Configuración de directivas de auditoría para los registros de eventos de Windows

La detección de Microsoft Defender for Identity se basa en entradas específicas del registro de eventos de Windows para mejorar las detecciones y proporcionar información adicional sobre qué usuarios realizaron acciones específicas, como inicios de sesión NTLM y modificaciones del grupo de seguridad.

Para que se auditen los eventos correctos y se incluyan en el registro de eventos de Windows, los controladores de dominio requieren una configuración precisa de la directiva de auditoría avanzada del servidor de Windows. La configuración de directiva de auditoría avanzada mal configurada puede provocar brechas en el registro de eventos y la cobertura incompleta de Defender for Identity.

En este artículo se describe cómo configurar las opciones de directiva de auditoría avanzada según sea necesario para un sensor de Defender for Identity y otras configuraciones para tipos de eventos específicos.

Para obtener más información, consulte ¿Qué es la recopilación de eventos de Windows para Defender for Identity y las directivas de auditoría de seguridad avanzada en la documentación de Windows?

Generación de un informe con las configuraciones actuales mediante PowerShell

Requisitos previos: antes de ejecutar comandos de PowerShell de Defender for Identity, asegúrese de que ha descargado el módulo de PowerShell de Defender for Identity.

Antes de empezar a crear nuevas directivas de eventos y auditoría, se recomienda ejecutar el siguiente comando de PowerShell para generar un informe de las configuraciones de dominio actuales:

New-MDIConfigurationReport [-Path] <String> [-Mode] <String> [-OpenHtmlReport]

Donde:

  • Path especifica la ruta en la que se guardarán los informes
  • Mode especifica si desea utilizar el modo de Dominio o LocalMachine. En el modo Dominio, la configuración se recopila a partir de los objetos de directiva de grupo. En el modo LocalMachine, la configuración se recopila de la máquina local.
  • OpenHtmlReport abre el informe HTML una vez generado el informe

Por ejemplo, para generar un informe y abrirlo en el explorador predeterminado, ejecute el siguiente comando:

New-MDIConfigurationReport -Path "C:\Reports" -Mode Domain -OpenHtmlReport

Para obtener más información, consulte la referencia de PowerShell DefenderForIdentity.

Sugerencia

El informe del modo Domain solo incluye las configuraciones establecidas como directivas de grupo en el dominio. Si tiene la configuración definida localmente en los controladores de dominio, se recomienda ejecutar también el script Test-MdiReadiness.ps1.

Configuración de la auditoría para controladores de dominio

Al trabajar con un controlador de dominio, debe actualizar la configuración de la directiva de auditoría avanzada y las configuraciones adicionales para eventos y tipos de eventos específicos, como usuarios, grupos, equipos, etc. Las configuraciones de auditoría de los controladores de dominio incluyen:

Configuración de la directiva de auditoría avanzada

En este procedimiento se describe cómo modificar las directivas de auditoría avanzada del controlador de dominio según sea necesario para Defender for Identity.

  1. Inicie sesión en el servidor como Administrador de dominio.

  2. Abra el Editor de administración de directivas de grupo desde Administrador del servidor>Herramientas> Administración de directivas de grupo.

  3. Expanda los Controladores de dominio de unidades organizativas, haga clic con el botón derecho en Directiva predeterminada de controladores de dominio y, después, haga clic en Editar. Por ejemplo:

    Screenshot of the Edit domain controller policy dialog.

    Nota:

    Use la directiva predeterminada de controladores de dominio o un GPO dedicado para establecer estas directivas.

  4. En la ventana que se abre, vaya a Configuración del equipo>Directivas>Configuraciones de Windows> Configuraciones de Seguridad y, en función de la directiva que desee habilitar, haga lo siguiente:

    1. Vaya a Configuración de directivas de auditoría avanzadas>Directivas de auditoría. Por ejemplo:

      Screenshot of the Advanced Audit Policy Configuration dialog.

    2. En Directivas de auditoría, edite cada una de las siguientes directivas y seleccione Configurar los siguientes eventos de auditoría para eventos de Éxito y Error.

      Directiva de auditoría Subcategoría Desencadenar ID de eventos
      Inicio de sesión de la cuenta Auditar validación de credenciales 4776
      Administración de cuentas Auditar administración de cuentas de equipo * 4741, 4743
      Administración de cuentas Auditar administración de grupos de distribución 4753, 4763
      Administración de cuentas Auditar administración de grupos de seguridad * 4728, 4729, 4730, 4732, 4733, 4756, 4757, 4758
      Administración de cuentas Auditar administración de cuentas de usuario 4726
      Acceso DS Auditar cambios de servicio de directorio 5136
      Sistema Auditar extensión del sistema de seguridad * 7045
      Acceso DS Auditar el acceso del servicio de directorio 4662 - Para este evento, también debe configurar la auditoría de objetos de dominio.

      Nota:

      * Las subcategorías indicadas no admiten eventos de error. Sin embargo, se recomienda añadirlas para fines de auditoría en caso de que se implementen en el futuro. Para obtener más información, consulte Auditar administración de cuentas de equipo, Auditar administración de grupos de seguridad y Auditar extensión del sistema de seguridad.

      Por ejemplo, para configurar Auditar administración de grupos de seguridad, en Administración de cuentas, haga doble clic en Auditar administración de grupos de seguridad y, a continuación, seleccione Configurar los siguientes eventos de auditoría para eventos de Éxito y Error:

      Screenshot of the Audit Security Group Management dialog.

  5. Desde el símbolo del sistema con privilegios elevados, ingrese gpupdate.

  6. Después de aplicar la directiva a través de GPO, los nuevos eventos estarán visibles en el Visor de eventos, en Registros de Windows ->Seguridad.

Prueba de directivas de auditoría desde la línea de comandos

Para probar las directivas de auditoría desde la línea de comandos, ejecute el siguiente comando:

auditpol.exe /get /category:*

Para obtener más información, consulte la documentación de referencia de auditpol.

Configuración, obtención y prueba de directivas de auditoría mediante PowerShell

Para configurar directivas de auditoría mediante PowerShell, ejecute el siguiente comando:

Set-MDIConfiguration [-Mode] <String> [-Configuration] <String[]> [-CreateGpoDisabled] [-SkipGpoLink] [-Force]

Donde:

  • Mode especifica si desea utilizar el modo de Dominio o LocalMachine. En el modo Dominio, la configuración se recopila a partir de los objetos de directiva de grupo. En el modo LocalMachine, la configuración se recopila de la máquina local.

  • Configuration especifica la configuración que se va a establecer. Use All para establecer todas las configuraciones.

  • CreateGpoDisabled especifica si los GPO se crean y se mantienen como deshabilitados.

  • SkipGpoLink especifica que no se crean vínculos de GPO.

  • Force especifica que se establece la configuración o se crean GPO sin validar el estado actual.

Para ver o probar las directivas de auditoría mediante PowerShell, ejecute los siguientes comandos según sea necesario. Use el comando Get-MDIConfiguration para mostrar los valores actuales. Use el comando Test-MDIConfiguration para obtener una respuesta true o false sobre si los valores están configurados correctamente.

Get-MDIConfiguration [-Mode] <String> [-Configuration] <String[]>

Donde:

  • Mode especifica si desea utilizar el modo de Dominio o LocalMachine. En el modo Dominio, la configuración se recopila a partir de los objetos de directiva de grupo. En el modo LocalMachine, la configuración se recopila de la máquina local.

  • Configuration especifica la configuración que se va a obtener. Use All para obtener todas las configuraciones.

Test-MDIConfiguration [-Mode] <String> [-Configuration] <String[]>

Donde:

  • Mode especifica si desea utilizar el modo de Dominio o LocalMachine. En el modo Dominio, la configuración se recopila a partir de los objetos de directiva de grupo. En el modo LocalMachine, la configuración se recopila de la máquina local.

  • Configuration especifica la configuración que se va a probar. Use All para probar todas las configuraciones.

Para obtener más información, consulte las siguientes referencias de PowerShell DefenderForIdentity:

Configuración de la auditoría NTLM

En esta sección se describen los pasos de configuración adicionales necesarios para auditar el identificador de evento 8004.

Nota:

  • Las directivas de grupo de dominio para recopilar el evento de Windows 8004 solo deben aplicarse a los controladores de dominio.
  • Cuando Defender for Identity Sensor analiza el evento 8004 de Windows, las actividades de autenticación NTLM de Defender for Identity se enriquecen con los datos a los que se accede en el servidor.
  1. Siguiendo los pasos iniciales, abra Administración de directivas de grupo y vaya a Directiva de controlador de dominio predeterminada>Directivas locales>Opciones de seguridad.

  2. En Opciones de seguridad, configure las directivas de seguridad especificadas de la siguiente manera:

    Configuración de las directivas de seguridad Value
    Seguridad de red: restringir NTLM: tráfico NTLM saliente hacia servidores remotos Auditar todo
    Seguridad de red: restringir NTLM: auditar la autenticación NTLM en este dominio Habilitar todo
    Seguridad de red: Restringir NTLM: se auditará el tráfico NTLM entrante Habilitación de la auditoría para todas las cuentas

Por ejemplo, para configurar el tráfico NTLM saliente en servidores remotos, en Opciones de seguridad, haga doble clic en Seguridad de red: Restringir NTLM: Tráfico NTLM saliente a servidores remotos y, a continuación, seleccione Auditar todo:

Screenshot of the Audit Outgoing NTLM traffic to remote servers configuration.

Configuración de la auditoría de objetos de dominio

Para recopilar eventos para los cambios de objeto, como el evento 4662, también debe configurar la auditoría de objetos en el usuario, grupo, equipo y otros objetos. En este procedimiento se describe cómo habilitar la auditoría en el dominio de Active Directory.

Importante

Asegúrese de revisar y comprobar las directivas de auditoría antes de habilitar la recopilación de eventos para asegurarse de que los controladores de dominio estén configurados correctamente para registrar los eventos necesarios. Si se configura correctamente, esta auditoría debe tener un efecto mínimo en el rendimiento del servidor.

  1. Diríjase a la consola de Usuarios y equipos de Active Directory.

  2. Seleccione el dominio que desea auditar.

  3. Seleccione el menú Ver y luego Funciones avanzadas.

  4. Haga clic con el botón derecho en el dominio y seleccione Propiedades. Por ejemplo:

    Screenshot of the container properties option.

  5. Diríjase a la pestaña Seguridad y seleccione Opciones avanzadas. Por ejemplo:

    Screenshot of the advanced security properties dialog.

  6. En Configuraciones avanzadas de seguridad, seleccione la pestaña Auditoría y, a continuación, seleccione Agregar. Por ejemplo:

    Screenshot of the Advanced Security Settings Auditing tab.

  7. Elija Seleccionar la principal. Por ejemplo:

    Screenshot of the Select a principal option.

  8. En Escriba el nombre del objeto que desea seleccionar, escriba Todos los usuarios y seleccione Comprobar nombres>Aceptar. Por ejemplo:

    Screenshot of the Select everyone settings.

  9. A continuación, vuelva a Entrada de auditoría. Realice las selecciones siguientes:

    1. En Tipo , seleccione Correcto.

    2. En Se aplica a, seleccione Objetos de usuario descendientes.

    3. En Permisos, desplácese hacia abajo y seleccione el botón Borrar todo. Por ejemplo:

      Screenshot of selecting Clear all.

    4. Desplácese hacia arriba y seleccione Control total. Se seleccionan todos los permisos.

    5. Desactive la selección para el contenido de la lista, Leer todas las propiedades y Leer permisos de lectura y seleccione OK. Esto establece todo el conjunto de propiedades en Escribir. Por ejemplo:

      Screenshot of selecting permissions.

      Ahora, cuando se desencadena, todos los cambios pertinentes en los servicios de directorio aparecen como 4662 eventos.

  10. Repita los pasos de este procedimiento, pero en Se aplica a, seleccione los siguientes tipos de objeto:

    • Objetos del grupo descendiente
    • Objetos del equipo descendiente
    • Objetos msDS-GroupManagedServiceAccount descendientes
    • Objetos msDS-ManagedServiceAccount descendientes

Nota:

La asignación de los permisos de auditoría en Todos los objetos descendientes también funcionaría, pero solo necesitamos los tipos de objeto como se detalla en el último paso.

Configurar auditoría en Servicios de federación de Active Directory (AD FS)

  1. Vaya a la consola de Usuarios y equipos de Active Directory y seleccione el dominio en el que desea habilitar los registros.

  2. Vaya a Datos de programa>Microsoft>ADFS. Por ejemplo:

    Screenshot of an ADFS container.

  3. Haga clic con el botón derecho en ADFS y seleccione Propiedades.

  4. Vaya a la pestaña Seguridad y seleccione Avanzadas>Configuraciones avanzadas de seguridad >pestaña Auditorías>Agregar>Seleccionar la principal.

  5. En Escriba el nombre del objeto que desea seleccionar, escriba Todos.

  6. Seleccione Comprobar nombres>Aceptar.

  7. A continuación, vuelva a Entrada de auditoría. Realice las selecciones siguientes:

    • En Tipo, seleccione Todos.
    • En Aplica a seleccione Este objeto y todos los descendientes.
    • En Permisos, desplácese hacia abajo y seleccione Borrar todo. Desplácese hacia arriba y seleccione Leer todas las propiedades y Escribir todas las propiedades.

    Por ejemplo:

    Screenshot of the auditing settings for ADFS.

  8. Seleccione Aceptar.

Configurar la auditoría para los Servicios de certificados de Active Directory (AD CS)

Si trabaja con un servidor dedicado con servicios de certificados de Active Directory (AD CS) configurado, asegúrese de configurar la auditoría de la siguiente manera para ver alertas dedicadas e informes de puntuación de seguridad:

  1. Cree una directiva de grupo para aplicarla al servidor de AD CS. Edítelo y configure las siguientes opciones de auditoría:

    1. Diríjase y haga doble clic en Configuración del equipo\Directivas\Configuración de Windows\Configuración de seguridad\Configuración de directiva de auditoría avanzada\Directivas de auditoría\Acceso a objetos\Auditar certificado de servicios.

    2. Seleccione esta opción para configurar eventos de auditoría en Éxito y Error. Por ejemplo:

      Screenshot of the Group Policy Management Editor.

  2. Configure la auditoría en la Autoridad de certificación (CA) mediante uno de los métodos siguientes:

    • Para configurar la auditoría de CA mediante la línea de comandos, ejecute:

      certutil –setreg CA\AuditFilter 127 
      
      net stop certsvc && net start certsvc
      
    • Para configurar la auditoría de CA mediante la GUI:

      1. Seleccione Iniciar-> Autoridad de certificación (aplicación de escritorio MMC). Haga clic derecho en el nombre de la CA y seleccione Propiedades. Por ejemplo:

        Screenshot of the Certification Authority dialog.

      2. Seleccione la pestaña Auditoría, seleccione todos los eventos que desea auditar y, a continuación, seleccione Aplicar. Por ejemplo:

        Screenshot of the Properties Auditing tab.

Nota:

La configuración de la auditoría de eventos Iniciar y detener Servicios de certificados de Active Directory puede provocar retrasos en el reinicio cuando se trabaja con una base de datos de AD CS de gran tamaño. Considere la posibilidad de quitar entradas irrelevantes de la base de datos o bien evite habilitar este tipo específico de evento.

Configuración de la auditoría en el contenedor de configuración

  1. Abra Editar ADSI seleccionando Iniciar>Ejecución. Escriba ADSIEdit.msc y seleccione OK.

  2. En el menú Acción, seleccione Conectar a.

  3. En el cuadro de diálogo Conectar Configuración en Seleccionar un contexto de nomenclatura conocido, seleccione Configuración>OK.

  4. Expanda el contenedor Configuración para mostrar el nodo Configuración, empezando por “CN=Configuration,DC=..."

  5. Haga clic con el botón derecho en nodo Configuración y seleccione Propiedades. Por ejemplo:

    Screenshot of the Configuration node properties.

  6. En la pestaña Seguridad, seleccione >Opciones avanzadas.

  7. En la página Configuraciones avanzadas de seguridad, seleccione la pestaña Auditoría>Agregar.

  8. Elija Seleccionar la principal.

  9. En Escriba el nombre del objeto que desea seleccionar, escriba Todos los usuarios y seleccione Comprobar nombres>Aceptar.

  10. A continuación, vuelva a Entrada de auditoría. Realice las selecciones siguientes:

    • En Tipo, seleccione Todos.
    • En Aplica a seleccione Este objeto y todos los descendientes.
    • En Permisos, desplácese hacia abajo y seleccione Borrar todo. Desplácese hacia arriba y seleccione Escribir todas las propiedades.

    Por ejemplo:

    Screenshot of the auditing settings for the Configuration container.

  11. Seleccione Aceptar.

Opciones de configuración antiguas

Importante

Defender for Identity ya no requiere el registro de eventos 1644. Si tiene habilitada esta configuración de registro, puede eliminarla.

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics]
"15 Field Engineering"=dword:00000005

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters]
"Expensive Search Results Threshold"=dword:00000001
"Inefficient Search Results Threshold"=dword:00000001
"Search Time Threshold (msecs)"=dword:00000001

Para obtener más información, consulte Auditoría de seguridad de Windows.

Paso siguiente