.

5464

Error del motor PAStore sondeo de cambios en la directiva IPsec activa, detectó cambios y aplicar a los servicios de IPsec.

5465

Error del motor PAStore recibió un control para la recarga forzada de directiva IPsec y procesó el control correctamente.

5466

El motor PAStore realizó un sondeo de cambios en la directiva IPsec de Active Directory, determinada que no se puede conectar Active Directory y utilizará la copia en caché de la directiva IPsec de Active Directory en su lugar. Los cambios realizados en la directiva IPsec de Active Directory ya que no se pudo aplicar el último sondeo.

5467

El motor PAStore realizó un sondeo de cambios en la directiva IPsec de Active Directory, determinada que Active Directory puede ser alcanzado y no encontró cambios en la directiva. No sé qué se utiliza la copia en caché de la directiva IPsec de Active Directory.

5468

El motor PAStore realizó un sondeo de cambios en la directiva IPsec de Active Directory, determinada que Active Directory se puede alcanzar, encontró cambios en la directiva y aplicar esos cambios. No sé qué se utiliza la copia en caché de la directiva IPsec de Active Directory.

5471

El motor PAStore cargó almacenamiento local de directiva de IPsec en el equipo.

5472

Error del motor PAStore al cargar directiva de IPsec en el equipo de almacenamiento local.

5473

El motor PAStore cargó directiva de IPsec en el equipo de almacenamiento de información de directorio.

5474

Error del motor PAStore al cargar directiva de IPsec en el equipo de almacenamiento de información de directorio.

5477

Error del motor PAStore no se pudo agregar el filtro de modo rápido.

Subcategoría: Cambio de directiva de nivel de reglas MPSSVC

ID.

Mensaje

4944

La siguiente directiva de estaba activa cuando se inició el servidor de seguridad de Windows.

4945

Una regla se mostró cuando inicia el servidor de seguridad de Windows.

4946

Ha realizado un cambio a lista de excepciones de Firewall de Windows. Se ha agregado una regla.

4947

Ha realizado un cambio a lista de excepciones de Firewall de Windows. Se ha modificado una regla.

4948

Ha realizado un cambio a lista de excepciones de Firewall de Windows. Se ha eliminado una regla.

4949

Configuración de Firewall de Windows se restauró a los valores predeterminados.

4950

Una configuración de Firewall de Windows ha cambiado.

4951

Una regla se ha omitido porque Firewall de Windows no reconoce su número de versión principal.

4952

Se omitieron partes de una regla debido a que Firewall de Windows no reconoce su número de versión secundaria. Se aplicarán las otras partes de la regla.

4953

Se ha omitido una regla de Firewall de Windows porque no se pudo analizar la regla.

4954

Configuración de directiva de grupo de Firewall de Windows ha cambiado. Se han aplicado la nueva configuración.

4956

Firewall de Windows ha cambiado el perfil activo.

4957

Firewall de Windows no aplicó la siguiente regla:

4958

Firewall de Windows no aplicó la siguiente regla porque la regla que se refiere a los elementos no configurados en este equipo:

5050

Un intento de deshabilitar mediante programación el servidor de seguridad de Windows mediante una llamada a INetFwProfile.FirewallEnabled(FALSE) interfaz fue rechazado porque esta API no es compatible con Windows Vista. Es muy probable que se ha producido debido a un programa que no es compatible con Windows Vista. Por favor, póngase en contacto con el fabricante del programa para asegurarse de que tiene una versión de programa compatible con Windows Vista.

Subcategoría: Otros eventos de cambio de directiva

ID.

Mensaje

4909

Se han cambiado la configuración de directiva local para el TBS.

4910

Se han cambiado la configuración de directiva de grupo para el TBS.

5063

Se intentó una operación de proveedor de servicios criptográficos.

5064

Se intentó una operación de contexto de cifrado.

5065

Se ha intentado efectuar una modificación de contexto de cifrado.

5066

Se intentó una operación de función criptográfica.

5067

Se ha intentado efectuar una modificación de la función criptográfica.

5068

Se intentó una operación de proveedor de función criptográfica.

5069

Se intentó una operación de propiedad de función criptográfica.

5070

Se ha intentado efectuar una modificación de la propiedad de función criptográfica.

5447

Ha cambiado un filtro de Windows Filtering Platform.

6144

Directiva de seguridad en los objetos de directiva de grupo se ha aplicado correctamente.

6145

Se ha producido uno o más errores al procesar la directiva de seguridad en los objetos de directiva de grupo.

Subcategoría: Special Multi-use Subcategory

ID.

Mensaje

4670

Se cambiaron los permisos en un objeto.

Categoría: El uso de privilegios

ID.

Mensaje

4672

Privilegios especiales asignados al nuevo inicio de sesión.

4673

Se llama a un servicio con privilegios.

4674

Se intentó una operación en un objeto con privilegios.

Categoría: sistema

ID.

Mensaje

4960

IPsec descartó un paquete de entrada que no se pudo una comprobación de integridad. Si el problema persiste, eso podría significar que un problema de red o que los paquetes se están modificando en tránsito a este equipo. Compruebe que los paquetes enviados desde el equipo remoto son las mismas que las recibidas por este equipo. Este error también puede indicar problemas de interoperabilidad con otras implementaciones de IPsec.

4961

IPsec descartó un paquete de entrada que no se pudo una comprobación de la reproducción. Si el problema persiste, podría indicar un ataque de reproducción con respecto a este equipo.

4962

IPsec descartó un paquete de entrada que no se pudo una comprobación de la reproducción. El paquete de entrada tenía un número demasiado bajo secuencia para asegurarse de no era una repetición.

4963

IPsec descartó un paquete de entrada de texto sin cifrar que debía haberse establecido. Causa más probable es el equipo remoto cambiando su directiva IPsec sin que le informa de este equipo. Esto también podría ser un intento de ataque de suplantación de identidad.

4965

IPsec ha recibido un paquete desde un equipo remoto con un índice de parámetro de seguridad (SPI) incorrecto. Normalmente, se debe a hardware defectuoso que se está dañando paquetes. Si los errores persisten, compruebe que los paquetes enviados desde el equipo remoto son las mismas que las recibidas por este equipo. Este error también puede indicar problemas de interoperabilidad con otras implementaciones de IPsec. En ese caso, si no se impide la conectividad, pueden ignorar estos eventos.

5478

Servicios IPsec se ha iniciado correctamente.

5479

Servicios IPsec se cerró correctamente. El cierre de los servicios IPsec puede suponer un mayor riesgo de ataque de red o el equipo expuesto a posibles riesgos de seguridad.

5480

Servicios IPsec no se pudo obtener la lista completa de interfaces de red en el equipo. Esto supone un riesgo de seguridad ya que algunas de las interfaces de red pueden no obtener la protección proporcionada por los filtros IPsec aplicados. Utilice el complemento Monitor de seguridad IP para diagnosticar el problema.

5483

Servicios IPsec no se pudo inicializar el servidor de RPC. No se pudo iniciar los servicios IPsec.

5484

Servicios de IPsec ha experimentado un error crítico y se ha cerrado. El cierre de los servicios IPsec puede suponer un mayor riesgo de ataque de red o el equipo expuesto a posibles riesgos de seguridad.

5485

Servicios IPsec no pudo procesar algunos filtros IPsec en un evento de plug-and-play para interfaces de red. Esto supone un riesgo de seguridad ya que algunas de las interfaces de red pueden no obtener la protección proporcionada por los filtros IPsec aplicados. Utilice el complemento Monitor de seguridad IP para diagnosticar el problema.

Subcategoría: Otros eventos del sistema

ID.

Mensaje

5024

El servicio de Firewall de Windows ha iniciado correctamente.

5025

Se detuvo el servicio de Firewall de Windows.

5027

El servicio de Firewall de Windows no pudo recuperar la directiva de seguridad desde el almacenamiento local. El servicio seguirá aplicando la directiva actual.

5028

El servicio de Firewall de Windows no pudo analizar la nueva directiva de seguridad. El servicio continuará con la directiva actual exigida.

5029

El servicio de Firewall de Windows no se pudo inicializar el controlador. El servicio seguirá aplicando la directiva actual.

5030

No se pudo iniciar el servicio de Firewall de Windows.

5032

Firewall de Windows no puede notificar al usuario que ha bloqueado una aplicación acepte conexiones entrantes en la red.

5033

El controlador de servidor de seguridad de Windows se ha iniciado correctamente.

5034

Se ha detenido el controlador de servidor de seguridad de Windows.

5035

No se pudo iniciar el controlador de servidor de seguridad de Windows.

5037

El controlador de servidor de seguridad de Windows ha detectado error en tiempo de ejecución crítico. Finalizando.

5058

Operación de archivo de clave.

5059

Operación de principales de la migración.

Subcategoría: Cambio de estado de seguridad

ID.

Mensaje

4608

Windows se está iniciando.

4616

Se cambió la hora del sistema.

4621

Administrador recuperado del sistema de CrashOnAuditFail. Los usuarios que no son administradores ahora permitirá iniciar sesión. Es posible que no se han registrado algunas actividades auditables.

Subcategoría: Extensión de sistema de seguridad

ID.

Mensaje

4610

La autoridad de seguridad Local ha cargado un paquete de autenticación.

4611

Un proceso de inicio de sesión confiable se registró con la autoridad de seguridad Local.

4614

Un paquete de notificación se ha cargado por el Administrador de cuentas de seguridad.

4622

La autoridad de seguridad Local ha cargado un paquete de seguridad.

4697

Un servicio se instaló en el sistema.

Subcategoría: Integridad del sistema

ID.

Mensaje

4612

Se han agotado los recursos internos asignados para la puesta en cola de mensajes de auditoría, provocando la pérdida de algunas auditorías.

4615

Uso no válido de puerto LPC.

4618

Se ha producido un modelo de eventos de seguridad supervisados.

4816

RPC ha detectado una infracción de integridad al descifrar un mensaje entrante.

5038

Integridad de código determinó que el valor de hash de imagen de un archivo no es válido. El archivo podría estar dañado debido a la modificación no autorizada o el valor de hash no válido podría indicar un posible problema de dispositivo de disco.

5056

Se realizó una prueba criptográfica.

5057

Error en una operación primitiva criptográfica.

5060

Error en la operación de verificación.

5061

Operación criptográfica.

5062

Se ha realizado un cifrado de que pruebas automáticas de encendido en modo de núcleo.

Notas

Para devolver más detalles de lista de todas las auditorías de seguridad entradas de eventos, ejecute el comando siguiente en un símbolo del sistema con privilegios elevados como administrador:

wevtutil gp Microsoft-Windows–auditoría de seguridad /ge /gm:true

En el ejemplo siguiente se muestra parte de la salida:

event:

value: 4706

version: 0

opcode: 0

channel: 10

level: 4

task: 0

keywords: 0x8000000000000000

message: A new trust was created to a domain.

Subject:

Security ID: Security ID

Account Name: Account Name

Account Domain: Account Domain

Logon ID: Logon ID

Trusted Domain:

Domain Name: Domain Name

Domain ID: Domain ID

Trust Information:

Trust Type: Trust Type

Trust Direction: Trust Direction

Trust Attributes: Trust Attributes

SID Filtering: SID Filtering

Para devolver una lista de todas las auditorías de seguridad categorías y subcategorías, ejecute el comando siguiente en un símbolo del sistema con privilegios elevados como administrador:

auditpol /list /subcategory: *

Esos informes de mis Windows

How to launch the PAL tool

1. Ensure that the PAL tool and dependency components have been installed from http://www.codeplex.com/PAL .

2. Click Start, Run, and then PAL. This will launch the PAL wizard interface.

How to create a counter log file using PAL

Follow these steps to create a counter log .htm file once the PAL wizard has been launched. Note: This contains very specific counters instead of the full counter set that perfwiz uses, so you can choose how granular you would like to get.

1. Launch PAL.

2. Click the Threshold File Tab.

3. In the Threshold File Title drop down box, select the Threshold File Title version of your choice
clip_image001

4. Click the clip_image002

5. Save the settings to a .htm file. Follow the steps in the Exchange 2007 Perfwiz replacement steps at http://blogs.technet.com/mikelag/archive/2008/05/02/perfwiz-replacement-for-exchange-2007.aspx starting at step 4 to import this .htm file in to Performance monitor.
Note: This export feature only works on Windows 2003 servers since the ability to import htm files in Windows 2008 has changed. I will post an update on how to do this on Windows 2008 servers at a later time.

How to run the PAL wizard

1. Launch PAL. This will bring you to the Welcome Screen. Click Next

2. On the Counter Log tab, select a blg file of your choice. Click Next
clip_image003

3. Select the appropriate threshold file
clip_image001[1]

4. Answer any questions that are listed on that page. The answers to these questions are required so that during the processing of each performance file, we consume this information and pass this in to the tool for proper calculations. Click Next once finished.
clip_image004

5. On the Analysis Interval tab, select the interval that you would like to use. Note: The default of AUTO is recommended as that is the best performance option for running the tool. Any changes to this setting could cause the report generation process to be that much slower, but will allow you to get a little more granular if needed.
clip_image005
Click Next.

6. On the Output Options tab, you can select an Output Directory to store the PAL reports and what format you would like to use. Click Next once you have made your selections.
clip_image006

7. On the Queue tab, you will notice the parameters that will be passed in to the PAL tool for processing. Click Next if this satisfies your needs.
clip_image007

8. On the Execute tab, you can execute what you have just added to the queue or you could add more items to the queue for processing.
clip_image008

9. Click the clip_image009to execute the queued items.

This is a resource intensive application while these perfmon files are being parsed, so I would recommend using your fastest machine to run these reports on. Once PAL has completed processing the queued items, an IE window will open for each report in the queue.

I hope you have found this information useful and if you should have any questions regarding the tools usage, any possible problems that you may run in to or just suggestions to improve the tool, you can email paltool@microsoft.com

Happy reporting!!!

Security Management (Proceso)

La Gestión de la Seguridad esta estrechamente relacionada con prácticamente todos los otros procesos TI y necesita para su éxito la colaboración de toda la organización.

Para que esa colaboración sea eficaz es necesario que la Gestión de la Seguridad:

  • Establezca una clara y definida política de seguridad que sirva de guía a todos los otros procesos.
  • Elabore un Plan de Seguridad que incluya los niveles de seguridad adecuados tanto en los servicios prestados a los clientes como en los acuerdos de servicio firmados con proveedores internos y externos.
  • Implemente el Plan de Seguridad.
  • Monitorice y evalúe el cumplimiento de dicho plan.
  • Supervise proactivamente los niveles de seguridad analizando tendencias, nuevos riesgos y vulnerabilidades.
  • Realice periódicamente auditorías de seguridad.

Política de Seguridad

Es imprescindible disponer de un marco general en el que encuadrar todos los subprocesos asociados a la Gestión de la Seguridad. Su complejidad e intricadas interrelaciones necesitan de una política global clara en donde se fijen aspectos tales como los objetivos, responsabilidades y recursos.

En particular la Política de Seguridad debe determinar:

  • La relación con la política general del negocio.
  • La coordinación con los otros procesos TI.
  • Los protocolos de acceso a la información.
  • Los procedimientos de análisis de riesgos.
  • Los programas de formación.
  • El nivel de monitorización de la seguridad.
  • Qué informes deben ser emitidos periódicamente.
  • El alcance del Plan de Seguridad.
  • La estructura y responsables del proceso de Gestión de la Seguridad.
  • Los procesos y procedimientos empleados.
  • Los responsables de cada subproceso.
  • Los auditores externos e internos de seguridad.
  • Los recursos necesarios: software, hardware y personal.
Plan de Seguridad

El objetivo del Plan de Seguridad es fijar los niveles de seguridad que han de ser incluidos como parte de los SLAs, OLAs y UCs.

Este plan ha de ser desarrollado en colaboración con la Gestión de Niveles de Servicio que es la responsable en última instancia tanto de la calidad del servicio prestado a los clientes como la del servicio recibido por la propia organización TI y los proveedores externos.

El Plan de Seguridad debe diseñarse para ofrecer un mejor y más seguro servicio al cliente y nunca como un obstáculo para el desarrollo de sus actividades de negocio.

Siempre que sea posible deben definirse métricas e indicadores clave que permitan evaluar los niveles de seguridad acordados.

Un aspecto esencial a tener en cuenta es el establecimiento de unos protocolos de seguridad coherentes en todas las fases del servicio y para todos los estamentos implicados. “Una cadena es tan resistente como el más débil de sus eslabones”, por lo que carece de sentido, por ejemplo, establecer una estrictas normas de acceso si una aplicación tiene vulnerabilidades frente a inyecciones de SQL. Quizá con ello podamos engañar a algún cliente durante algún tiempo ofreciendo la imagen de “fortaleza” pero esto valdrá de poco si alguien descubre que la “puerta de atrás está abierta”.


Aplicación de las Medidas de Seguridad

Por muy buena que sea la planificación de la seguridad resultará inútil si las medidas previstas no se ponen en práctica.

Es responsabilidad de la Gestión de Seguridad coordinar la implementación de los protocolos y medidas de seguridad establecidas en la Política y el Plan de Seguridad.

En primer lugar la Gestión de la Seguridad debe verificar que:

  • El personal conoce y acepta las medidas de seguridad establecidas así como sus responsabilidades al respecto.
  • Los empleados firmen los acuerdos de confidencialidad correspondientes a su cargo y responsabilidad.
  • Se imparte la formación pertinente.

Es también responsabilidad directa de la Gestión de la Seguridad:

  • Asignar los recursos necesarios.
  • Generar la documentación de referencia necesaria.
  • Colaborar con el Service Desk y la Gestión de Incidentes en el tratamiento y resolución de incidentes relacionados con la seguridad.
  • Instalar y mantener las herramientas de hardware y software necesarias para garantizar la seguridad.
  • Colaborar con la Gestión de Cambios y Versiones para asegurar que no se introducen nuevas vulnerabilidades en los sistemas en producción o entornos de pruebas.
  • Proponer RFCs a la Gestión de Cambios que aumenten los niveles de seguridad.
  • Colaborar con la Gestión de la Continuidad del Servicio para asegurar que no peligra la integridad y confidencialidad de los datos en caso de desastre.
  • Establecer las políticas y protocolos de acceso a la información.
  • Monitorizar las redes y servicios en red para detectar intrusiones y ataques.

Es necesario que la gestión de la empresa reconozca la autoridad de la Gestión de la Seguridad respecto a todas estas cuestiones y que incluso permita que ésta proponga medidas disciplinarias vinculantes cuando los empleados u otro personal relacionado con la seguridad de los servicios incumpla con sus responsabilidades.


Evaluación y Mantenimiento

Evaluación

No es posible mejorar aquello que no se conoce, es por la tanto indispensable evaluar el cumplimiento de las medidas de seguridad, sus resultados y el cumplimiento de los SLAs.

Aunque no es imprescindible, es recomendable que estas evaluaciones se complementen con auditorías de seguridad externas y/o internas realizadas por personal independiente de la Gestión de la Seguridad.

Estas evaluaciones/auditorias deben valorar el rendimiento del proceso y proponer mejoras que se plasmaran en RFCs que habrán de ser evaluados por la Gestión de Cambios.

Independientemente de estas evaluaciones de carácter periódico se deberán generar informes independientes cada vez que ocurra algún incidente grave relacionado con la seguridad. De nuevo, si la Gestión de la Seguridad lo considera oportuno, estos informes se acompañaran de las RFCs correspondientes.

Mantenimiento

La Gestión de la Seguridad es un proceso continuo y se han de mantener al día el Plan de Seguridad y las secciones de seguridad de los SLAs.

Los cambios en el Plan de Seguridad y los SLAs pueden ser resultado de la evaluación arriba citada o de cambios implementados en la infraestructura o servicios TI.

No hay nada más peligroso que la falsa sensación de seguridad que ofrecen medidas de seguridad obsoletas.

Es asimismo importante que la Gestión de la Seguridad esté al día en lo que respecta a nuevos riesgos y vulnerabilidades frente a virus, spyware, ataques de denegación de servicio, etcétera, y que adopte las medidas necesarias de actualización de equipos de hardware y software, sin olvidar el apartado de formación: el factor humano es normalmente el eslabón más débil de la cadena.


Control del Proceso

Al igual que en el resto de procesos TI es necesario realizar un riguroso control del proceso para asegurar que la Gestión de la Seguridad cumple sus objetivos.

Una buena Gestión de la Seguridad debe traducirse en una:

  • Disminución del número de incidentes relacionados con la seguridad.
  • Un acceso eficiente a la información por el personal autorizado.
  • Gestión proactiva que permita identificar vulnerabilidades potenciales antes de que estas se manifiesten y provoquen una seria degradación de la calidad del servicio.

La correcta elaboración de informes permite evaluar el rendimiento de la Gestión de Seguridad y aporta información de vital importancia a otras áreas de la infraestructura TI.

Entre la documentación generada cabría destacar:

  • Informes sobre el cumplimiento, en lo todo lo referente al apartado de seguridad, de los SLAs, OLAs y UCs en vigor.
  • Relación de incidentes relacionados con la seguridad calificados por su impacto sobre la calidad del servicio.
  • Evaluación de los programas de formación impartidos y sus resultados.
  • Identificación de nuevos peligros y vulnerabilidades a las que se enfrenta la infraestructura TI.
  • Auditorías de seguridad.
  • Informes sobre el grado de implementación y cumplimiento de los planes de seguridad establecidos.

Security Management (Objetivos)

Los principales objetivos de la Gestión de la Seguridad se resumen en:

  • Diseñar una política de seguridad, en colaboración con clientes y proveedores correctamente alineada con las necesidades del negocio.
  • Asegurar el cumplimiento de los estándares de seguridad acordados.
  • Minimizar los riesgos de seguridad que amenacen la continuidad del servicio.

La correcta Gestión de la Seguridad no es responsabilidad (exclusiva) de “expertos en seguridad” que desconocen los otros procesos de negocio. Si caemos en la tentación de establecer la seguridad como una prioridad en sí misma limitaremos las oportunidades de negocio que nos ofrece el flujo de información entre los diferentes agentes implicados y la apertura de nuevas redes y canales de comunicación.

La Gestión de la Seguridad debe conocer en profundidad el negocio y los servicios que presta la organización TI para establecer protocolos de seguridad que aseguren que la información esté accesible cuando se necesita por aquellos que tengan autorización para utilizarla.

Una vez comprendidos cuales son los requisitos de seguridad del negocio, la Gestión de la Seguridad debe supervisar que estos se hallen convenientemente plasmados en los SLAs correspondientes para, a renglón seguido, garantizar su cumplimiento.

La Gestión de la Seguridad debe asimismo tener en cuenta los riesgos generales a los que está expuesta la infraestructura TI, y que no necesariamente tienen porque figurar en un SLA, para asegurar, en la medida de lo posible, que no representan un peligro para la continuidad del servicio.

Es importante que la Gestión de la Seguridad sea proactiva y evalúe a priori los riesgos de seguridad que pueden suponer los cambios realizados en la infraestructura, nuevas líneas de negocio, etcétera.

 

Los principales beneficios de una correcta Gestión de la Seguridad:

  • Se evitan interrupciones del servicio causadas por virus, ataques informáticos, etcétera.
  • Se minimiza el número de incidentes.
  • Se tiene acceso a la información cuando se necesita y se preserva la integridad de los datos.
  • Se preserva la confidencialidad de los datos y la privacidad de clientes y usuarios.
  • Se cumplen los reglamentos sobre protección de datos.
  • Mejora la percepción y confianza de clientes y usuarios en lo que respecta a la calidad del servicio.

Las principales dificultades a la hora de implementar la Gestión de la Seguridad se resumen en:

  • No existe el suficiente compromiso de todos los miembros de la organización TI con el proceso.
  • Se establecen políticas de seguridad excesivamente restrictivas que afectan negativamente al negocio.
  • No se dispone de las herramientas necesarias para monitorizar y garantizar la seguridad del servicio (firewalls, antivirus, …).
  • El personal no recibe una formación adecuada para la aplicación de los protocolos de seguridad.
  • Falta de coordinación entre los diferentes procesos lo que impide una correcta evaluación de los riesgos.

Availability Management (Proceso)

Entre las actividades que la Gestión de la Disponibilidad se encuentran:

  • Determinar cuales son los requisitos de disponibilidad reales del negocio.
  • Desarrollar un plan de disponibilidad donde se estimen las necesidades de disponibilidad futura a corto y medio plazo.
  • Mantenimiento del servicio en operación y recuperación del mismo en caso de fallo.
  • Realizar diagnósticos periódicos sobre la disponibilidad de los sistemas y servicios.
  • Evaluar la capacidad de servicio de los proveedores internos y externos.
  • Monitorizar la disponibilidad de los servicios TI.
  • Elaborar informes de seguimiento con la información recopilada sobre disponibilidad, fiabilidad, matenibilidad y cumplimiento deOLAs y UCs.
  • Evaluar el impacto de las políticas de seguridad en la disponibilidad.
  • Asesorar a la Gestión del Cambio sobre el posible impacto de un cambio en la disponibilidad.

Requisitos de Disponibilidad

Es indispensable cuantificar los requisitos de disponibilidad para la correcta elaboración de losSLAs.

La disponibilidad propuesta debe encontrase en línea tanto con los necesidades reales del negocio como con las posibilidades de la organización TI.

Aunque en principio todos los clientes estarán de acuerdo con unas elevadas cotas de disponibilidad es importante hacerles ver que una alta disponibilidad puede generar unos costes injustificados dadas sus necesidades reales. Quizá unas pocas horas sin un determinado servicio pueden representar poco más allá de una pequeña inconveniencia mientras que la certeza de un servicio prácticamente continuo y sin interrupciones puede requerir la replicación de sistemas u otras medidas igualmente costosas que no van a tener una repercusión real en la rentabilidad del negocio.

Para llevar a cabo eficientemente está tarea es necesario que la Gestión de la Disponibilidad:

  • Identifique las actividades clave del negocio.
  • Cuantifique los intervalos razonables de interrupción de los diferentes servicios dependiendo de sus respectivos impactos.
  • Establezca los protocolos de mantenimiento y revisión de los servicios TI.
  • Determine las franjas horaria de disponibilidad de los servicios TI (24/7, 12/5, …).

Planificación

La correcta planificación de la disponibilidad permite establecer unos niveles de disponibilidad adecuados tanto en lo que respecta a las necesidades reales del negocio como a las posibilidades de la organización TI.

El documento que debe recoger los objetivos de disponibilidad presentes y futuros y que medidas son necesarias para su cumplimiento es el Plan de Disponibilidad.

Este plan debe recoger:

  • La situación actual de disponibilidad de los servicios TI. Obviamente esta información debe ser actualizada periódicamente.
  • Herramientas para la monitorización de la disponibilidad.
  • Métodos y técnicas de análisis a utilizar.
  • Definiciones relevantes y precisas de las métricas a utilizar.
  • Planes de mejora de la disponibilidad.
  • Expectativas futuras de disponibilidad.

Es imprescindible que este plan proponga los cambios necesarios para que se cumplan los estándares previstos y colabore con la Gestión de Cambios y la Gestión de Versiones en su implementación (en caso de ser aprobados, claro está).

Para que este plan sea realista debe contar con la colaboración de los otros procesos TI involucrados.

Diseño para la Disponibilidad

Es crucial para una correcta Gestión de la Disponibilidad participar desde el inicio en el desarrollo de los nuevos servicios TI de forma que estos cumplan los estándares plasmados en el Plan de Disponibilidad.

Un diferente nivel de disponibilidad puede requerir cambios drásticos en los recursos utilizados o en las actividades necesarias para suministrar un determinado servicio TI. Si éste se diseña sin tener en cuenta futuras necesidades de disponibilidad puede ser necesario un completo rediseño al cabo de poco tiempo, incurriendo en costes adicionales innecesarios.


Mantenimiento y Seguridad

Aunque hayamos realizado un correcto diseño de los servicios según el Plan de Disponibilidad y se hayan tomado todas las medidas preventivas necesarias, tarde o temprano, nos habremos de enfrentar a interrupciones del servicio.

En esos casos es necesario recuperar el servicio lo antes posible para que no tenga un efecto indeseado sobre los niveles de disponibilidad acordados.

Aunque la responsabilidad de restaurar el servicio corresponde a la Gestión de Incidentes y las actividades de recuperación han de ser coordinadas por el Service Desk, la Gestión de la Disponibilidad debe prestar su asesoramiento mediante planes de recuperación que tengan en cuenta:

  • Las necesidades de disponibilidad del negocio.
  • Las implicaciones del incidente en la infraestructura TI y los procesos necesarios para restaurar el servicio.
Gestión de las Interrupciones de Mantenimiento

Independientemente de las interrupciones del servicio causadas por incidencias es habitualmente necesario interrumpir el servicio para realizar labores de mantenimiento y/o actualización.

Estas interrupciones programadas pueden afectar a la disponibilidad del servicio y por lo tanto han de ser cuidadosamente planificadas para minimizar su impacto.

En aquellos casos en que los servicios no son 24/7 es obvio que, siempre que ello sea posible, deben aprovecharse las franjas horarias de inactividad para realizar las tareas que implican una degradación o interrupción del servicio.

Si el servicio es 24/7 y la interrupción es necesaria se debe:

  • Consultar con el cliente en que franja horaria la interrupción del servicio afectará menos a sus actividades de negocio.
  • Informar con la antelación suficiente a todos los agentes implicados.
  • Incorporar dicha información a los SLAs.
Seguridad

Uno de los aspectos esenciales para obtener altos niveles de fiabilidad y disponibilidad es una correcta Gestión de la Seguridad.

Los aspectos relativos a la seguridad deben ser tomados en cuenta en todas las etapas del proceso.

Es tan importante determinar cuándo el servicio estará disponible como el “quién y cómo” va a utilizarlo. La disponibilidad y seguridad son interdependientes y cualquier fallo en una de ellas afectará gravemente a la otra.


Monitorización de la Disponibilidad

La monitorización de la disponibilidad del servicio y la elaboración de los informes correspondientes son dos de las principales actividades de la Gestión de la Disponibilidad.

Desde el momento de la interrupción del servicio hasta su restitución o “tiempo de parada” el incidente pasa por distintas fases que deben ser individualizadamente analizadas:

  • Tiempo de detección: es el tiempo que transcurre desde que ocurre el fallo hasta que la organización TI tiene constancia del mismo.
  • Tiempo de respuesta: es el tiempo que transcurre desde la detección del problema hasta que se realiza un registro y diagnóstico del incidente.
  • Tiempo de reparación/recuperación: periodo de tiempo utilizado para reparar el fallo o encontrar un “workaround” o solución temporal al mismo y devolver el sistema a la situación anterior a la interrupción del servicio.

Es importante determinar métricas que permitan medir con precisión las diferentes fases del ciclo de vida de la interrupción del servicio. El cliente debe conocer estas métricas y dar su conformidad a las mismas para evitar malentendidos. En algunos casos es difícil determinar si el sistema está “caído o en funcionamiento” y la interpretación puede diferir entre proveedores y clientes, por lo tanto, estás métricas deben de poder expresarse en términos que el cliente pueda entender.

Algunos de los parámetros que suele utilizar la Gestión de la Disponibilidad y que debe poner a disposición del cliente en los informes de disponibilidad correspondientes incluyen:

  • Tiempo Medio de Parada (Downtime) : que es el tiempo promedio de duración de una interrupción de servicio, e incluye el tiempo de detección, respuesta y resolución.
  • Tiempo Medio entre Fallos (Uptime): es el tiempo medio durante el cual el servicio esta disponible sin interrupciones.
  • Tiempo Medio entre Incidentes: es el tiempo medio transcurrido entre incidentes que es igual a la suma del Tiempo Medio de Parada y el Tiempo Medio entre Fallos. El Tiempo Medio entre Incidentes es una medida de la fiabilidad del sistema.

Métodos y Técnicas

Aunque llevamos hablando ya un buen rato de disponibilidad aún no hemos aportado un método para cuantificarla.

Es habitual definir la disponibilidad en tanto por ciento de la siguiente manera:

donde:

ASTse corresponde con el tiempo acordado de servicio,DT es el tiempo de interrupción del servicio durante las franjas horarias de disponibilidad acordadas.

Por ejemplo, si el servicio es 24/7 y en el último mes el sistema ha estado caído durante 4 horas por tareas de mantenimiento la disponibilidad real del servicio fue:

La Gestión de la Disponibilidad tiene a su disposición un buen número de métodos y técnicas que le permiten determinar que factores intervienen en la disponibilidad del servicio y que le permiten consecuentemente prever que tipo de recursos se deben asignar para las labores de prevención, mantenimiento y recuperación, así como elaborar planes de mejora a partir de dichos análisis.

Entre dichas técnicas se cuentan:

CFIA

Que son las siglas de Component Failure Impact Analysis (Análisis del Impacto de Fallo de Componentes).

Mediante esté metodo se identifica el impacto que tiene en la disponibilidad de los servicios TI el fallo de cada elemento de configuración involucrado. Es evidente que este método requiere una CMDB correctamente actualizada.

FTA

Que son las siglas de Failure Tree Analysis (Análisis del Árbol de Fallos).

Su objetivo es estudiar como se “propagan” los fallos a traves de la infraestructura TI para comprender mejor su impacto en la disponibilidad del servicio.

CRAMM

Que son las siglas de CCTA Risk Analysis and Management Method (Método de Gestión y Análisis de Riesgos de la CCTA).

Su objetivo es identificar los riesgos y vulnerabilidades a los que se haya expuesta la infraestructura TI con el objetivo de adoptar contramedidas que los reduzcan o que permitan recuperar rápidamente el servicio en caso de interrupción del mismo.

SOA

Que son las siglas de Service Outage Analysis (Análisis de Interrupción del Servicio).

Ésta técnica tiene como objetivo analizar las causas de los fallos detectados y proponer soluciones a los mismos.

Se diferencia de los anteriores métodos en que realiza el análisis desde el punto de vista del cliente haciendo especial énfasis en aspectos no exclusivamente técnicos ligados directamente a la infraestructura TI.


Control del Proceso

La Gestión de la Disponibilidad debe elaborar periódicamente informes sobre su gestión que incluyan información relevante tanto para los clientes como para el resto de la organización TI.

Estos informes deben incluir:

  • Técnicas y métodos utilizados para la prevención y el análisis de fallos.
  • Información estadística sobre:
    • Tiempos de detección y respuesta a los fallos.
    • Tiempos de reparación y recuperación del servicio.
    • Tiempo medio de servicio entre fallos.
  • Disponibilidad real de los diferentes servicios.
  • Cumplimiento de los SLAs en todo lo referente a la disponibilidad y fiabilidad del servicio.
  • Cumplimiento de los OLAs y UCs en todo lo referente a la capacidad de servicio prestada por los proveedores internos y externos.

Para que toda esta información sea fácil y correctamente analizada es imprescindible el establecimiento de métricas precisas que permitan determinar de forma inequívoca parámetros tales como tiempos de parada y funcionamiento. Por ejemplo, en el caso de un servicio online de comercio electrónico se puede considerar que tiempos de respuesta superiores a 10 segundos son equivalentes a que el sistema esta caído, aunque estrictamente hablando el sistema termine respondiendo.