Configuración de directivas de auditoría para los registros de eventos de Windows
Para mejorar las detecciones y recopilar más información sobre acciones de usuario como inicios de sesión NTLM y cambios en grupos de seguridad, Microsoft Defender for Identity se basa en entradas específicas del registro de eventos de Windows. La configuración adecuada de la directiva de auditoría avanzada en los controladores de dominio es fundamental para evitar brechas en el registro de eventos y la cobertura incompleta de Defender for Identity.
En este artículo se describe cómo configurar las opciones de la directiva de auditoría avanzada según sea necesario para un sensor de Defender for Identity. También se describen otras configuraciones para tipos de eventos específicos.
Defender for Identity genera problemas de mantenimiento para cada uno de estos escenarios si se detectan. Consulte Problemas de estado de Microsoft Defender for Identity para obtener más información.
Requisitos previos
- Antes de ejecutar comandos de PowerShell de Defender for Identity, asegúrese de que ha descargado el módulo de PowerShell de Defender for Identity.
Generación de un informe de las configuraciones actuales mediante PowerShell
Antes de empezar a crear nuevas directivas de eventos y auditoría, se recomienda ejecutar el siguiente comando de PowerShell para generar un informe de las configuraciones de dominio actuales:
New-MDIConfigurationReport [-Path] <String> [-Mode] <String> [-OpenHtmlReport]
En el comando anterior:
Path
especifica la ruta en la que se guardarán los informes.Mode
especifica si va a usar el modoDomain
oLocalMachine
. En el modoDomain
, la configuración se recopila a partir de los objetos de directiva de grupo (GPO). En el modoLocalMachine
, la configuración se recopila de la máquina local.OpenHtmlReport
abre el informe HTML una vez generado el informe.
Por ejemplo, para generar un informe y abrirlo en el explorador predeterminado, ejecute el siguiente comando:
New-MDIConfigurationReport -Path "C:\Reports" -Mode Domain -OpenHtmlReport
Para obtener más información, consulte la referencia de PowerShell DefenderForIdentity.
Sugerencia
El informe del modo Domain
solo incluye las configuraciones establecidas como directivas de grupo en el dominio. Si tiene la configuración definida localmente en los controladores de dominio, se recomienda ejecutar también el script Test-MdiReadiness.ps1.
Configuración de la auditoría para controladores de dominio
Actualice la configuración de la directiva de auditoría avanzada y las configuraciones adicionales para eventos y tipos de eventos específicos, como usuarios, grupos, equipos, etc. Las configuraciones de auditoría de los controladores de dominio incluyen:
- Configuración avanzada de la directiva de auditoría
- Auditoría NTLM
- Auditoría de objetos de dominio
Para más información, consulte Preguntas más frecuentes sobre auditoría de seguridad avanzada.
Use los procedimientos siguientes para configurar la auditoría en los controladores de dominio que usa con Defender for Identity.
Configuración de la directiva de auditoría avanzada desde la IU
En este procedimiento se describe cómo modificar la configuración de la directiva de auditoría avanzada del controlador de dominio según sea necesario para Defender for Identity mediante la IU.
Problema de estado relacionado: la auditoría avanzada de Directory Services no está habilitada según corresponde
Para configurar la directiva de auditoría avanzada:
Inicie sesión en el servidor como Administrador de dominio.
Abra el Editor de administración de directivas de grupo desde Administrador del servidor>Herramientas> Administración de directivas de grupo.
Expanda Unidades organizativas de controladores de dominio, haga clic con el botón derecho en Directiva predeterminada de controladores de dominio y, a continuación, haga clic en Editar.
Nota:
Use la directiva predeterminada de controladores de dominio o un GPO dedicado para establecer estas directivas.
En la ventana que se abre, vaya a Configuración del equipo>Directivas>Configuración de Windows>Configuración de seguridad. En función de la directiva que quiera habilitar, haga lo siguiente:
Vaya a Configuración de directivas de auditoría avanzadas>Directivas de auditoría.
En Directivas de auditoría, edite cada una de las siguientes directivas y seleccione Configurar los siguientes eventos de auditoría para eventos de Éxito y Error.
Directiva de auditoría Subcategoría Desencadenar ID de eventos Inicio de sesión de la cuenta Auditar validación de credenciales 4776 Administración de cuentas Auditar administración de cuentas de equipo* 4741, 4743 Administración de cuentas Auditar administración de grupos de distribución* 4753, 4763 Administración de cuentas Auditar administración de grupos de seguridad* 4728, 4729, 4730, 4732, 4733, 4756, 4757, 4758 Administración de cuentas Auditar administración de cuentas de usuario 4726 Acceso DS Auditar cambios de servicio de directorio* 5136 Sistema Auditar extensión del sistema de seguridad* 7045 Acceso DS Auditar el acceso del servicio de directorio 4662 - Para este evento, también debe configurar la auditoría de objetos de dominio. Nota:
* Las subcategorías indicadas no admiten eventos de error. Sin embargo, se recomienda añadirlas para fines de auditoría en caso de que se implementen en el futuro. Para obtener más información, consulte Auditar administración de cuentas de equipo, Auditar administración de grupos de seguridad y Auditar extensión del sistema de seguridad.
Por ejemplo, para configurar Auditar administración de grupos de seguridad, en Administración de cuentas, haga doble clic en Auditar administración de grupos de seguridad y, a continuación, seleccione Configurar los siguientes eventos de auditoría para eventos de Correcto y Error.
Desde un símbolo del sistema con privilegios elevados, escriba
gpupdate
.Después de aplicar la directiva a través de GPO, confirme que los nuevos eventos aparecen en el Visor de eventos, en Registros de Windows>Seguridad.
Para probar las directivas de auditoría desde la línea de comandos, ejecute el siguiente comando:
auditpol.exe /get /category:*
Para obtener más información, consulte la documentación de referencia de auditpol.
Configuración de la directiva de auditoría avanzada mediante PowerShell
En las acciones siguientes se describe cómo modificar la configuración de las directivas de auditoría avanzada del controlador de dominio según sea necesario para Defender for Identity con PowerShell.
Problema de estado relacionado: la auditoría avanzada de Directory Services no está habilitada según corresponde
Para configurar las opciones, ejecute:
Set-MDIConfiguration [-Mode] <String> [-Configuration] <String[]> [-CreateGpoDisabled] [-SkipGpoLink] [-Force]
En el comando anterior:
Mode
especifica si va a usar el modoDomain
oLocalMachine
. En el modoDomain
, la configuración se recopila a partir de los objetos de directiva de grupo. En el modoLocalMachine
, la configuración se recopila de la máquina local.Configuration
especifica la configuración que se va a establecer. UseAll
para establecer todas las configuraciones.CreateGpoDisabled
especifica si los GPO se crean y se mantienen como deshabilitados.SkipGpoLink
especifica que no se crean vínculos de GPO.Force
especifica que se establece la configuración o se crean GPO sin validar el estado actual.
Para ver las directivas de auditoría, use el comando Get-MDIConfiguration
para mostrar los valores actuales:
Get-MDIConfiguration [-Mode] <String> [-Configuration] <String[]>
En el comando anterior:
Mode
especifica si va a usar el modoDomain
oLocalMachine
. En el modoDomain
, la configuración se recopila a partir de los objetos de directiva de grupo. En el modoLocalMachine
, la configuración se recopila de la máquina local.Configuration
especifica la configuración que se va a obtener. UseAll
para obtener todas las configuraciones.
Para probar las directivas de auditoría, use el comando Test-MDIConfiguration
para obtener una respuesta true
o false
sobre si los valores están configurados correctamente:
Test-MDIConfiguration [-Mode] <String> [-Configuration] <String[]>
En el comando anterior:
Mode
especifica si va a usar el modoDomain
oLocalMachine
. En el modoDomain
, la configuración se recopila a partir de los objetos de directiva de grupo. En el modoLocalMachine
, la configuración se recopila de la máquina local.Configuration
especifica la configuración que se va a probar. UseAll
para probar todas las configuraciones.
Para obtener más información, consulte las siguientes referencias de PowerShell DefenderForIdentity:
Configuración de la auditoría NTLM
En esta sección se describen los pasos de configuración adicionales que necesita para auditar el evento 8004 de Windows.
Nota:
- Las directivas de grupo de dominio para recopilar el evento de Windows 8004 solo deben aplicarse a los controladores de dominio.
- Cuando un sensor de Defender for Identity analiza el evento 8004 de Windows, las actividades de autenticación NTLM de Defender for Identity se enriquecen con los datos a los que se accede en el servidor.
Problema de mantenimiento relacionado: La auditoría NTLM no está habilitada
Para configurar la auditoría NTLM:
Después de configurar las opciones iniciales de la directiva de auditoría avanzada (a través de la interfaz de usuario o PowerShell), abra Administración de directivas de grupo. A continuación, vaya a Directiva predeterminada de controladores de dominio>Directivas locales>Opciones de seguridad.
Configure las políticas de seguridad especificadas de la siguiente manera:
Configuración de las directivas de seguridad Valor Seguridad de red: restringir NTLM: tráfico NTLM saliente hacia servidores remotos Auditar todo Seguridad de red: restringir NTLM: auditar la autenticación NTLM en este dominio Habilitar todo Seguridad de red: Restringir NTLM: se auditará el tráfico NTLM entrante Habilitación de la auditoría para todas las cuentas
Por ejemplo, para configurar el tráfico NTLM saliente en servidores remotos, en Opciones de seguridad, haga doble clic en Seguridad de red: Restringir NTLM: Tráfico NTLM saliente a servidores remotos y, a continuación, seleccione Auditar todo.
Configuración de la auditoría de objetos de dominio
Para recopilar eventos para los cambios de objeto, como para el evento 4662, también debe configurar la auditoría de objetos en el usuario, el grupo, el equipo y otros objetos. En el siguiente procedimiento se describe cómo habilitar la auditoría en el dominio de Active Directory.
Importante
Revise y audite las directivas (mediante la interfaz de usuario o PowerShell) antes de habilitar la recopilación de eventos, para asegurarse de que los controladores de dominio estén configurados correctamente para registrar los eventos necesarios. Si esta auditoría se configura correctamente, debe tener un efecto mínimo en el rendimiento del servidor.
Problema de estado relacionado: la auditoría de objetos de Directory Services no está habilitada según corresponde
Para configurar la auditoría de objetos de dominio:
Diríjase a la consola de Usuarios y equipos de Active Directory.
Seleccione el dominio que quiere auditar.
Seleccione el menú Ver y luego Funciones avanzadas.
Haga clic con el botón derecho en el dominio y seleccione Propiedades.
Va a la pestaña Seguridad y seleccione Opciones avanzadas.
En Configuraciones avanzadas de seguridad, seleccione la pestaña Auditoría y, a continuación, seleccione Agregar.
Elija Seleccionar una entidad de seguridad.
En Escriba el nombre del objeto que desea seleccionar, escriba Todos. A continuación, seleccione Comprobar nombres>Aceptar.
A continuación, vuelva a Entrada de auditoría. Realice las selecciones siguientes:
En Tipo, seleccione Correcto.
En Se aplica a, seleccione Objetos de usuario descendientes.
En Permisos, desplácese hacia abajo y seleccione el botón Borrar todo.
Desplácese hacia arriba y seleccione Control total. Se seleccionan todos los permisos.
Desactive la selección para el contenido de la lista, Leer todas las propiedades y Leer permisos y seleccione Aceptar. Este paso establece todo el conjunto de propiedades en Escribir.
Ahora, cuando se desencadenan, todos los cambios pertinentes en los servicios de directorio aparecen como eventos 4662.
Repita los pasos de este procedimiento, pero en Se aplica a, seleccione los siguientes tipos de objeto:
- Objetos del grupo descendiente
- Objetos del equipo descendiente
- Objetos msDS-GroupManagedServiceAccount descendientes
- Objetos msDS-ManagedServiceAccount descendientes
Nota:
La asignación de los permisos de auditoría en Todos los objetos descendientes también funciona, pero solo necesita los tipos de objeto como se detalla en el último paso.
Configuración de la auditoría en AD FS
Problema de estado relacionado: La auditoría en el contenedor de AD FS no está habilitada como es necesario
Para configurar la auditoría en Servicios de federación de Active Directory (AD FS):
Vaya a la consola de Usuarios y equipos de Active Directory y seleccione el dominio en el que desea habilitar los registros.
Vaya a Datos de programa>Microsoft>ADFS.
Haga clic con el botón derecho en ADFS y seleccione Propiedades.
Vaya a la pestaña Seguridad y seleccione Avanzada>Configuración avanzada de seguridad. A continuación, vaya a la pestaña Auditoría y seleccione Agregar>Seleccionar una entidad.
En Escriba el nombre del objeto que desea seleccionar, escriba Todos. A continuación, seleccione Comprobar nombres>Aceptar.
A continuación, vuelva a Entrada de auditoría. Realice las selecciones siguientes:
- En Tipo, seleccione Todos.
- En Se aplica a seleccione Este objeto y todos los descendientes.
- En Permisos, desplácese hacia abajo y seleccione Borrar todo. Desplácese hacia arriba y seleccione Leer todas las propiedades y Escribir todas las propiedades.
Seleccione Aceptar.
Configuración del registro detallado para eventos de AD FS
Los sensores que se ejecutan en servidores de AD FS deben tener el nivel de auditoría establecido en Detallado para los eventos pertinentes. Por ejemplo, use el siguiente comando para configurar el nivel de auditoría en Detallado:
Set-AdfsProperties -AuditLevel Verbose
Configuración de la auditoría en AD CS
Si trabaja con un servidor dedicado con servicios de certificados de Active Directory (AD CS) configurados, asegúrese de configurar la auditoría de la siguiente manera para ver alertas dedicadas e informes de puntuación de seguridad:
Cree una directiva de grupo para aplicarla al servidor de AD CS. Edítelo y configure las siguientes opciones de auditoría:
Vaya a Computer Configuration\Policies\Windows Settings\Security Settings\Advanced Audit Policy Configuration\Audit Policies\Object Access\Audit Certification Services.
Marque las casillas para configurar eventos de auditoría en Correcto y Error.
Configure la auditoría en la Autoridad de certificación (CA) mediante uno de los métodos siguientes:
Para configurar la auditoría de CA mediante la línea de comandos, ejecute:
certutil –setreg CA\AuditFilter 127 net stop certsvc && net start certsvc
Para configurar la auditoría de CA mediante la GUI:
Seleccione Iniciar>Autoridad de certificación (aplicación de escritorio MMC). Haga clic derecho en el nombre de la CA y seleccione Propiedades.
Seleccione la pestaña Auditoría, seleccione todos los eventos que desea auditar y, a continuación, seleccione Aplicar.
Nota:
La configuración de la auditoría de eventos Iniciar y detener Servicios de certificados de Active Directory puede provocar retrasos en el reinicio cuando se trabaja con una base de datos de AD CS de gran tamaño. Considere la posibilidad de quitar entradas irrelevantes de la base de datos. Como alternativa, evite habilitar este tipo de evento específico.
Configuración de la auditoría en Microsoft Entra Connect
Para configurar la auditoría en servidores de Microsoft Entra Connect:
Cree una directiva de grupo para aplicarla a los servidores de Microsoft Entra Connect. Edítelo y configure las siguientes opciones de auditoría:
Vaya a Computer Configuration\Policies\Windows Settings\Security Settings\Advanced Audit Policy Configuration\Audit Policies\Logon/Logoff\Audit Logon.
Marque las casillas para configurar eventos de auditoría en Correcto y Error.
Configuración de la auditoría en el contenedor de configuración
Nota:
La auditoría del contenedor de configuración solo se vuelve a usar para entornos que actualmente tienen o tenían Previamente Microsoft Exchange, ya que estos entornos tienen un contenedor de Exchange ubicado en la sección Configuración del dominio.
Problema de estado relacionado: la auditoría en el contenedor de configuración no está habilitada como es necesario
Abra la herramienta de edición ADSI. Seleccione Inicio>Ejecutar, escriba
ADSIEdit.msc
y, a continuación, seleccione Aceptar.En el menú Acción, seleccione Conectar a.
En el cuadro de diálogo Configuración de conexión en Seleccionar un contexto de nomenclatura conocido, seleccione Configuración>Aceptar.
Expanda el contenedor Configuración para mostrar el nodo Configuración, que empieza por "CN=Configuration,DC=...".
Haga clic con el botón derecho en nodo Configuración y seleccione Propiedades.
Seleccione la pestaña Seguridad y luego Avanzada.
En Configuraciones avanzadas de seguridad, seleccione la pestaña Auditoría y, a continuación, seleccione Agregar.
Elija Seleccionar una entidad de seguridad.
En Escriba el nombre del objeto que desea seleccionar, escriba Todos. A continuación, seleccione Comprobar nombres>Aceptar.
A continuación, vuelva a Entrada de auditoría. Realice las selecciones siguientes:
- En Tipo, seleccione Todos.
- En Se aplica a seleccione Este objeto y todos los descendientes.
- En Permisos, desplácese hacia abajo y seleccione Borrar todo. Desplácese hacia arriba y seleccione Escribir todas las propiedades.
Seleccione Aceptar.
Actualización de las configuraciones heredadas
Defender for Identity ya no requiere el registro de eventos 1644. Si tiene habilitada esta configuración de registro, puede eliminarla.
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics]
"15 Field Engineering"=dword:00000005
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters]
"Expensive Search Results Threshold"=dword:00000001
"Inefficient Search Results Threshold"=dword:00000001
"Search Time Threshold (msecs)"=dword:00000001
Contenido relacionado
Para más información, vea:
- Recopilación de eventos de Microsoft Defender for Identity
- Auditoría de seguridad de Windows
- Directivas de auditoría de seguridad avanzada