Recomendaciones de la directiva de auditoría
Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows 10, Windows 8.1, Windows 7
En esta sección se aborda la configuración de la directiva de auditoría predeterminada de Windows, la configuración de la directiva de auditoría recomendada de base de referencia y las recomendaciones más enérgicas de Microsoft para los productos de estación de trabajo y servidor.
Las recomendaciones de base de referencia de SCM (administrador de seguridad de directiva) que se muestran aquí, junto con la configuración que recomendamos para ayudar a detectar riesgos, solo están pensadas para ser una guía de base de referencia inicial para las personas con capacidad de administración. Cada organización debe tomar sus propias decisiones sobre las amenazas a las que se enfrentan, la tolerancia al riesgo aceptable y qué categorías o subcategorías de la directiva de auditoría deberían habilitar. Para obtener más información sobre las amenazas, consulte la Guía de amenazas y contramedidas. Se recomienda a los administradores que no tengan en marcha una directiva de auditoría cuidadosa empezar con la configuración recomendada aquí y, a continuación, modificarla y probarla antes de implementarla en su entorno de producción.
Las recomendaciones son para equipos de organización, que Microsoft define como equipos que tienen requisitos de seguridad medios y requieren un alto nivel de funcionalidad operativa. Las entidades que necesitan requisitos de seguridad más altos deberían considerar directivas de auditoría más enérgicas.
Nota
Los valores predeterminados y las recomendaciones de base de referencia de Microsoft Windows proceden de la herramienta Microsoft Security Compliance Manager.
Se recomienda la siguiente configuración de la directiva de auditoría de base de referencia para equipos de seguridad normales que no se sabe que estén bajo ataques activos y exitosos por parte de adversarios específicos o malware.
Directivas de auditoría recomendadas por sistema operativo
Esta sección contiene tablas que enumeran las recomendaciones de configuración de auditoría que se aplican a los siguientes sistemas operativos:
- Windows Server 2016
- Windows Server 2012
- Windows Server 2012 R2
- Windows Server 2008
- Windows 10
- Windows 8.1
- Windows 7
Estas tablas contienen la configuración predeterminada de Windows, las recomendaciones de base de referencia y las recomendaciones más sólidas para estos sistemas operativos.
Leyenda de las tablas de directivas de auditoría
| Notation | Recomendación |
|---|---|
| Sí | Habilitar en escenarios generales |
| No | No habilitar en escenarios generales |
| Si | Habilitar si es necesario para un escenario específico o si se instala un rol o una característica para la que se desea realizar la auditoría en la máquina |
| DC | Habilitar en controladores de dominio |
| [En blanco] | Sin recomendación |
Recomendaciones de configuración de auditoría de Windows 10, Windows 8 y Windows 7
Directiva de auditoría
| Categoría o subcategoría de directiva de auditoría | Valor predeterminado de Windows
|
Recomendación de base de referencia
|
Recomendación más fuerte
|
|---|---|---|---|
| Inicio de sesión de la cuenta | |||
| Auditar validación de credenciales | No | No |
Yes | No |
Yes | Yes |
| Auditar servicio de autenticación Kerberos | Yes | Yes |
||
| Auditar operaciones de vales de servicio Kerberos | Yes | Yes |
||
| Auditar otros eventos de inicio de sesión de cuentas | Yes | Yes |
| Categoría o subcategoría de directiva de auditoría | Valor predeterminado de Windows
|
Recomendación de base de referencia
|
Recomendación más fuerte
|
|---|---|---|---|
| Administración de cuentas | |||
| Auditar administración de grupos de aplicaciones | |||
| Auditar administración de cuentas de equipo | Yes | No |
Yes | Yes |
|
| Auditar administración de grupos de distribución | |||
| Auditar otros eventos de administración de cuentas | Yes | No |
Yes | Yes |
|
| Auditar administración de grupos de seguridad | Yes | No |
Yes | Yes |
|
| Auditar administración de cuentas de usuario | Yes | No |
Yes | No |
Yes | Yes |
| Categoría o subcategoría de directiva de auditoría | Valor predeterminado de Windows
|
Recomendación de base de referencia
|
Recomendación más fuerte
|
|---|---|---|---|
| Seguimiento detallado | |||
| Auditar actividad DPAPI | Yes | Yes |
||
| Auditar creación de procesos | Yes | No |
Yes | Yes |
|
| Auditar finalización de procesos | |||
| Auditar eventos de RPC |
| Categoría o subcategoría de directiva de auditoría | Valor predeterminado de Windows
|
Recomendación de base de referencia
|
Recomendación más fuerte
|
|---|---|---|---|
| Acceso DS | |||
| Auditar replicación de servicio de directorio detallada | |||
| Auditar el acceso del servicio de directorio | |||
| Auditar cambios de servicio de directorio | |||
| Auditar replicación de servicio de directorio |
| Categoría o subcategoría de directiva de auditoría | Valor predeterminado de Windows
|
Recomendación de base de referencia
|
Recomendación más fuerte
|
|---|---|---|---|
| Inicio de sesión y cierre de sesión | |||
| Auditar bloqueo de cuentas | Yes | No |
Yes | No |
|
| Auditar reclamaciones de usuario o dispositivo | |||
| Auditar modo extendido de IPsec | |||
| Auditar modo principal de IPsec | IF | IF |
||
| Auditar modo rápido de IPsec | |||
| Auditar cierre de sesión | Yes | No |
Yes | No |
Yes | No |
| Inicio de sesión de auditoría 1 | Yes | Yes |
Yes | Yes |
Yes | Yes |
| Auditar Servidor de directivas de redes | Yes | Yes |
||
| Auditar otros eventos de inicio y cierre de sesión | |||
| Auditar inicio de sesión especial | Yes | No |
Yes | No |
Yes | Yes |
| Categoría o subcategoría de directiva de auditoría | Valor predeterminado de Windows
|
Recomendación de base de referencia
|
Recomendación más fuerte
|
|---|---|---|---|
| Acceso a objetos | |||
| Auditar aplicación generada | |||
| Auditar servicios de certificación | |||
| Auditar recurso compartido de archivos detallado | |||
| Auditar recurso compartido de archivos | |||
| Auditar el sistema de archivos | |||
| Auditar conexión de plataforma de filtrado | |||
| Auditar colocación de paquetes de la plataforma de filtrado | |||
| Auditar la manipulación de identificadores | |||
| Auditar el objeto de kernel | |||
| Auditar otros eventos de acceso a objetos | |||
| Auditar el Registro | |||
| Auditar el almacenamiento extraíble | |||
| Auditar SAM | |||
| Auditar almacenamiento provisional de directiva de acceso central |
| Categoría o subcategoría de directiva de auditoría | Valor predeterminado de Windows
|
Recomendación de base de referencia
|
Recomendación más fuerte
|
|---|---|---|---|
| Cambio de directiva | |||
| Auditar cambio de directiva de auditoría | Yes | No |
Yes | Yes |
Yes | Yes |
| Auditar cambio de directiva de autenticación | Yes | No |
Yes | No |
Yes | Yes |
| Auditar cambio de directiva de autorización | |||
| Auditar cambio de directiva de la plataforma de filtrado | |||
| Auditar cambio de directiva del nivel de reglas de MPSSVC | Yes |
||
| Auditar otros eventos de cambio de directiva |
| Categoría o subcategoría de directiva de auditoría | Valor predeterminado de Windows
|
Recomendación de base de referencia
|
Recomendación más fuerte
|
|---|---|---|---|
| Uso de privilegios | |||
| Auditar uso de privilegios no confidenciales | |||
| Auditar otros eventos de uso de privilegios | |||
| Auditar uso de privilegios confidenciales |
| Categoría o subcategoría de directiva de auditoría | Valor predeterminado de Windows
|
Recomendación de base de referencia
|
Recomendación más fuerte
|
|---|---|---|---|
| Sistema | |||
| Auditar controlador IPsec | Yes | Yes |
Yes | Yes |
|
| Auditar otros eventos del sistema | Yes | Yes |
||
| Auditar cambio de estado de seguridad | Yes | No |
Yes | Yes |
Yes | Yes |
| Auditar extensión del sistema de seguridad | Yes | Yes |
Yes | Yes |
|
| Auditar integridad del sistema | Yes | Yes |
Yes | Yes |
Yes | Yes |
| Categoría o subcategoría de directiva de auditoría | Valor predeterminado de Windows
|
Recomendación de base de referencia
|
Recomendación más fuerte
|
|---|---|---|---|
| Auditoría de acceso a objetos global | |||
| Auditar controlador IPsec | |||
| Auditar otros eventos del sistema | |||
| Auditar cambio de estado de seguridad | |||
| Auditar extensión del sistema de seguridad | |||
| Auditar integridad del sistema |
1 A partir de Windows 10 versión 1809, el inicio de sesión de auditoría está habilitado de forma predeterminada para Correcto y Error. En versiones anteriores de Windows, solo está habilitado Correcto de forma predeterminada.
Recomendaciones de configuración de auditorías de Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 R2 y Windows Server 2008
| Categoría o subcategoría de directiva de auditoría | Valor predeterminado de Windows
|
Recomendación de base de referencia
|
Recomendación más fuerte
|
|---|---|---|---|
| Inicio de sesión de la cuenta | |||
| Auditar validación de credenciales | No | No |
Yes | Yes |
Yes | Yes |
| Auditar servicio de autenticación Kerberos | Yes | Yes |
||
| Auditar operaciones de vales de servicio Kerberos | Yes | Yes |
||
| Auditar otros eventos de inicio de sesión de cuentas | Yes | Yes |
| Categoría o subcategoría de directiva de auditoría | Valor predeterminado de Windows
|
Recomendación de base de referencia
|
Recomendación más fuerte
|
|---|---|---|---|
| Administración de cuentas | |||
| Auditar administración de grupos de aplicaciones | |||
| Auditar administración de cuentas de equipo | Yes | DC |
Yes | Yes |
|
| Auditar administración de grupos de distribución | |||
| Auditar otros eventos de administración de cuentas | Yes | Yes |
Yes | Yes |
|
| Auditar administración de grupos de seguridad | Yes | Yes |
Yes | Yes |
|
| Auditar administración de cuentas de usuario | Yes | No |
Yes | Yes |
Yes | Yes |
| Categoría o subcategoría de directiva de auditoría | Valor predeterminado de Windows
|
Recomendación de base de referencia
|
Recomendación más fuerte
|
|---|---|---|---|
| Seguimiento detallado | |||
| Auditar actividad DPAPI | Yes | Yes |
||
| Auditar creación de procesos | Yes | No |
Yes | Yes |
|
| Auditar finalización de procesos | |||
| Auditar eventos de RPC |
| Categoría o subcategoría de directiva de auditoría | Valor predeterminado de Windows
|
Recomendación de base de referencia
|
Recomendación más fuerte
|
|---|---|---|---|
| Acceso DS | |||
| Auditar replicación de servicio de directorio detallada | |||
| Auditar el acceso del servicio de directorio | DC | DC |
DC | DC |
|
| Auditar cambios de servicio de directorio | DC | DC |
DC | DC |
|
| Auditar replicación de servicio de directorio |
| Categoría o subcategoría de directiva de auditoría | Valor predeterminado de Windows
|
Recomendación de base de referencia
|
Recomendación más fuerte
|
|---|---|---|---|
| Inicio de sesión y cierre de sesión | |||
| Auditar bloqueo de cuentas | Yes | No |
Yes | No |
|
| Auditar reclamaciones de usuario o dispositivo | |||
| Auditar modo extendido de IPsec | |||
| Auditar modo principal de IPsec | IF | IF |
||
| Auditar modo rápido de IPsec | |||
| Auditar cierre de sesión | Yes | No |
Yes | No |
Yes | No |
| Auditar inicio de sesión | Yes | Yes |
Yes | Yes |
Yes | Yes |
| Auditar servidor de directivas de redes | Yes | Yes |
||
| Auditar otros eventos de inicio y cierre de sesión | Yes | Yes |
||
| Auditar inicio de sesión especial | Yes | No |
Yes | No |
Yes | Yes |
| Categoría o subcategoría de directiva de auditoría | Valor predeterminado de Windows
|
Recomendación de base de referencia
|
Recomendación más fuerte
|
|---|---|---|---|
| Acceso a objetos | |||
| Auditar aplicación generada | |||
| Auditar servicios de certificación | |||
| Auditar recurso compartido de archivos detallado | |||
| Auditar recurso compartido de archivos | |||
| Auditar el sistema de archivos | |||
| Auditar conexión de plataforma de filtrado | |||
| Auditar colocación de paquetes de la plataforma de filtrado | |||
| Auditar la manipulación de identificadores | |||
| Auditar el objeto de kernel | |||
| Auditar otros eventos de acceso a objetos | |||
| Auditar el Registro | |||
| Auditar el almacenamiento extraíble | |||
| Auditar SAM | |||
| Auditar almacenamiento provisional de directiva de acceso central |
| Categoría o subcategoría de directiva de auditoría | Valor predeterminado de Windows
|
Recomendación de base de referencia
|
Recomendación más fuerte
|
|---|---|---|---|
| Cambio de directiva | |||
| Auditar cambio de directiva de auditoría | Yes | No |
Yes | Yes |
Yes | Yes |
| Auditar cambio de directiva de autenticación | Yes | No |
Yes | No |
Yes | Yes |
| Auditar cambio de directiva de autorización | |||
| Auditar cambio de directiva de la plataforma de filtrado | |||
| Auditar cambio de directiva del nivel de reglas de MPSSVC | Yes |
||
| Auditar otros eventos de cambio de directiva |
| Categoría o subcategoría de directiva de auditoría | Valor predeterminado de Windows
|
Recomendación de base de referencia
|
Recomendación más fuerte
|
|---|---|---|---|
| Uso de privilegios | |||
| Auditar uso de privilegios no confidenciales | |||
| Auditar otros eventos de uso de privilegios | |||
| Auditar uso de privilegios confidenciales |
| Categoría o subcategoría de directiva de auditoría | Valor predeterminado de Windows
|
Recomendación de base de referencia
|
Recomendación más fuerte
|
|---|---|---|---|
| Sistema | |||
| Auditar controlador IPsec | Yes | Yes |
Yes | Yes |
|
| Auditar otros eventos del sistema | Yes | Yes |
||
| Auditar cambio de estado de seguridad | Yes | No |
Yes | Yes |
Yes | Yes |
| Auditar extensión del sistema de seguridad | Yes | Yes |
Yes | Yes |
|
| Auditar integridad del sistema | Yes | Yes |
Yes | Yes |
Yes | Yes |
| Categoría o subcategoría de directiva de auditoría | Valor predeterminado de Windows
|
Recomendación de base de referencia
|
Recomendación más fuerte
|
|---|---|---|---|
| Auditoría de acceso a objetos global | |||
| Auditar controlador IPsec | |||
| Auditar otros eventos del sistema | |||
| Auditar cambio de estado de seguridad | |||
| Auditar extensión del sistema de seguridad | |||
| Auditar integridad del sistema |
Establecer la directiva de auditoría en estaciones de trabajo y servidores
Todos los planes de administración del registro de eventos deberían supervisar las estaciones de trabajo y los servidores. Un error común es supervisar solo servidores o controladores de dominio. Dado que el hacking malintencionado a menudo se produce inicialmente en estaciones de trabajo, no supervisar las estaciones de trabajo supone ignorar la mejor y primera fuente de información.
Los administradores deberían revisar y probar cuidadosamente cualquier directiva de auditoría antes de la implementación en su entorno de producción.
Eventos para supervisar
Un id. de evento perfecto para generar una alerta de seguridad debería contener los siguientes atributos:
Hay una alta probabilidad de que un suceso indique una actividad no autorizada
Deben disponer de un número reducido de falsos positivos.
La repetición debería dar lugar a una respuesta de investigación y análisis forense
Se deberían supervisar y dar alerta de dos tipos de eventos:
Eventos que con que solo se produzcan una vez, se indique una actividad no autorizada
Una acumulación de eventos por encima de un punto de referencia esperado y aceptado.
Un ejemplo del primer evento es:
Si a los administradores de dominio les está prohibido iniciar sesión en equipos que no son controladores de dominio, un sol suceso en el que un miembro administrador de dominio inicia sesión en una estación de trabajo de usuario final debe generar una alerta y investigarse. Este tipo de alerta es fácil de generar mediante el evento Audit Special Logon 4964 (los grupos especiales se han asignado a un nuevo inicio de sesión). Otros ejemplos de alertas de instancia única son:
Si el servidor A nunca debería conectarse al servidor B, se produce una alerta cuando se conecten entre sí.
Se produce una alerta si se agrega inesperadamente una cuenta de usuario final normal a un grupo de seguridad confidencial.
Si los empleados de la ubicación de fábrica A nunca trabajan por la noche, se produce una alerta cuando un usuario inicia sesión a medianoche.
Se produce una alerta si se instala un servicio no autorizado en un controlador de dominio.
Se investiga si un usuario final normal intenta iniciar sesión directamente en un servidor SQL sin una razón clara para hacerlo.
Si no tiene ningún miembro en el grupo de administradores de dominio y alguien se agrega a sí mismo, compruébelo inmediatamente.
Un ejemplo del segundo evento es:
Un número aberrante de inicios de sesión fallidos podría indicar un ataque de adivinación de contraseña. Para que una empresa proporcione una alerta para un número inusualmente alto de inicios de sesión fallidos, primero se deben considerar los niveles normales de inicios de sesión fallidos en el entorno antes de un evento de seguridad malintencionado.
Para obtener una lista completa de los eventos que debería incluir al supervisar los signos de riesgo, consulte Apéndice L: eventos a supervisar.
Objetos de Active Directory y atributos a supervisar
A continuación se muestran las cuentas, grupos y atributos que debería supervisar para ayudarle a detectar intentos de riesgo para la instalación de Active Directory Domain Services.
Sistemas para deshabilitar o quitar el antivirus y el software antimalware (reiniciar automáticamente la protección cuando se deshabilita manualmente)
Cuentas de administrador para cambios no autorizados
Actividades que se realizan mediante cuentas con privilegios (quitan automáticamente la cuenta cuando se completan las actividades sospechosas o el tiempo asignado ha expirado)
Cuentas con privilegios y VIP en AD DS. Supervise cambios, en particular en los atributos en la pestaña Cuenta (por ejemplo cn, name, sAMAccountName, userPrincipalName o userAccountControl). Además de supervisar las cuentas, restrinja quién puede modificar las cuentas al conjunto de usuarios administrativos más pequeño posible.
Consulte Apéndice L: eventos para supervisar para obtener una lista de eventos recomendados para supervisar, sus clasificaciones de importancia crítica y un resumen de mensajes de eventos.
Grupos de servidores según la clasificación de sus cargas de trabajo, para poder identificar rápidamente los servidores que deberían supervisarse y configurarse más estrictamente
Cambios en las propiedades y pertenencia de los siguientes grupos de AD DS: Administradores de empresa (EA), Administradores de dominio (DA), Administradores (BA) y Administradores de esquemas (SA)
Cuentas con privilegios deshabilitadas (como cuentas de administrador integradas en Active Directory y en sistemas miembros) para habilitar las cuentas
Cuentas de administración para registrar todas las escrituras en la cuenta
Asistente para configuración de seguridad integrado para configurar el servicio, registro, auditoría y firewall para reducir la superficie expuesta a ataques del servidor. Use este asistente si implementa servidores de salto como parte de la estrategia de host administrativo.
Información adicional para la supervisar Active Directory Domain Services
Revise los vínculos siguientes para obtener información adicional sobre la supervisión de AD DS:
La auditoría global de acceso a objetos es magia: proporciona información sobre cómo configurar y usar la configuración de directiva de auditoría avanzada que se agregó a Windows 7 y Windows Server 2008 R2.
Introducción a los cambios de auditoría en Windows 2008: presenta los cambios de auditoría realizados en Windows Server 2008.
Trucos interesantes de auditoría en Vista y 2008: explica características de auditoría nuevas e interesantes en Windows Vista y Windows Server 2008 que se pueden usar para solucionar problemas o ver lo que sucede en el entorno.
Ventanilla única para la auditoría en Windows Server 2008 y Windows Vista: contiene una recopilación de las características e información de auditoría de Windows Server 2008 y Windows Vista.
Guía paso a paso para la auditoría de AD DS: describe la nueva característica de auditoría de Active Directory Domain Services (AD DS) en Windows Server 2008. También proporciona procedimientos para implementar esta nueva característica.
Lista general de eventos críticos de recomendación del id. de evento de seguridad
Todas las recomendaciones de id. de evento van acompañadas de una clasificación de eventos críticos de la siguiente manera:
Alta: los id. de evento con una clasificación de importancia alta siempre deberían alertarse e investigarse inmediatamente.
Media: Un id. de evento con una clasificación de importancia media podría indicar una actividad malintencionada, pero debe ir acompañado de alguna otra anomalía (por ejemplo, que se produzca un número inusual en un período de tiempo determinado, sucesos inesperados o sucesos en un equipo que normalmente no se espera que registre el evento). Un evento crítico de importancia media también se puede recopilar como una métrica y compararse a lo largo del tiempo.
Baja: Un id. de evento con una clasificación de importancia baja no debería atraer la atención ni provocar alertas, a menos que se correlacione con eventos de importancia media o alta.
Estas recomendaciones están pensadas para proporcionar una guía de base de referencia para el administrador. Todas las recomendaciones deberían revisarse exhaustivamente antes de la implementación en un entorno de producción.
Consulte Apéndice L: eventos a supervisar para obtener una lista de eventos de supervisión recomendada, sus clasificaciones de importancia crítica y un resumen de mensajes de eventos.