Compartir a través de

Configuración de directivas de auditoría para los registros de eventos de Windows

  • Artículo

Para mejorar las detecciones y recopilar más información sobre acciones de usuario como inicios de sesión NTLM y cambios en grupos de seguridad, Microsoft Defender for Identity se basa en entradas específicas del registro de eventos de Windows. La configuración adecuada de la directiva de auditoría avanzada en los controladores de dominio es fundamental para evitar brechas en el registro de eventos y la cobertura incompleta de Defender for Identity.

En este artículo se describe cómo configurar las opciones de la directiva de auditoría avanzada según sea necesario para un sensor de Defender for Identity. También se describen otras configuraciones para tipos de eventos específicos.

Defender for Identity genera problemas de mantenimiento para cada uno de estos escenarios si se detectan. Consulte Problemas de estado de Microsoft Defender for Identity para obtener más información.

Requisitos previos

Generación de un informe de las configuraciones actuales mediante PowerShell

Antes de empezar a crear nuevas directivas de eventos y auditoría, se recomienda ejecutar el siguiente comando de PowerShell para generar un informe de las configuraciones de dominio actuales:

New-MDIConfigurationReport [-Path] <String> [-Mode] <String> [-OpenHtmlReport]

En el comando anterior:

  • Path especifica la ruta en la que se guardarán los informes.
  • Mode especifica si va a usar el modo Domain o LocalMachine. En el modo Domain, la configuración se recopila a partir de los objetos de directiva de grupo (GPO). En el modo LocalMachine, la configuración se recopila de la máquina local.
  • OpenHtmlReport abre el informe HTML una vez generado el informe.

Por ejemplo, para generar un informe y abrirlo en el explorador predeterminado, ejecute el siguiente comando:

New-MDIConfigurationReport -Path "C:\Reports" -Mode Domain -OpenHtmlReport

Para obtener más información, consulte la referencia de PowerShell DefenderForIdentity.

Sugerencia

El informe del modo Domain solo incluye las configuraciones establecidas como directivas de grupo en el dominio. Si tiene la configuración definida localmente en los controladores de dominio, se recomienda ejecutar también el script Test-MdiReadiness.ps1.

Configuración de la auditoría para controladores de dominio

Actualice la configuración de la directiva de auditoría avanzada y las configuraciones adicionales para eventos y tipos de eventos específicos, como usuarios, grupos, equipos, etc. Las configuraciones de auditoría de los controladores de dominio incluyen:

Use los procedimientos siguientes para configurar la auditoría en los controladores de dominio que usa con Defender for Identity.

Configuración de la directiva de auditoría avanzada desde la IU

En este procedimiento se describe cómo modificar la configuración de la directiva de auditoría avanzada del controlador de dominio según sea necesario para Defender for Identity mediante la IU.

Problema de estado relacionado: la auditoría avanzada de Directory Services no está habilitada según corresponde

Para configurar la directiva de auditoría avanzada:

  1. Inicie sesión en el servidor como Administrador de dominio.

  2. Abra el Editor de administración de directivas de grupo desde Administrador del servidor>Herramientas> Administración de directivas de grupo.

  3. Expanda Unidades organizativas de controladores de dominio, haga clic con el botón derecho en Directiva predeterminada de controladores de dominio y, a continuación, haga clic en Editar.

    Captura de pantalla del panel para editar la directiva predeterminada para los controladores de dominio.

    Nota:

    Use la directiva predeterminada de controladores de dominio o un GPO dedicado para establecer estas directivas.

  4. En la ventana que se abre, vaya a Configuración del equipo>Directivas>Configuración de Windows>Configuración de seguridad. En función de la directiva que quiera habilitar, haga lo siguiente:

    1. Vaya a Configuración de directivas de auditoría avanzadas>Directivas de auditoría.

      Captura de pantalla de las selecciones para abrir directivas de auditoría.

    2. En Directivas de auditoría, edite cada una de las siguientes directivas y seleccione Configurar los siguientes eventos de auditoría para eventos de Éxito y Error.

      Directiva de auditoría Subcategoría Desencadenar ID de eventos
      Inicio de sesión de la cuenta Auditar validación de credenciales 4776
      Administración de cuentas Auditar administración de cuentas de equipo* 4741, 4743
      Administración de cuentas Auditar administración de grupos de distribución* 4753, 4763
      Administración de cuentas Auditar administración de grupos de seguridad* 4728, 4729, 4730, 4732, 4733, 4756, 4757, 4758
      Administración de cuentas Auditar administración de cuentas de usuario 4726
      Acceso DS Auditar cambios de servicio de directorio* 5136
      Sistema Auditar extensión del sistema de seguridad* 7045
      Acceso DS Auditar el acceso del servicio de directorio 4662 - Para este evento, también debe configurar la auditoría de objetos de dominio.

      Nota:

      * Las subcategorías indicadas no admiten eventos de error. Sin embargo, se recomienda añadirlas para fines de auditoría en caso de que se implementen en el futuro. Para obtener más información, consulte Auditar administración de cuentas de equipo, Auditar administración de grupos de seguridad y Auditar extensión del sistema de seguridad.

      Por ejemplo, para configurar Auditar administración de grupos de seguridad, en Administración de cuentas, haga doble clic en Auditar administración de grupos de seguridad y, a continuación, seleccione Configurar los siguientes eventos de auditoría para eventos de Correcto y Error.

      Captura de pantalla del cuadro de diálogo de propiedades de Auditar administración de grupos de seguridad.

  5. Desde un símbolo del sistema con privilegios elevados, escriba gpupdate.

  6. Después de aplicar la directiva a través de GPO, confirme que los nuevos eventos aparecen en el Visor de eventos, en Registros de Windows>Seguridad.

Para probar las directivas de auditoría desde la línea de comandos, ejecute el siguiente comando:

auditpol.exe /get /category:*

Para obtener más información, consulte la documentación de referencia de auditpol.

Configuración de la directiva de auditoría avanzada mediante PowerShell

En las acciones siguientes se describe cómo modificar la configuración de las directivas de auditoría avanzada del controlador de dominio según sea necesario para Defender for Identity con PowerShell.

Problema de estado relacionado: la auditoría avanzada de Directory Services no está habilitada según corresponde

Para configurar las opciones, ejecute:

Set-MDIConfiguration [-Mode] <String> [-Configuration] <String[]> [-CreateGpoDisabled] [-SkipGpoLink] [-Force]

En el comando anterior:

  • Mode especifica si va a usar el modo Domain o LocalMachine. En el modo Domain, la configuración se recopila a partir de los objetos de directiva de grupo. En el modo LocalMachine, la configuración se recopila de la máquina local.
  • Configuration especifica la configuración que se va a establecer. Use All para establecer todas las configuraciones.
  • CreateGpoDisabled especifica si los GPO se crean y se mantienen como deshabilitados.
  • SkipGpoLink especifica que no se crean vínculos de GPO.
  • Force especifica que se establece la configuración o se crean GPO sin validar el estado actual.

Para ver las directivas de auditoría, use el comando Get-MDIConfiguration para mostrar los valores actuales:

Get-MDIConfiguration [-Mode] <String> [-Configuration] <String[]>

En el comando anterior:

  • Mode especifica si va a usar el modo Domain o LocalMachine. En el modo Domain, la configuración se recopila a partir de los objetos de directiva de grupo. En el modo LocalMachine, la configuración se recopila de la máquina local.
  • Configuration especifica la configuración que se va a obtener. Use All para obtener todas las configuraciones.

Para probar las directivas de auditoría, use el comando Test-MDIConfiguration para obtener una respuesta true o false sobre si los valores están configurados correctamente:

Test-MDIConfiguration [-Mode] <String> [-Configuration] <String[]>

En el comando anterior:

  • Mode especifica si va a usar el modo Domain o LocalMachine. En el modo Domain, la configuración se recopila a partir de los objetos de directiva de grupo. En el modo LocalMachine, la configuración se recopila de la máquina local.
  • Configuration especifica la configuración que se va a probar. Use All para probar todas las configuraciones.

Para obtener más información, consulte las siguientes referencias de PowerShell DefenderForIdentity:

Configuración de la auditoría NTLM

En esta sección se describen los pasos de configuración adicionales que necesita para auditar el evento 8004 de Windows.

Nota:

  • Las directivas de grupo de dominio para recopilar el evento de Windows 8004 solo deben aplicarse a los controladores de dominio.
  • Cuando un sensor de Defender for Identity analiza el evento 8004 de Windows, las actividades de autenticación NTLM de Defender for Identity se enriquecen con los datos a los que se accede en el servidor.

Problema de mantenimiento relacionado: La auditoría NTLM no está habilitada

Para configurar la auditoría NTLM:

  1. Después de configurar las opciones iniciales de la directiva de auditoría avanzada (a través de la interfaz de usuario o PowerShell), abra Administración de directivas de grupo. A continuación, vaya a Directiva predeterminada de controladores de dominio>Directivas locales>Opciones de seguridad.

  2. Configure las políticas de seguridad especificadas de la siguiente manera:

    Configuración de las directivas de seguridad Valor
    Seguridad de red: restringir NTLM: tráfico NTLM saliente hacia servidores remotos Auditar todo
    Seguridad de red: restringir NTLM: auditar la autenticación NTLM en este dominio Habilitar todo
    Seguridad de red: Restringir NTLM: se auditará el tráfico NTLM entrante Habilitación de la auditoría para todas las cuentas

Por ejemplo, para configurar el tráfico NTLM saliente en servidores remotos, en Opciones de seguridad, haga doble clic en Seguridad de red: Restringir NTLM: Tráfico NTLM saliente a servidores remotos y, a continuación, seleccione Auditar todo.

Captura de pantalla de la configuración de auditoría para el tráfico NTLM saliente a servidores remotos.

Configuración de la auditoría de objetos de dominio

Para recopilar eventos para los cambios de objeto, como el evento 4662, también debe configurar la auditoría de objetos en el usuario, grupo, equipo y otros objetos. En el siguiente procedimiento se describe cómo habilitar la auditoría en el dominio de Active Directory.

Importante

Revise y audite las directivas (mediante la interfaz de usuario o PowerShell) antes de habilitar la recopilación de eventos, para asegurarse de que los controladores de dominio estén configurados correctamente para registrar los eventos necesarios. Si esta auditoría se configura correctamente, debe tener un efecto mínimo en el rendimiento del servidor.

Problema de estado relacionado: la auditoría de objetos de Directory Services no está habilitada según corresponde

Para configurar la auditoría de objetos de dominio:

  1. Diríjase a la consola de Usuarios y equipos de Active Directory.

  2. Seleccione el dominio que quiere auditar.

  3. Seleccione el menú Ver y luego Funciones avanzadas.

  4. Haga clic con el botón derecho en el dominio y seleccione Propiedades.

    Captura de pantalla de las selecciones para abrir las propiedades del contenedor.

  5. Va a la pestaña Seguridad y seleccione Opciones avanzadas.

    Captura de pantalla del cuadro de diálogo para abrir las propiedades de seguridad avanzadas.

  6. En Configuraciones avanzadas de seguridad, seleccione la pestaña Auditoría y, a continuación, seleccione Agregar.

    Captura de pantalla de la pestaña Auditoría en el cuadro de diálogo Configuración avanzada de seguridad.

  7. Elija Seleccionar una entidad de seguridad.

    Captura de pantalla del botón para seleccionar una entidad.

  8. En Escriba el nombre del objeto que desea seleccionar, escriba Todos. A continuación, seleccione Comprobar nombres>Aceptar.

    Captura de pantalla de cómo escribir un nombre de objeto de Todos.

  9. A continuación, vuelva a Entrada de auditoría. Realice las selecciones siguientes:

    1. En Tipo, seleccione Correcto.

    2. En Se aplica a, seleccione Objetos de usuario descendientes.

    3. En Permisos, desplácese hacia abajo y seleccione el botón Borrar todo.

      Captura de pantalla del botón para borrar todos los permisos.

    4. Desplácese hacia arriba y seleccione Control total. Se seleccionan todos los permisos.

    5. Desactive la selección para el contenido de la lista, Leer todas las propiedades y Leer permisos y seleccione Aceptar. Este paso establece todo el conjunto de propiedades en Escribir.

      Captura de pantalla de la selección de permisos.

      Ahora, cuando se desencadenan, todos los cambios pertinentes en los servicios de directorio aparecen como eventos 4662.

  10. Repita los pasos de este procedimiento, pero en Se aplica a, seleccione los siguientes tipos de objeto:

    • Objetos del grupo descendiente
    • Objetos del equipo descendiente
    • Objetos msDS-GroupManagedServiceAccount descendientes
    • Objetos msDS-ManagedServiceAccount descendientes

Nota:

La asignación de los permisos de auditoría en Todos los objetos descendientes también funciona, pero solo necesita los tipos de objeto como se detalla en el último paso.

Configuración de la auditoría en AD FS

Problema de estado relacionado: La auditoría en el contenedor de AD FS no está habilitada como es necesario

Para configurar la auditoría en Servicios de federación de Active Directory (AD FS):

  1. Vaya a la consola de Usuarios y equipos de Active Directory y seleccione el dominio en el que desea habilitar los registros.

  2. Vaya a Datos de programa>Microsoft>ADFS.

    Captura de pantalla de un contenedor para Servicios de federación de Active Directory (AD FS).

  3. Haga clic con el botón derecho en ADFS y seleccione Propiedades.

  4. Vaya a la pestaña Seguridad y seleccione Avanzada>Configuración avanzada de seguridad. A continuación, vaya a la pestaña Auditoría y seleccione Agregar>Seleccionar una entidad.

  5. En Escriba el nombre del objeto que desea seleccionar, escriba Todos. A continuación, seleccione Comprobar nombres>Aceptar.

  6. A continuación, vuelva a Entrada de auditoría. Realice las selecciones siguientes:

    • En Tipo, seleccione Todos.
    • En Se aplica a seleccione Este objeto y todos los descendientes.
    • En Permisos, desplácese hacia abajo y seleccione Borrar todo. Desplácese hacia arriba y seleccione Leer todas las propiedades y Escribir todas las propiedades.

    Captura de pantalla de la configuración de auditoría para Servicios de federación de Active Directory (AD FS).

  7. Seleccione Aceptar.

Configuración de la auditoría en AD CS

Si trabaja con un servidor dedicado con servicios de certificados de Active Directory (AD CS) configurados, asegúrese de configurar la auditoría de la siguiente manera para ver alertas dedicadas e informes de puntuación de seguridad:

  1. Cree una directiva de grupo para aplicarla al servidor de AD CS. Edítelo y configure las siguientes opciones de auditoría:

    1. Vaya a Computer Configuration\Policies\Windows Settings\Security Settings\Advanced Audit Policy Configuration\Audit Policies\Object Access\Audit Certification Services.

    2. Marque las casillas para configurar eventos de auditoría en Correcto y Error.

      Captura de pantalla de la configuración de eventos de auditoría para Servicios de certificados de Active Directory en el Editor de administración de directivas de grupo.

  2. Configure la auditoría en la Autoridad de certificación (CA) mediante uno de los métodos siguientes:

    • Para configurar la auditoría de CA mediante la línea de comandos, ejecute:

      certutil –setreg CA\AuditFilter 127 


net stop certsvc && net start certsvc

    • Para configurar la auditoría de CA mediante la GUI:

      1. Seleccione Iniciar>Autoridad de certificación (aplicación de escritorio MMC). Haga clic derecho en el nombre de la CA y seleccione Propiedades.

        Captura de pantalla del cuadro de diálogo Entidad de certificación.

      2. Seleccione la pestaña Auditoría, seleccione todos los eventos que desea auditar y, a continuación, seleccione Aplicar.

        Captura de pantalla de la pestaña Auditoría de las propiedades de la entidad de certificación.

Nota:

La configuración de la auditoría de eventos Iniciar y detener Servicios de certificados de Active Directory puede provocar retrasos en el reinicio cuando se trabaja con una base de datos de AD CS de gran tamaño. Considere la posibilidad de quitar entradas irrelevantes de la base de datos. Como alternativa, evite habilitar este tipo de evento específico.

Configuración de la auditoría en Microsoft Entra Connect

Para configurar la auditoría en servidores de Microsoft Entra Connect:

  • Cree una directiva de grupo para aplicarla a los servidores de Microsoft Entra Connect. Edítelo y configure las siguientes opciones de auditoría:

    1. Vaya a Computer Configuration\Policies\Windows Settings\Security Settings\Advanced Audit Policy Configuration\Audit Policies\Logon/Logoff\Audit Logon.

    2. Marque las casillas para configurar eventos de auditoría en Correcto y Error.

Captura de pantalla del Editor de administración de directivas de grupo.

Configuración de la auditoría en el contenedor de configuración

Problema de estado relacionado: la auditoría en el contenedor de configuración no está habilitada como es necesario

  1. Abra la herramienta de edición ADSI. Seleccione Inicio>Ejecutar, escriba ADSIEdit.msc y, a continuación, seleccione Aceptar.

  2. En el menú Acción, seleccione Conectar a.

  3. En el cuadro de diálogo Configuración de conexión en Seleccionar un contexto de nomenclatura conocido, seleccione Configuración>Aceptar.

  4. Expanda el contenedor Configuración para mostrar el nodo Configuración, que empieza por "CN=Configuration,DC=...".

  5. Haga clic con el botón derecho en nodo Configuración y seleccione Propiedades.

    Captura de pantalla de las selecciones para abrir las propiedades para el nodo Configuración.

  6. Seleccione la pestaña Seguridad y luego Avanzada.

  7. En Configuraciones avanzadas de seguridad, seleccione la pestaña Auditoría y, a continuación, seleccione Agregar.

  8. Elija Seleccionar una entidad de seguridad.

  9. En Escriba el nombre del objeto que desea seleccionar, escriba Todos. A continuación, seleccione Comprobar nombres>Aceptar.

  10. A continuación, vuelva a Entrada de auditoría. Realice las selecciones siguientes:

    • En Tipo, seleccione Todos.
    • En Se aplica a seleccione Este objeto y todos los descendientes.
    • En Permisos, desplácese hacia abajo y seleccione Borrar todo. Desplácese hacia arriba y seleccione Escribir todas las propiedades.

    Captura de pantalla de los valores de auditoría para el contenedor de configuración.

  11. Seleccione Aceptar.

Actualización de las configuraciones heredadas

Defender for Identity ya no requiere el registro de eventos 1644. Si tiene habilitada esta configuración de registro, puede eliminarla.

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics]
"15 Field Engineering"=dword:00000005

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters]
"Expensive Search Results Threshold"=dword:00000001
"Inefficient Search Results Threshold"=dword:00000001
"Search Time Threshold (msecs)"=dword:00000001

Contenido relacionado

Para más información, vea:

Paso siguiente

¿Qué son los roles y permisos de Defender for Identity?