Share via


Recomendaciones de la directiva de auditoría

Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows 10, Windows 8.1, Windows 7

En esta sección se aborda la configuración de la directiva de auditoría predeterminada de Windows, la configuración de la directiva de auditoría recomendada de base de referencia y las recomendaciones más enérgicas de Microsoft para los productos de estación de trabajo y servidor.

Las recomendaciones de base de referencia de SCM (administrador de seguridad de directiva) que se muestran aquí, junto con la configuración que recomendamos para ayudar a detectar riesgos, solo están pensadas para ser una guía de base de referencia inicial para las personas con capacidad de administración. Cada organización debe tomar sus propias decisiones sobre las amenazas a las que se enfrentan, la tolerancia al riesgo aceptable y qué categorías o subcategorías de la directiva de auditoría deberían habilitar. Para obtener más información sobre las amenazas, consulte la Guía de amenazas y contramedidas. Se recomienda a los administradores que no tengan en marcha una directiva de auditoría cuidadosa empezar con la configuración recomendada aquí y, a continuación, modificarla y probarla antes de implementarla en su entorno de producción.

Las recomendaciones son para equipos de organización, que Microsoft define como equipos que tienen requisitos de seguridad medios y requieren un alto nivel de funcionalidad operativa. Las entidades que necesitan requisitos de seguridad más altos deberían considerar directivas de auditoría más enérgicas.

Nota

Los valores predeterminados y las recomendaciones de base de referencia de Microsoft Windows proceden de la herramienta Microsoft Security Compliance Manager.

Se recomienda la siguiente configuración de la directiva de auditoría de base de referencia para equipos de seguridad normales que no se sabe que estén bajo ataques activos y exitosos por parte de adversarios específicos o malware.

Esta sección contiene tablas que enumeran las recomendaciones de configuración de auditoría que se aplican a los siguientes sistemas operativos:

  • Windows Server 2016
  • Windows Server 2012
  • Windows Server 2012 R2
  • Windows Server 2008
  • Windows 10
  • Windows 8.1
  • Windows 7

Estas tablas contienen la configuración predeterminada de Windows, las recomendaciones de base de referencia y las recomendaciones más sólidas para estos sistemas operativos.

Leyenda de las tablas de directivas de auditoría

Notation Recomendación
Habilitar en escenarios generales
No No habilitar en escenarios generales
Si Habilitar si es necesario para un escenario específico o si se instala un rol o una característica para la que se desea realizar la auditoría en la máquina
DC Habilitar en controladores de dominio
[En blanco] Sin recomendación

Recomendaciones de configuración de auditoría de Windows 10, Windows 8 y Windows 7

Directiva de auditoría

Categoría o subcategoría de directiva de auditoría Valor predeterminado de Windows

Success | Failure

Recomendación de base de referencia

Success | Failure

Recomendación más fuerte

Success | Failure

Inicio de sesión de la cuenta
Auditar validación de credenciales No | No Yes | No Yes | Yes
Auditar servicio de autenticación Kerberos Yes | Yes
Auditar operaciones de vales de servicio Kerberos Yes | Yes
Auditar otros eventos de inicio de sesión de cuentas Yes | Yes
Categoría o subcategoría de directiva de auditoría Valor predeterminado de Windows

Success | Failure

Recomendación de base de referencia

Success | Failure

Recomendación más fuerte

Success | Failure

Administración de cuentas
Auditar administración de grupos de aplicaciones
Auditar administración de cuentas de equipo Yes | No Yes | Yes
Auditar administración de grupos de distribución
Auditar otros eventos de administración de cuentas Yes | No Yes | Yes
Auditar administración de grupos de seguridad Yes | No Yes | Yes
Auditar administración de cuentas de usuario Yes | No Yes | No Yes | Yes
Categoría o subcategoría de directiva de auditoría Valor predeterminado de Windows

Success | Failure

Recomendación de base de referencia

Success | Failure

Recomendación más fuerte

Success | Failure

Seguimiento detallado
Auditar actividad DPAPI Yes | Yes
Auditar creación de procesos Yes | No Yes | Yes
Auditar finalización de procesos
Auditar eventos de RPC
Categoría o subcategoría de directiva de auditoría Valor predeterminado de Windows

Success | Failure

Recomendación de base de referencia

Success | Failure

Recomendación más fuerte

Success | Failure

Acceso DS
Auditar replicación de servicio de directorio detallada
Auditar el acceso del servicio de directorio
Auditar cambios de servicio de directorio
Auditar replicación de servicio de directorio
Categoría o subcategoría de directiva de auditoría Valor predeterminado de Windows

Success | Failure

Recomendación de base de referencia

Success | Failure

Recomendación más fuerte

Success | Failure

Inicio de sesión y cierre de sesión
Auditar bloqueo de cuentas Yes | No Yes | No
Auditar reclamaciones de usuario o dispositivo
Auditar modo extendido de IPsec
Auditar modo principal de IPsec IF | IF
Auditar modo rápido de IPsec
Auditar cierre de sesión Yes | No Yes | No Yes | No
Inicio de sesión de auditoría 1 Yes | Yes Yes | Yes Yes | Yes
Auditar Servidor de directivas de redes Yes | Yes
Auditar otros eventos de inicio y cierre de sesión
Auditar inicio de sesión especial Yes | No Yes | No Yes | Yes
Categoría o subcategoría de directiva de auditoría Valor predeterminado de Windows

Success | Failure

Recomendación de base de referencia

Success | Failure

Recomendación más fuerte

Success | Failure

Acceso a objetos
Auditar aplicación generada
Auditar servicios de certificación
Auditar recurso compartido de archivos detallado
Auditar recurso compartido de archivos
Auditar el sistema de archivos
Auditar conexión de plataforma de filtrado
Auditar colocación de paquetes de la plataforma de filtrado
Auditar la manipulación de identificadores
Auditar el objeto de kernel
Auditar otros eventos de acceso a objetos
Auditar el Registro
Auditar el almacenamiento extraíble
Auditar SAM
Auditar almacenamiento provisional de directiva de acceso central
Categoría o subcategoría de directiva de auditoría Valor predeterminado de Windows

Success | Failure

Recomendación de base de referencia

Success | Failure

Recomendación más fuerte

Success | Failure

Cambio de directiva
Auditar cambio de directiva de auditoría Yes | No Yes | Yes Yes | Yes
Auditar cambio de directiva de autenticación Yes | No Yes | No Yes | Yes
Auditar cambio de directiva de autorización
Auditar cambio de directiva de la plataforma de filtrado
Auditar cambio de directiva del nivel de reglas de MPSSVC Yes
Auditar otros eventos de cambio de directiva
Categoría o subcategoría de directiva de auditoría Valor predeterminado de Windows

Success | Failure

Recomendación de base de referencia

Success | Failure

Recomendación más fuerte

Success | Failure

Uso de privilegios
Auditar uso de privilegios no confidenciales
Auditar otros eventos de uso de privilegios
Auditar uso de privilegios confidenciales
Categoría o subcategoría de directiva de auditoría Valor predeterminado de Windows

Success | Failure

Recomendación de base de referencia

Success | Failure

Recomendación más fuerte

Success | Failure

Sistema
Auditar controlador IPsec Yes | Yes Yes | Yes
Auditar otros eventos del sistema Yes | Yes
Auditar cambio de estado de seguridad Yes | No Yes | Yes Yes | Yes
Auditar extensión del sistema de seguridad Yes | Yes Yes | Yes
Auditar integridad del sistema Yes | Yes Yes | Yes Yes | Yes
Categoría o subcategoría de directiva de auditoría Valor predeterminado de Windows

Success | Failure

Recomendación de base de referencia

Success | Failure

Recomendación más fuerte

Success | Failure

Auditoría de acceso a objetos global
Auditar controlador IPsec
Auditar otros eventos del sistema
Auditar cambio de estado de seguridad
Auditar extensión del sistema de seguridad
Auditar integridad del sistema

1 A partir de Windows 10 versión 1809, el inicio de sesión de auditoría está habilitado de forma predeterminada para Correcto y Error. En versiones anteriores de Windows, solo está habilitado Correcto de forma predeterminada.

Recomendaciones de configuración de auditorías de Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 R2 y Windows Server 2008

Categoría o subcategoría de directiva de auditoría Valor predeterminado de Windows

Success | Failure

Recomendación de base de referencia

Success | Failure

Recomendación más fuerte

Success | Failure

Inicio de sesión de la cuenta
Auditar validación de credenciales No | No Yes | Yes Yes | Yes
Auditar servicio de autenticación Kerberos Yes | Yes
Auditar operaciones de vales de servicio Kerberos Yes | Yes
Auditar otros eventos de inicio de sesión de cuentas Yes | Yes
Categoría o subcategoría de directiva de auditoría Valor predeterminado de Windows

Success | Failure

Recomendación de base de referencia

Success | Failure

Recomendación más fuerte

Success | Failure

Administración de cuentas
Auditar administración de grupos de aplicaciones
Auditar administración de cuentas de equipo Yes | DC Yes | Yes
Auditar administración de grupos de distribución
Auditar otros eventos de administración de cuentas Yes | Yes Yes | Yes
Auditar administración de grupos de seguridad Yes | Yes Yes | Yes
Auditar administración de cuentas de usuario Yes | No Yes | Yes Yes | Yes
Categoría o subcategoría de directiva de auditoría Valor predeterminado de Windows

Success | Failure

Recomendación de base de referencia

Success | Failure

Recomendación más fuerte

Success | Failure

Seguimiento detallado
Auditar actividad DPAPI Yes | Yes
Auditar creación de procesos Yes | No Yes | Yes
Auditar finalización de procesos
Auditar eventos de RPC
Categoría o subcategoría de directiva de auditoría Valor predeterminado de Windows

Success | Failure

Recomendación de base de referencia

Success | Failure

Recomendación más fuerte

Success | Failure

Acceso DS
Auditar replicación de servicio de directorio detallada
Auditar el acceso del servicio de directorio DC | DC DC | DC
Auditar cambios de servicio de directorio DC | DC DC | DC
Auditar replicación de servicio de directorio
Categoría o subcategoría de directiva de auditoría Valor predeterminado de Windows

Success | Failure

Recomendación de base de referencia

Success | Failure

Recomendación más fuerte

Success | Failure

Inicio de sesión y cierre de sesión
Auditar bloqueo de cuentas Yes | No Yes | No
Auditar reclamaciones de usuario o dispositivo
Auditar modo extendido de IPsec
Auditar modo principal de IPsec IF | IF
Auditar modo rápido de IPsec
Auditar cierre de sesión Yes | No Yes | No Yes | No
Auditar inicio de sesión Yes | Yes Yes | Yes Yes | Yes
Auditar servidor de directivas de redes Yes | Yes
Auditar otros eventos de inicio y cierre de sesión Yes | Yes
Auditar inicio de sesión especial Yes | No Yes | No Yes | Yes
Categoría o subcategoría de directiva de auditoría Valor predeterminado de Windows

Success | Failure

Recomendación de base de referencia

Success | Failure

Recomendación más fuerte

Success | Failure

Acceso a objetos
Auditar aplicación generada
Auditar servicios de certificación
Auditar recurso compartido de archivos detallado
Auditar recurso compartido de archivos
Auditar el sistema de archivos
Auditar conexión de plataforma de filtrado
Auditar colocación de paquetes de la plataforma de filtrado
Auditar la manipulación de identificadores
Auditar el objeto de kernel
Auditar otros eventos de acceso a objetos
Auditar el Registro
Auditar el almacenamiento extraíble
Auditar SAM
Auditar almacenamiento provisional de directiva de acceso central
Categoría o subcategoría de directiva de auditoría Valor predeterminado de Windows

Success | Failure

Recomendación de base de referencia

Success | Failure

Recomendación más fuerte

Success | Failure

Cambio de directiva
Auditar cambio de directiva de auditoría Yes | No Yes | Yes Yes | Yes
Auditar cambio de directiva de autenticación Yes | No Yes | No Yes | Yes
Auditar cambio de directiva de autorización
Auditar cambio de directiva de la plataforma de filtrado
Auditar cambio de directiva del nivel de reglas de MPSSVC Yes
Auditar otros eventos de cambio de directiva
Categoría o subcategoría de directiva de auditoría Valor predeterminado de Windows

Success | Failure

Recomendación de base de referencia

Success | Failure

Recomendación más fuerte

Success | Failure

Uso de privilegios
Auditar uso de privilegios no confidenciales
Auditar otros eventos de uso de privilegios
Auditar uso de privilegios confidenciales
Categoría o subcategoría de directiva de auditoría Valor predeterminado de Windows

Success | Failure

Recomendación de base de referencia

Success | Failure

Recomendación más fuerte

Success | Failure

Sistema
Auditar controlador IPsec Yes | Yes Yes | Yes
Auditar otros eventos del sistema Yes | Yes
Auditar cambio de estado de seguridad Yes | No Yes | Yes Yes | Yes
Auditar extensión del sistema de seguridad Yes | Yes Yes | Yes
Auditar integridad del sistema Yes | Yes Yes | Yes Yes | Yes
Categoría o subcategoría de directiva de auditoría Valor predeterminado de Windows

Success | Failure

Recomendación de base de referencia

Success | Failure

Recomendación más fuerte

Success | Failure

Auditoría de acceso a objetos global
Auditar controlador IPsec
Auditar otros eventos del sistema
Auditar cambio de estado de seguridad
Auditar extensión del sistema de seguridad
Auditar integridad del sistema

Establecer la directiva de auditoría en estaciones de trabajo y servidores

Todos los planes de administración del registro de eventos deberían supervisar las estaciones de trabajo y los servidores. Un error común es supervisar solo servidores o controladores de dominio. Dado que el hacking malintencionado a menudo se produce inicialmente en estaciones de trabajo, no supervisar las estaciones de trabajo supone ignorar la mejor y primera fuente de información.

Los administradores deberían revisar y probar cuidadosamente cualquier directiva de auditoría antes de la implementación en su entorno de producción.

Eventos para supervisar

Un id. de evento perfecto para generar una alerta de seguridad debería contener los siguientes atributos:

  • Hay una alta probabilidad de que un suceso indique una actividad no autorizada

  • Deben disponer de un número reducido de falsos positivos.

  • La repetición debería dar lugar a una respuesta de investigación y análisis forense

Se deberían supervisar y dar alerta de dos tipos de eventos:

  1. Eventos que con que solo se produzcan una vez, se indique una actividad no autorizada

  2. Una acumulación de eventos por encima de un punto de referencia esperado y aceptado.

Un ejemplo del primer evento es:

Si a los administradores de dominio les está prohibido iniciar sesión en equipos que no son controladores de dominio, un sol suceso en el que un miembro administrador de dominio inicia sesión en una estación de trabajo de usuario final debe generar una alerta y investigarse. Este tipo de alerta es fácil de generar mediante el evento Audit Special Logon 4964 (los grupos especiales se han asignado a un nuevo inicio de sesión). Otros ejemplos de alertas de instancia única son:

  • Si el servidor A nunca debería conectarse al servidor B, se produce una alerta cuando se conecten entre sí.

  • Se produce una alerta si se agrega inesperadamente una cuenta de usuario final normal a un grupo de seguridad confidencial.

  • Si los empleados de la ubicación de fábrica A nunca trabajan por la noche, se produce una alerta cuando un usuario inicia sesión a medianoche.

  • Se produce una alerta si se instala un servicio no autorizado en un controlador de dominio.

  • Se investiga si un usuario final normal intenta iniciar sesión directamente en un servidor SQL sin una razón clara para hacerlo.

  • Si no tiene ningún miembro en el grupo de administradores de dominio y alguien se agrega a sí mismo, compruébelo inmediatamente.

Un ejemplo del segundo evento es:

Un número aberrante de inicios de sesión fallidos podría indicar un ataque de adivinación de contraseña. Para que una empresa proporcione una alerta para un número inusualmente alto de inicios de sesión fallidos, primero se deben considerar los niveles normales de inicios de sesión fallidos en el entorno antes de un evento de seguridad malintencionado.

Para obtener una lista completa de los eventos que debería incluir al supervisar los signos de riesgo, consulte Apéndice L: eventos a supervisar.

Objetos de Active Directory y atributos a supervisar

A continuación se muestran las cuentas, grupos y atributos que debería supervisar para ayudarle a detectar intentos de riesgo para la instalación de Active Directory Domain Services.

  • Sistemas para deshabilitar o quitar el antivirus y el software antimalware (reiniciar automáticamente la protección cuando se deshabilita manualmente)

  • Cuentas de administrador para cambios no autorizados

  • Actividades que se realizan mediante cuentas con privilegios (quitan automáticamente la cuenta cuando se completan las actividades sospechosas o el tiempo asignado ha expirado)

  • Cuentas con privilegios y VIP en AD DS. Supervise cambios, en particular en los atributos en la pestaña Cuenta (por ejemplo cn, name, sAMAccountName, userPrincipalName o userAccountControl). Además de supervisar las cuentas, restrinja quién puede modificar las cuentas al conjunto de usuarios administrativos más pequeño posible.

Consulte Apéndice L: eventos para supervisar para obtener una lista de eventos recomendados para supervisar, sus clasificaciones de importancia crítica y un resumen de mensajes de eventos.

  • Grupos de servidores según la clasificación de sus cargas de trabajo, para poder identificar rápidamente los servidores que deberían supervisarse y configurarse más estrictamente

  • Cambios en las propiedades y pertenencia de los siguientes grupos de AD DS: Administradores de empresa (EA), Administradores de dominio (DA), Administradores (BA) y Administradores de esquemas (SA)

  • Cuentas con privilegios deshabilitadas (como cuentas de administrador integradas en Active Directory y en sistemas miembros) para habilitar las cuentas

  • Cuentas de administración para registrar todas las escrituras en la cuenta

  • Asistente para configuración de seguridad integrado para configurar el servicio, registro, auditoría y firewall para reducir la superficie expuesta a ataques del servidor. Use este asistente si implementa servidores de salto como parte de la estrategia de host administrativo.

Información adicional para la supervisar Active Directory Domain Services

Revise los vínculos siguientes para obtener información adicional sobre la supervisión de AD DS:

Lista general de eventos críticos de recomendación del id. de evento de seguridad

Todas las recomendaciones de id. de evento van acompañadas de una clasificación de eventos críticos de la siguiente manera:

Alta: los id. de evento con una clasificación de importancia alta siempre deberían alertarse e investigarse inmediatamente.

Media: Un id. de evento con una clasificación de importancia media podría indicar una actividad malintencionada, pero debe ir acompañado de alguna otra anomalía (por ejemplo, que se produzca un número inusual en un período de tiempo determinado, sucesos inesperados o sucesos en un equipo que normalmente no se espera que registre el evento). Un evento crítico de importancia media también se puede recopilar como una métrica y compararse a lo largo del tiempo.

Baja: Un id. de evento con una clasificación de importancia baja no debería atraer la atención ni provocar alertas, a menos que se correlacione con eventos de importancia media o alta.

Estas recomendaciones están pensadas para proporcionar una guía de base de referencia para el administrador. Todas las recomendaciones deberían revisarse exhaustivamente antes de la implementación en un entorno de producción.

Consulte Apéndice L: eventos a supervisar para obtener una lista de eventos de supervisión recomendada, sus clasificaciones de importancia crítica y un resumen de mensajes de eventos.