Crear una directiva de auditoría básica para una categoría de eventos

Al definir la configuración de auditoría para categorías de evento específicas, puedes crear una directiva de auditoría que se adapte a las necesidades de seguridad de la organización. En los dispositivos que están unidos a un dominio, la configuración de auditoría para categorías de evento está sin definir de forma predeterminada. En los controladores de dominio, la auditoría está activada de manera predeterminada.

Para completar este procedimiento, debes iniciar sesión como miembro del grupo integrado Administradores.

Para definir o modificar la configuración de directiva de auditoría para una categoría de eventos para el equipo local

1. Abre el complemento de directiva de seguridad local (secpol.msc) y, a continuación, haz clic en Directivas locales.
2. Haz clic en Directiva de auditoría.
3. En el panel de resultados, haz doble clic en una categoría de eventos para la que desees cambiar la configuración de directiva de auditoría.
4. Realiza una o ambas de las siguientes opciones y, a continuación, haz clic en Aceptar.
   • Para auditar intentos correctos, selecciona la casilla Aciertos.
   • Para auditar intentos incorrectos, selecciona la casilla Errores.

Para realizar este procedimiento, debes iniciar sesión como miembro del grupo Domain Admins.

Para definir o modificar la configuración de directiva de auditoría para una categoría de eventos de un dominio o unidad organizativa, cuando estás en un servidor miembro o en una estación de trabajo que se ha unido a un dominio

1. Abre la Consola de administración de directivas de grupos (GPMC).
2. En el árbol de consola, haz doble clic en Objetos de directivas de grupo en el bosque y el dominio que contiene el objeto de directivas de grupo (GPO) de la Directiva predeterminada de dominio que deseas editar.
3. Haz clic con el botón derecho en el GPO de la Directiva de dominio predeterminada y haz clic en Editar.
4. En GPMC, ve a Configuración del equipo, Configuración Windows, Configuración de seguridad y, a continuación, haz clic en Directiva de auditoría.
5. En el panel de resultados, haz doble clic en una categoría de eventos para la que desees cambiar la configuración de directiva de auditoría.
6. Si vas a definir la configuración de directiva de auditoría para esta categoría de eventos por primera vez, selecciona la casilla Definir esta configuración de directiva.
7. Realiza una o ambas de las siguientes opciones y, a continuación, haz clic en Aceptar.
   • Para auditar intentos correctos, selecciona la casilla Aciertos.
   • Para auditar intentos incorrectos, selecciona la casilla Errores.

Consideraciones adicionales

• Para auditar el acceso a objetos, habilita la auditoría de la categoría de eventos de acceso a objetos siguiendo los pasos anteriores. A continuación, habilita la auditoría en el objeto específico.
• Después de configurar la directiva de auditoría, los eventos se registrarán en el registro de seguridad. Abre el registro de seguridad para ver estos eventos.
• La configuración de directiva de auditoría predeterminada para controladores de dominio es Sin auditoría. Esto significa que, aunque la auditoría esté habilitada en el dominio, los controladores de dominio no heredan la directiva de auditoría localmente. Si deseas que la directiva de auditoría se aplique a controladores de dominio, deberás modificar esta configuración de directiva.