La auditoría IT como espacio de datos en el programa

En Ewida Audit, el término Auditoría IT se refiere a un espacio de datos en el que se pueden almacenar hosts que representan equipos y escanearlos repetidamente a lo largo del tiempo. No se trata de un único informe, sino de un entorno de trabajo en el que se recopilan los resultados de auditorías sucesivas.

Este enfoque funciona bien en una aplicación de escritorio para Windows, porque permite trabajar de forma continua con hosts, resultados de escaneo e historial de cambios, sin tener que crear un proyecto nuevo para cada nueva comprobación.

Creación de una nueva auditoría

Por lo general, una nueva auditoría se crea una sola vez y después se utiliza como espacio principal de trabajo. La excepción son las situaciones en las que las auditorías se realizan por separado para distintas empresas, sucursales o partes aisladas de una organización.

En la práctica, un usuario con licencia interna crea una auditoría para su empresa y realiza escaneos periódicos de equipos dentro de ese mismo espacio de trabajo. Sin embargo, si la empresa quiere dividir los datos en varias áreas independientes, puede crear más de un espacio de auditoría.

Asistente para una nueva auditoría

Para iniciar el asistente de nueva auditoría, seleccione:
Menú > Auditoría > Nuevo

El asistente guía al usuario por varios pasos básicos. Entre ellos se incluyen:

  • introducir los datos de la empresa incluida en la auditoría,
  • añadir hosts, es decir, los equipos previstos para el escaneo,
  • instalación opcional de Agentes,
  • ejecución opcional del primer escaneo.

Es obligatorio añadir al menos un host. Los pasos restantes pueden omitirse y retomarse más tarde. Una vez creado el espacio de auditoría, pueden añadirse nuevos hosts en cualquier momento y el escaneo puede iniciarse cuando sea necesario.

Añadir hosts para el escaneo

Un host en Ewida Audit representa un equipo que va a ser escaneado. Para iniciar el asistente de adición de hosts, utilice:
Menú > Host > Nuevo

Los hosts pueden añadirse de varias formas:

  • Buscar hosts (LAN) — búsqueda automática de equipos en la red local.
  • Active Directory — importación de equipos desde una ruta LDAP determinada.
  • Escaneo IP — recorrido de un rango de direcciones IP seleccionado usando ping y datos DNS.
  • Entrada manual — adición manual de un host con el valor correcto en el campo Nombre de host (HostName).
  • Importar — importación de hosts desde otra auditoría o desde la base de datos de Ewida Standard.
  • Archivos de escaneo — creación automática del host al cargar archivos de escaneo.

En la práctica, el método para añadir hosts depende de lo bien organizada que esté la infraestructura y de dónde sea más fácil obtener datos fiables sobre los equipos.

Host y objetos relacionados

Al introducir hosts, también puede añadir de inmediato sus objetos relacionados. Para ello, cambie al modo de edición del host y abra la pestaña Objetos relacionados.

Las relaciones que se usan con más frecuencia son:

  • Licencia — asignada al host en modo audit-auto-match, que permite asociar automáticamente las licencias al software detectado durante el reconocimiento de datos.
  • Usuario — el host puede tomar del usuario datos de ubicación, como ubicación, sucursal, sección y número de sala.

Esto resulta útil cuando, ya en la fase de preparación de la auditoría, se sabe qué usuario es responsable de un puesto concreto o qué licencias deben tenerse en cuenta al analizar el host.

Ventana de escaneo de hosts

El escaneo remoto de equipos se inicia con el Asistente de escaneo de hosts. Puede abrirse mediante la opción:
Menú > Auditoría > Escanear

La misma ventana también está disponible desde el asistente de nueva auditoría. Aquí es donde se eligen los hosts que se van a escanear, se configuran los métodos de conexión y se inicia todo el proceso de auditoría.

Modos de escaneo de equipos

Cada host puede escanearse con un método distinto. En el campo Modo de escaneo se elige el método de conexión para un equipo concreto. Hay tres modos básicos disponibles:

  • Local — escaneo del equipo local en el que se está ejecutando Ewida Audit.
  • Agent — escaneo usando un Agent instalado previamente.
  • DCOM — escaneo a través de una conexión remota DCOM, tras la configuración previa del sistema.

Esto permite combinar distintos métodos de trabajo dentro de un mismo proceso. Es importante en entornos mixtos, donde algunos equipos están preparados para Agents y otros se escanean puntualmente mediante DCOM o de forma local.

Añadir, editar y eliminar hosts del escaneo

En la ventana de escaneo puede gestionar la lista de equipos incluidos en el proceso actual. Hay tres operaciones básicas disponibles:

  • Añadir hosts al escaneo — mediante el botón de añadir o el menú contextual.
  • Editar hosts — mediante el botón de edición o el menú contextual del host.
  • Eliminar hosts del escaneo — eliminando hosts seleccionados, todos los hosts o solo los que tienen errores de conexión.

Conviene recordar que eliminar un host del proceso actual no lo elimina de la base de datos de la auditoría. Solo significa que ese host se omitirá durante el escaneo que está en ejecución.

Prueba de conexión antes del escaneo

Antes de empezar el escaneo, cada host debería superar correctamente la prueba de conexión. La prueba se inicia automáticamente después de añadir un host a la lista, pero también puede ejecutarse manualmente con el botón Prueba de conexión.

Esta es una etapa importante, porque permite detectar errores de configuración antes de iniciar el proceso real. En la práctica, lo mejor es llevar primero la lista de hosts a un estado sin errores y solo después comenzar el escaneo.

Errores DCOM más frecuentes

En las conexiones DCOM suelen aparecer con mayor frecuencia tres grupos de problemas:

  • No response to PING — normalmente significa un nombre de host incorrecto, un equipo apagado o falta de disponibilidad en la red.
  • The RPC Server is unavailable — normalmente apunta a una configuración incorrecta del acceso remoto DCOM.
  • Access Denied — normalmente significa una configuración incorrecta de la autorización remota, por ejemplo el login del administrador y la contraseña usados para la conexión.

Cuando aparecen errores DCOM, conviene revisar al mismo tiempo varias áreas: el nombre del host, la respuesta de red, la configuración del firewall, la configuración de WMI y las credenciales asignadas al host.

Inicio e interrupción del proceso de escaneo

Para iniciar el escaneo de equipos, utilice el botón Iniciar proceso. Cada host se escanea en un hilo independiente, y su límite total puede configurarse en las opciones generales de la auditoría.

En entornos más lentos o sobrecargados, también puede ajustarse el tiempo de espera de las consultas remotas. Esto resulta útil cuando las conexiones son inestables o los equipos responden con retraso.

El proceso puede detenerse por completo con el botón Interrumpir proceso, o puede detenerse el escaneo solo para un host seleccionado usando su menú contextual.

Log de escaneo del host

El progreso del escaneo remoto puede seguirse en tiempo real. Para ello se utiliza el botón Log de auditoría del host o la opción correspondiente en el menú contextual del host.

Para el equipo seleccionado, se abre una ventana de texto independiente en la que se muestran los mensajes del proceso que se está ejecutando en ese momento. Esto es muy útil al diagnosticar errores, porque permite ver exactamente en qué fase se detuvo el escaneo o qué se ejecutó correctamente.

DCOM - cuándo conviene usar este método

El escaneo mediante DCOM es uno de los tres métodos disponibles en Ewida Audit. Funciona bien allí donde no es necesario instalar un Agent, pero los equipos están correctamente preparados para conexiones administrativas remotas.

Sin embargo, conviene recordar que la configuración de DCOM depende de la versión de Windows, de las políticas de seguridad y de los permisos administrativos. En algunos entornos será un método rápido y cómodo, mientras que en otros será más práctico usar un Agent o el escaneo local.

Windows Firewall - habilitar la administración remota

Al configurar DCOM, una de las primeras áreas que conviene revisar es Windows Firewall. Hay que asegurarse de que la administración remota y las excepciones de red necesarias estén permitidas para el equipo en cuestión.

  1. Ejecute gpedit.msc.
  2. Vaya a la rama de directivas relacionada con Windows Firewall.
  3. Compruebe la configuración de las excepciones de administración remota, ICMP, puertos locales y programas locales.

En algunos entornos, parte de esta configuración ya puede estar aplicada de forma centralizada por un administrador de dominio, por lo que no siempre es necesario realizar todos los cambios manualmente.

WMI - seguridad y permisos

La segunda área importante es la configuración de WMI. Para que el escaneo remoto funcione correctamente, hay que comprobar si el grupo Administrators tiene los permisos necesarios para los namespaces y subnamespaces de WMI correspondientes.

  1. Ejecute wmimgmt.msc.
  2. Abra las propiedades de WMI Control (Local).
  3. Vaya a la pestaña Security.
  4. Compruebe los permisos del grupo Administrators dentro del namespace Root y sus subnamespaces.

La falta de permisos en WMI provoca muy a menudo problemas al leer datos del sistema y del hardware, incluso si el host en sí es accesible a través de la red.

DCOM - configuración predeterminada

El siguiente paso es comprobar la configuración general de DCOM. Para ello, abra dcomcnfg.exe y vaya a las propiedades de My Computer dentro de la rama de Component Services.

Conviene comprobar en particular:

  • si el modelo de objetos Distributed COM está habilitado,
  • si el nivel de autenticación está configurado de forma adecuada para el entorno,
  • si el nivel de suplantación permite una conexión correcta,
  • si el grupo Administrators tiene los permisos correctos de inicio y activación,
  • si las mismas reglas se aplican también a los límites de seguridad de COM.

Precisamente en esta parte de la configuración suelen encontrarse las causas de errores del tipo Access Denied o problemas con la activación de conexiones remotas.

Información adicional para problemas de conexión difíciles

Si la conexión sigue sin funcionar a pesar de tener correctamente configurados el firewall, WMI y DCOM, conviene revisar otros elementos del entorno.

Directivas de seguridad locales

En secpol.msc hay que comprobar la configuración del modelo de seguridad para cuentas locales. En algunas configuraciones se requiere el modo clásico.

Sistemas Windows antiguos

En sistemas muy antiguos pueden ser necesarios componentes adicionales o entradas del registro relacionadas con WMI y DCOM. Esto afecta sobre todo a versiones antiguas de Windows que hoy en día ya casi no se encuentran.

Limitaciones de compatibilidad conocidas

  • Windows XP Home no admite la administración remota en la forma necesaria para este tipo de escaneo.
  • Algunos sistemas antiguos tienen compatibilidad limitada con versiones más recientes de Windows.

En la práctica, si el entorno es muy diverso o incluye sistemas antiguos, suele ser más rápido y más fiable utilizar un Agent o el escaneo local.

Cuenta de Administrador

Para las conexiones DCOM y otros métodos de escaneo remoto, la cuenta de administrador correcta es muy importante. Hay que asegurarse de que la cuenta esté activa, tenga una contraseña establecida y esté correctamente indicada en la configuración del host en Ewida Audit.

En la práctica, esto normalmente significa comprobar el estado de la cuenta de Administrador desde la línea de comandos y asegurarse de que las credenciales introducidas en el campo Autorización remota coincidan con la configuración real del equipo de destino.

Este es uno de los elementos más sencillos de la configuración, pero también uno de los que más a menudo se pasan por alto. Sin credenciales de administrador correctas, incluso un equipo bien preparado puede no superar la prueba de conexión.