Juan Garrido @tr1ana - CriptoRed · Utilización de Active Directory GPO Logon/Logoff ......
Transcript of Juan Garrido @tr1ana - CriptoRed · Utilización de Active Directory GPO Logon/Logoff ......
![Page 1: Juan Garrido @tr1ana - CriptoRed · Utilización de Active Directory GPO Logon/Logoff ... •Subsistema que permite el inicio de sesión •Define y aplica las políticas de seguridad](https://reader031.fdocuments.co/reader031/viewer/2022022023/5baa9e7109d3f221798ce30a/html5/thumbnails/1.jpg)
Fast & Furious Incident ResponseJuan Garrido
@tr1ana
![Page 2: Juan Garrido @tr1ana - CriptoRed · Utilización de Active Directory GPO Logon/Logoff ... •Subsistema que permite el inicio de sesión •Define y aplica las políticas de seguridad](https://reader031.fdocuments.co/reader031/viewer/2022022023/5baa9e7109d3f221798ce30a/html5/thumbnails/2.jpg)
![Page 3: Juan Garrido @tr1ana - CriptoRed · Utilización de Active Directory GPO Logon/Logoff ... •Subsistema que permite el inicio de sesión •Define y aplica las políticas de seguridad](https://reader031.fdocuments.co/reader031/viewer/2022022023/5baa9e7109d3f221798ce30a/html5/thumbnails/3.jpg)
Agenda
¿Qué es un incidente?
Incidentes en la actualidad
Preparar una empresa para IR
Qué hacer cuando ha habido un ataque
Herramientas existentes
Conclusiones
3
![Page 4: Juan Garrido @tr1ana - CriptoRed · Utilización de Active Directory GPO Logon/Logoff ... •Subsistema que permite el inicio de sesión •Define y aplica las políticas de seguridad](https://reader031.fdocuments.co/reader031/viewer/2022022023/5baa9e7109d3f221798ce30a/html5/thumbnails/4.jpg)
4
¿Qué es un incidente?
Incidente
• Violación de las políticas de seguridad de una empresa
• Ejemplos:
• Denegación de servicio
• Ejecución de malware a través de attachment
• Fuga de información
• Etc..
![Page 5: Juan Garrido @tr1ana - CriptoRed · Utilización de Active Directory GPO Logon/Logoff ... •Subsistema que permite el inicio de sesión •Define y aplica las políticas de seguridad](https://reader031.fdocuments.co/reader031/viewer/2022022023/5baa9e7109d3f221798ce30a/html5/thumbnails/5.jpg)
80.000 incidentes
Compromisos reales
•2.000
Se conoce el motivo
•70%
Phishing como elemento principal
•23%
Attachment
•11%
Brechas de seguridad. Año 2015
![Page 6: Juan Garrido @tr1ana - CriptoRed · Utilización de Active Directory GPO Logon/Logoff ... •Subsistema que permite el inicio de sesión •Define y aplica las políticas de seguridad](https://reader031.fdocuments.co/reader031/viewer/2022022023/5baa9e7109d3f221798ce30a/html5/thumbnails/6.jpg)
Public30%
IT/Information20%
Bank50%
TOP 3
![Page 7: Juan Garrido @tr1ana - CriptoRed · Utilización de Active Directory GPO Logon/Logoff ... •Subsistema que permite el inicio de sesión •Define y aplica las políticas de seguridad](https://reader031.fdocuments.co/reader031/viewer/2022022023/5baa9e7109d3f221798ce30a/html5/thumbnails/7.jpg)
¿Realmente nos espían?
![Page 8: Juan Garrido @tr1ana - CriptoRed · Utilización de Active Directory GPO Logon/Logoff ... •Subsistema que permite el inicio de sesión •Define y aplica las políticas de seguridad](https://reader031.fdocuments.co/reader031/viewer/2022022023/5baa9e7109d3f221798ce30a/html5/thumbnails/8.jpg)
![Page 9: Juan Garrido @tr1ana - CriptoRed · Utilización de Active Directory GPO Logon/Logoff ... •Subsistema que permite el inicio de sesión •Define y aplica las políticas de seguridad](https://reader031.fdocuments.co/reader031/viewer/2022022023/5baa9e7109d3f221798ce30a/html5/thumbnails/9.jpg)
![Page 10: Juan Garrido @tr1ana - CriptoRed · Utilización de Active Directory GPO Logon/Logoff ... •Subsistema que permite el inicio de sesión •Define y aplica las políticas de seguridad](https://reader031.fdocuments.co/reader031/viewer/2022022023/5baa9e7109d3f221798ce30a/html5/thumbnails/10.jpg)
Capacidad de respuesta
![Page 11: Juan Garrido @tr1ana - CriptoRed · Utilización de Active Directory GPO Logon/Logoff ... •Subsistema que permite el inicio de sesión •Define y aplica las políticas de seguridad](https://reader031.fdocuments.co/reader031/viewer/2022022023/5baa9e7109d3f221798ce30a/html5/thumbnails/11.jpg)
![Page 12: Juan Garrido @tr1ana - CriptoRed · Utilización de Active Directory GPO Logon/Logoff ... •Subsistema que permite el inicio de sesión •Define y aplica las políticas de seguridad](https://reader031.fdocuments.co/reader031/viewer/2022022023/5baa9e7109d3f221798ce30a/html5/thumbnails/12.jpg)
![Page 13: Juan Garrido @tr1ana - CriptoRed · Utilización de Active Directory GPO Logon/Logoff ... •Subsistema que permite el inicio de sesión •Define y aplica las políticas de seguridad](https://reader031.fdocuments.co/reader031/viewer/2022022023/5baa9e7109d3f221798ce30a/html5/thumbnails/13.jpg)
![Page 14: Juan Garrido @tr1ana - CriptoRed · Utilización de Active Directory GPO Logon/Logoff ... •Subsistema que permite el inicio de sesión •Define y aplica las políticas de seguridad](https://reader031.fdocuments.co/reader031/viewer/2022022023/5baa9e7109d3f221798ce30a/html5/thumbnails/14.jpg)
![Page 15: Juan Garrido @tr1ana - CriptoRed · Utilización de Active Directory GPO Logon/Logoff ... •Subsistema que permite el inicio de sesión •Define y aplica las políticas de seguridad](https://reader031.fdocuments.co/reader031/viewer/2022022023/5baa9e7109d3f221798ce30a/html5/thumbnails/15.jpg)
![Page 16: Juan Garrido @tr1ana - CriptoRed · Utilización de Active Directory GPO Logon/Logoff ... •Subsistema que permite el inicio de sesión •Define y aplica las políticas de seguridad](https://reader031.fdocuments.co/reader031/viewer/2022022023/5baa9e7109d3f221798ce30a/html5/thumbnails/16.jpg)
![Page 17: Juan Garrido @tr1ana - CriptoRed · Utilización de Active Directory GPO Logon/Logoff ... •Subsistema que permite el inicio de sesión •Define y aplica las políticas de seguridad](https://reader031.fdocuments.co/reader031/viewer/2022022023/5baa9e7109d3f221798ce30a/html5/thumbnails/17.jpg)
![Page 18: Juan Garrido @tr1ana - CriptoRed · Utilización de Active Directory GPO Logon/Logoff ... •Subsistema que permite el inicio de sesión •Define y aplica las políticas de seguridad](https://reader031.fdocuments.co/reader031/viewer/2022022023/5baa9e7109d3f221798ce30a/html5/thumbnails/18.jpg)
¿Lecciones aprendidas?
• Depende siempre desde el prisma del que se mire
• Si no hay SDL/SIL/TM, no habrá lección aprendida
• El Ego ayuda a “trasladar la culpa”, no a asumirla
• El software/hardware de seguridad no es la solución – Es parte de -
![Page 19: Juan Garrido @tr1ana - CriptoRed · Utilización de Active Directory GPO Logon/Logoff ... •Subsistema que permite el inicio de sesión •Define y aplica las políticas de seguridad](https://reader031.fdocuments.co/reader031/viewer/2022022023/5baa9e7109d3f221798ce30a/html5/thumbnails/19.jpg)
Preparar empresa para IR
• Formar equipo de IR
– Manager, técnicos, herramientas, procedimientos, etc..
• Preparar un plan de acción
– Misión
– Estrategia
– Formularios
– Interlocutores internos
– Comunicaciones
– Métricas
– Training
– Etc..
![Page 20: Juan Garrido @tr1ana - CriptoRed · Utilización de Active Directory GPO Logon/Logoff ... •Subsistema que permite el inicio de sesión •Define y aplica las políticas de seguridad](https://reader031.fdocuments.co/reader031/viewer/2022022023/5baa9e7109d3f221798ce30a/html5/thumbnails/20.jpg)
¿Qué hacer ante una intrusión?
• Keep calm
– Intentar categorizar y establecer pautas.
– Tener claro quienes son los interlocutores
• Artifacts
– Determinar origen de la intrusión
– Extraer artifacts de equipos afectados
– Análisis de los artifacts
– Documentar incidente
– Priorizar acciones
– Notificaciones
– Recuperar el control
– Lecciones aprendidas
![Page 21: Juan Garrido @tr1ana - CriptoRed · Utilización de Active Directory GPO Logon/Logoff ... •Subsistema que permite el inicio de sesión •Define y aplica las políticas de seguridad](https://reader031.fdocuments.co/reader031/viewer/2022022023/5baa9e7109d3f221798ce30a/html5/thumbnails/21.jpg)
![Page 22: Juan Garrido @tr1ana - CriptoRed · Utilización de Active Directory GPO Logon/Logoff ... •Subsistema que permite el inicio de sesión •Define y aplica las políticas de seguridad](https://reader031.fdocuments.co/reader031/viewer/2022022023/5baa9e7109d3f221798ce30a/html5/thumbnails/22.jpg)
Variables inamovibles en un IR• Entorno hostil
• Múltiples consultas en N servidores y/o clientes
• ¿Arquitectura homogénea?
• ¿Arquitectura heterogénea?
• ¿Sistemas gobernados?• Visibilidad
• Segmentación de Red
• DMZ
![Page 23: Juan Garrido @tr1ana - CriptoRed · Utilización de Active Directory GPO Logon/Logoff ... •Subsistema que permite el inicio de sesión •Define y aplica las políticas de seguridad](https://reader031.fdocuments.co/reader031/viewer/2022022023/5baa9e7109d3f221798ce30a/html5/thumbnails/23.jpg)
Top fallos
• Tiempo
• ¿Cuándo nos enteramos del ataque?
• Datos
• Cantidad no significa calidad
• Herramientas
• ¿homologadas?¿Normalizadas?, Etc..
• Documentación
• ¿Con qué cuenta levanta qué servicio?
• Personal
• ¿Formación? ¿Visibilidad dentro de la empresa?
![Page 24: Juan Garrido @tr1ana - CriptoRed · Utilización de Active Directory GPO Logon/Logoff ... •Subsistema que permite el inicio de sesión •Define y aplica las políticas de seguridad](https://reader031.fdocuments.co/reader031/viewer/2022022023/5baa9e7109d3f221798ce30a/html5/thumbnails/24.jpg)
Consultoría
• Fallos de consultoría
• Todo pasa por la instalación de una herramienta
• Múltiples agentes por sistema
• Baja interoperabilidad
• Mantenimiento• Posibles soluciones
• Adaptar los sistemas a las nuevas ventajas del OS
• Sin agente
![Page 25: Juan Garrido @tr1ana - CriptoRed · Utilización de Active Directory GPO Logon/Logoff ... •Subsistema que permite el inicio de sesión •Define y aplica las políticas de seguridad](https://reader031.fdocuments.co/reader031/viewer/2022022023/5baa9e7109d3f221798ce30a/html5/thumbnails/25.jpg)
Herramientas IR
Aplicaciones
• Utilizan comandos del sistema
• Utilizan API del sistema
• En ocasiones desestabilizan el entorno
Utilización de Active Directory
GPO Logon/Logoff
• Requiere reinicio
• Lentitud en inicio de sesión
![Page 26: Juan Garrido @tr1ana - CriptoRed · Utilización de Active Directory GPO Logon/Logoff ... •Subsistema que permite el inicio de sesión •Define y aplica las políticas de seguridad](https://reader031.fdocuments.co/reader031/viewer/2022022023/5baa9e7109d3f221798ce30a/html5/thumbnails/26.jpg)
Herramienta IR• Debe ser estable
• Debe estar probada por el equipo/auditor
• La información debe ser útil
• La información debe ser tratable
• Debe eliminar:
• Incompatibilidades con OS
• Ser considerada como herramienta de Hacking
![Page 27: Juan Garrido @tr1ana - CriptoRed · Utilización de Active Directory GPO Logon/Logoff ... •Subsistema que permite el inicio de sesión •Define y aplica las políticas de seguridad](https://reader031.fdocuments.co/reader031/viewer/2022022023/5baa9e7109d3f221798ce30a/html5/thumbnails/27.jpg)
Herramientas corporativasVendor/Tool C/P Agent Portable Low
level
Reporting Licence
Mandiant IR No Yes No Yes Yes 44000 $
(<1000)
Google GRR Yes Yes No Yes Yes Free
RTIR(*) Yes No No No Yes Free
Thor No No Yes Yes Yes Per device
Mandiant
IOC
No No Yes Yes Yes Free
Crowd
Response
No No Yes No No Free
Helix IR No No Yes No No Per device
Fireamp Yes Yes No Yes Yes 30000$
(*) Only ticketing
C/P Cross Platform
![Page 28: Juan Garrido @tr1ana - CriptoRed · Utilización de Active Directory GPO Logon/Logoff ... •Subsistema que permite el inicio de sesión •Define y aplica las políticas de seguridad](https://reader031.fdocuments.co/reader031/viewer/2022022023/5baa9e7109d3f221798ce30a/html5/thumbnails/28.jpg)
Autenticación en Windows
• Implementa una rica variedad de tecnologías de autenticación:
• Contraseña
• Tokens
• Certificado
• Biometría
• Proveedores externos
• Etc..
![Page 29: Juan Garrido @tr1ana - CriptoRed · Utilización de Active Directory GPO Logon/Logoff ... •Subsistema que permite el inicio de sesión •Define y aplica las políticas de seguridad](https://reader031.fdocuments.co/reader031/viewer/2022022023/5baa9e7109d3f221798ce30a/html5/thumbnails/29.jpg)
Protocolos de autenticación• Definen normas y reglas
• El proceso de autenticación permite
• Autorizar usuarios, grupos y servicios
• Acceso a recursos bajo canales seguros
• Re-diseño a partir de Windows Vista
• Basado en API
• Escalable
![Page 30: Juan Garrido @tr1ana - CriptoRed · Utilización de Active Directory GPO Logon/Logoff ... •Subsistema que permite el inicio de sesión •Define y aplica las políticas de seguridad](https://reader031.fdocuments.co/reader031/viewer/2022022023/5baa9e7109d3f221798ce30a/html5/thumbnails/30.jpg)
Protocolos de autenticación• Los protocolos de autenticación por defecto son:
• NTLM
• Kerberos
• Digest
• Schannel
• Añadidos en Windows 7/8/8.1
• tspkg
• pku2u
• livessp
![Page 31: Juan Garrido @tr1ana - CriptoRed · Utilización de Active Directory GPO Logon/Logoff ... •Subsistema que permite el inicio de sesión •Define y aplica las políticas de seguridad](https://reader031.fdocuments.co/reader031/viewer/2022022023/5baa9e7109d3f221798ce30a/html5/thumbnails/31.jpg)
Modelo de seguridad
• Componentes encargados de:
• Inicio de sesión correcto: Auth + Authorization
• Inicio de sesión incorrecto: Access Denied
• Autoridad de seguridad local (LSA)
• Subsistema que permite el inicio de sesión
• Define y aplica las políticas de seguridad local
• Inicios de sesión, derechos de usuario, etc..
• Traducción de nombre SID
![Page 32: Juan Garrido @tr1ana - CriptoRed · Utilización de Active Directory GPO Logon/Logoff ... •Subsistema que permite el inicio de sesión •Define y aplica las políticas de seguridad](https://reader031.fdocuments.co/reader031/viewer/2022022023/5baa9e7109d3f221798ce30a/html5/thumbnails/32.jpg)
User: BonitaPassword hash:
C9DF4E…
Logon inicial
PC Bonita
User: Bonita
Password:
a1b2c3
Sesión Bonita
User: SuePassword hash:
C9DF4E…
Servidor externo
1
2
3
Sesión Bonita4
1. Bonita mete usuario y password en el PC
2. PC genera la sesión de bonita
3. Bonita accede a servidor externo
4. Si todo coincide, servidor externo genera la sesión
![Page 33: Juan Garrido @tr1ana - CriptoRed · Utilización de Active Directory GPO Logon/Logoff ... •Subsistema que permite el inicio de sesión •Define y aplica las políticas de seguridad](https://reader031.fdocuments.co/reader031/viewer/2022022023/5baa9e7109d3f221798ce30a/html5/thumbnails/33.jpg)
321
Qué no hay que utilizar
![Page 34: Juan Garrido @tr1ana - CriptoRed · Utilización de Active Directory GPO Logon/Logoff ... •Subsistema que permite el inicio de sesión •Define y aplica las políticas de seguridad](https://reader031.fdocuments.co/reader031/viewer/2022022023/5baa9e7109d3f221798ce30a/html5/thumbnails/34.jpg)
Windows
• El ecosistema Microsoft es una gran API
• WMI
• Jscript
• VBScript
• Powershell
• .NET
• Perl
• Etc…
![Page 35: Juan Garrido @tr1ana - CriptoRed · Utilización de Active Directory GPO Logon/Logoff ... •Subsistema que permite el inicio de sesión •Define y aplica las políticas de seguridad](https://reader031.fdocuments.co/reader031/viewer/2022022023/5baa9e7109d3f221798ce30a/html5/thumbnails/35.jpg)
WMI
• Instrumental de administración de Windows
• Provee una API para consultas de bajo/alto nivel
• Integrado con la mayoría de lenguajes
• Consultas similares a SQL
• Información basada en Clave:Valor
• Soporta autenticación
![Page 36: Juan Garrido @tr1ana - CriptoRed · Utilización de Active Directory GPO Logon/Logoff ... •Subsistema que permite el inicio de sesión •Define y aplica las políticas de seguridad](https://reader031.fdocuments.co/reader031/viewer/2022022023/5baa9e7109d3f221798ce30a/html5/thumbnails/36.jpg)
321
Acceso a clases WMI
![Page 37: Juan Garrido @tr1ana - CriptoRed · Utilización de Active Directory GPO Logon/Logoff ... •Subsistema que permite el inicio de sesión •Define y aplica las políticas de seguridad](https://reader031.fdocuments.co/reader031/viewer/2022022023/5baa9e7109d3f221798ce30a/html5/thumbnails/37.jpg)
Eventos de Windows
• Registran información de todo lo que pasa en el sistema
• Servicios
• Auditoría
• Autenticación
• Etc..
• Soporte suscripción de eventos en W2K8
• Acceso a través de múltiples canales
![Page 38: Juan Garrido @tr1ana - CriptoRed · Utilización de Active Directory GPO Logon/Logoff ... •Subsistema que permite el inicio de sesión •Define y aplica las políticas de seguridad](https://reader031.fdocuments.co/reader031/viewer/2022022023/5baa9e7109d3f221798ce30a/html5/thumbnails/38.jpg)
![Page 39: Juan Garrido @tr1ana - CriptoRed · Utilización de Active Directory GPO Logon/Logoff ... •Subsistema que permite el inicio de sesión •Define y aplica las políticas de seguridad](https://reader031.fdocuments.co/reader031/viewer/2022022023/5baa9e7109d3f221798ce30a/html5/thumbnails/39.jpg)
Tipos de Logon
Logon Type
2 Interactive
10 Remote Interactive
4 Batch
5 Service
7 Unlock
8 Network ClearText
9 NewCredentials
11 Cached Logon
![Page 40: Juan Garrido @tr1ana - CriptoRed · Utilización de Active Directory GPO Logon/Logoff ... •Subsistema que permite el inicio de sesión •Define y aplica las políticas de seguridad](https://reader031.fdocuments.co/reader031/viewer/2022022023/5baa9e7109d3f221798ce30a/html5/thumbnails/40.jpg)
Eventos de logon en 2003
ID Description
528 A user successfully logged on to a computer.
529 Logon failure. A logon attempt was made with an unknown user name or a known user name with a bad password.
530 Logon failure. A logon attempt was made outside the allowed time.
531 Logon failure. A logon attempt was made using a disabled account.
532 Logon failure. A logon attempt was made using an expired account.
533 Logon failure. A logon attempt was made by a user who is not allowed to log on at the specified computer.
534 Logon failure. The user attempted to log on with a password type that is not allowed.
![Page 41: Juan Garrido @tr1ana - CriptoRed · Utilización de Active Directory GPO Logon/Logoff ... •Subsistema que permite el inicio de sesión •Define y aplica las políticas de seguridad](https://reader031.fdocuments.co/reader031/viewer/2022022023/5baa9e7109d3f221798ce30a/html5/thumbnails/41.jpg)
Eventos de logon en 2003
ID Description
535 Logon failure. The password for the specified account has expired.
536 Logon failure. The Net Logon service is not active.
539 Logon failure. The account was locked out at the time the logon attempt was made.
540 A user successfully logged on to a network.
551 A user initiated the logoff process.
552A user successfully logged on to a computer with explicit credentials while already logged on as a different
user.
682 A user has reconnected to a disconnected terminal server session.
683
A user disconnected a terminal server session but did not log off.
Note: This event is generated when a user is connected to a terminal server session over the network. It
appears on the terminal server.
![Page 42: Juan Garrido @tr1ana - CriptoRed · Utilización de Active Directory GPO Logon/Logoff ... •Subsistema que permite el inicio de sesión •Define y aplica las políticas de seguridad](https://reader031.fdocuments.co/reader031/viewer/2022022023/5baa9e7109d3f221798ce30a/html5/thumbnails/42.jpg)
Eventos de cuenta en 2008
ID Description
4624 An account was successfully logged on.
4625 An account failed to log on.
4648 A logon was attempted using explicit credentials.
4675 SIDs were filtered.
![Page 43: Juan Garrido @tr1ana - CriptoRed · Utilización de Active Directory GPO Logon/Logoff ... •Subsistema que permite el inicio de sesión •Define y aplica las políticas de seguridad](https://reader031.fdocuments.co/reader031/viewer/2022022023/5baa9e7109d3f221798ce30a/html5/thumbnails/43.jpg)
Eventos de cuenta en 2008
ID Description
4649 A replay attack was detected.
4778 A session was reconnected to a Window Station.
4779 A session was disconnected from a Window Station.
4800 The workstation was locked.
4801 The workstation was unlocked.
4802 The screen saver was invoked.
4803 The screen saver was dismissed.
5378 The requested credentials delegation was disallowed by policy.
5632 A request was made to authenticate to a wireless network.
5633 A request was made to authenticate to a wired network.
![Page 44: Juan Garrido @tr1ana - CriptoRed · Utilización de Active Directory GPO Logon/Logoff ... •Subsistema que permite el inicio de sesión •Define y aplica las políticas de seguridad](https://reader031.fdocuments.co/reader031/viewer/2022022023/5baa9e7109d3f221798ce30a/html5/thumbnails/44.jpg)
Automatización
• Logparser
• Permite realizar consultas de forma sencilla
• Sintaxis parecida a SQL
• Permite inicio local o remoto
• Posibilidad de invocar a través de objeto COM
![Page 45: Juan Garrido @tr1ana - CriptoRed · Utilización de Active Directory GPO Logon/Logoff ... •Subsistema que permite el inicio de sesión •Define y aplica las políticas de seguridad](https://reader031.fdocuments.co/reader031/viewer/2022022023/5baa9e7109d3f221798ce30a/html5/thumbnails/45.jpg)
321
Análisis de Log
![Page 46: Juan Garrido @tr1ana - CriptoRed · Utilización de Active Directory GPO Logon/Logoff ... •Subsistema que permite el inicio de sesión •Define y aplica las políticas de seguridad](https://reader031.fdocuments.co/reader031/viewer/2022022023/5baa9e7109d3f221798ce30a/html5/thumbnails/46.jpg)
WinRM
• Servicio de administración remota
• Opera bajo HTTP-HTTPS
• Soporte IPV4/IPV6
• Puerto 5985 (HTTP) – 5986 (HTTPS)
• Cliente por defecto en Windows 7/8/2K8/2K12
![Page 47: Juan Garrido @tr1ana - CriptoRed · Utilización de Active Directory GPO Logon/Logoff ... •Subsistema que permite el inicio de sesión •Define y aplica las políticas de seguridad](https://reader031.fdocuments.co/reader031/viewer/2022022023/5baa9e7109d3f221798ce30a/html5/thumbnails/47.jpg)
![Page 48: Juan Garrido @tr1ana - CriptoRed · Utilización de Active Directory GPO Logon/Logoff ... •Subsistema que permite el inicio de sesión •Define y aplica las políticas de seguridad](https://reader031.fdocuments.co/reader031/viewer/2022022023/5baa9e7109d3f221798ce30a/html5/thumbnails/48.jpg)
Linux
• OS Query (Facebook)
• http://osquery.io/
• Similar a WMI de Microsoft
• Instrumental de administración
• Lenguaje tipo SQL
• Sin agente
![Page 49: Juan Garrido @tr1ana - CriptoRed · Utilización de Active Directory GPO Logon/Logoff ... •Subsistema que permite el inicio de sesión •Define y aplica las políticas de seguridad](https://reader031.fdocuments.co/reader031/viewer/2022022023/5baa9e7109d3f221798ce30a/html5/thumbnails/49.jpg)
Thank you! Questions?
UK Offices
Manchester – Head office
London
Leatherhead
Milton Keynes
Cheltenham
Edinburgh
North American Offices
San Francisco
New York
Seattle
Chicago
Austin
Atlanta
Sunnyvale
Australian Offices
Sydney
European Offices
Amsterdam – Netherlands
Copenhagen – Denmark
Madrid - Spain
Munich – Germany
Zurich – Switzerland