Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este artículo se tratan la configuración de directivas de auditoría de Windows y las recomendaciones avanzadas y de línea de base de Microsoft para estaciones de trabajo y servidores. Proporciona instrucciones para ayudar a los administradores a elegir las directivas de auditoría adecuadas en función de las necesidades de su organización.
Las recomendaciones de línea de base del Administrador de cumplimiento de seguridad (SCM) que se muestran aquí, junto con la configuración recomendada para ayudar a detectar el riesgo del sistema, solo están pensadas para ser una guía inicial de línea base para los administradores. Cada organización debe tomar sus propias decisiones sobre las amenazas a las que se enfrentan, la tolerancia al riesgo aceptable y qué categorías o subcategorías de la directiva de auditoría deberían habilitar. Se recomienda a los administradores que no tengan una directiva de auditoría cuidadosa empezar con la configuración recomendada aquí y, a continuación, modificar y probar antes de implementar en su entorno de producción.
Las recomendaciones son para equipos de organización, que Microsoft define como equipos que tienen requisitos de seguridad medios y requieren un alto nivel de funcionalidad operativa. Las entidades que necesitan requisitos de seguridad más altos deberían considerar directivas de auditoría más enérgicas.
Se recomienda la siguiente configuración de directiva de auditoría de línea de base para los ordenadores con medidas de seguridad normales que no se sabe que estén bajo ataques activos o exitosos por parte de adversarios determinados o malware.
Directiva de auditoría del sistema recomendada por sistema operativo
Esta sección contiene tablas que enumeran las recomendaciones de configuración de auditoría que se aplican al sistema operativo Windows para el cliente y el servidor.
Leyenda de la tabla de directivas de auditoría del sistema
| de notación de |
Recomendación |
|---|---|
| Sí | Habilitar en escenarios generales |
| No | No habilitar en escenarios generales |
| Si | Habilitar si es necesario para un escenario específico o si se instala un rol o una característica para la que se desea realizar la auditoría en la máquina |
| Distrito de Columbia | Habilitar en controladores de dominio |
| [En blanco] | Sin recomendación |
Estas tablas contienen la configuración de Windows predeterminada, las recomendaciones de línea base y recomendaciones más estrictas según la plataforma del sistema operativo que está utilizando.
| Categoría o subcategoría de directiva de auditoría | Valor predeterminado de WindowsSuccess | Failure |
Recomendación de base de referenciaSuccess | Failure |
Recomendación más fuerteSuccess | Failure |
|---|---|---|---|
| Inicio de sesión de la cuenta | |||
| Auditar validación de credenciales | No | No |
Yes | No |
Yes | Yes |
| Auditar servicio de autenticación Kerberos | Yes | Yes |
||
| Auditar operaciones de vales de servicio Kerberos | Yes | Yes |
||
| Auditar otros eventos de inicio de sesión de cuentas | Yes | Yes |
| Categoría o subcategoría de directiva de auditoría | Valor predeterminado de WindowsSuccess | Failure |
Recomendación de base de referenciaSuccess | Failure |
Recomendación más fuerteSuccess | Failure |
|---|---|---|---|
| Administración de cuentas | |||
| Auditar administración de grupos de aplicaciones | |||
| Auditar administración de cuentas de equipo | Yes | No |
Yes | Yes |
|
| Auditar administración de grupos de distribución | |||
| Auditar otros eventos de administración de cuentas | Yes | No |
Yes | Yes |
|
| Auditar administración de grupos de seguridad | Yes | No |
Yes | Yes |
|
| Auditar administración de cuentas de usuario | Yes | No |
Yes | No |
Yes | Yes |
| Categoría o subcategoría de directiva de auditoría | Valor predeterminado de WindowsSuccess | Failure |
Recomendación de base de referenciaSuccess | Failure |
Recomendación más fuerteSuccess | Failure |
|---|---|---|---|
| Seguimiento detallado | |||
| Auditar actividad DPAPI | Yes | Yes |
||
| Auditar creación de procesos | Yes | No |
Yes | Yes |
|
| Auditar finalización de procesos | |||
| Auditar eventos de RPC |
| Categoría o subcategoría de directiva de auditoría | Valor predeterminado de WindowsSuccess | Failure |
Recomendación de base de referenciaSuccess | Failure |
Recomendación más fuerteSuccess | Failure |
|---|---|---|---|
| Acceso DS | |||
| Auditar replicación de servicio de directorio detallada | |||
| Auditar el acceso del servicio de directorio | |||
| Auditar cambios de servicio de directorio | |||
| Auditar replicación de servicio de directorio |
| Categoría o subcategoría de directiva de auditoría | Valor predeterminado de WindowsSuccess | Failure |
Recomendación de base de referenciaSuccess | Failure |
Recomendación más fuerteSuccess | Failure |
|---|---|---|---|
| Inicio de sesión y cierre de sesión | |||
| Auditar bloqueo de cuentas | Yes | No |
Yes | No |
|
| Auditar reclamaciones de usuario o dispositivo | |||
| Auditar modo extendido de IPsec | |||
| Auditar modo principal de IPsec | IF | IF |
||
| Auditar modo rápido de IPsec | |||
| Auditar cierre de sesión | Yes | No |
Yes | No |
Yes | No |
| Inicio de sesión de auditoría 1 | Yes | Yes |
Yes | Yes |
Yes | Yes |
| Auditar Servidor de directivas de redes | Yes | Yes |
||
| Auditar otros eventos de inicio y cierre de sesión | |||
| Auditar inicio de sesión especial | Yes | No |
Yes | No |
Yes | Yes |
1 A partir de Windows 10 versión 1809, el inicio de sesión de auditoría está habilitado de forma predeterminada para Correcto y Error. En versiones anteriores de Windows, solo está habilitado Correcto de forma predeterminada.
| Categoría o subcategoría de directiva de auditoría | Valor predeterminado de WindowsSuccess | Failure |
Recomendación de base de referenciaSuccess | Failure |
Recomendación más fuerteSuccess | Failure |
|---|---|---|---|
| Acceso a objetos | |||
| Auditar aplicación generada | |||
| Auditar servicios de certificación | |||
| Auditar recurso compartido de archivos detallado | |||
| Auditar recurso compartido de archivos | |||
| Auditar el sistema de archivos | |||
| Auditar conexión de plataforma de filtrado | |||
| Auditar colocación de paquetes de la plataforma de filtrado | |||
| Auditar la manipulación de identificadores | |||
| Auditar el objeto de kernel | |||
| Auditar otros eventos de acceso a objetos | |||
| Auditar el Registro | |||
| Auditar el almacenamiento extraíble | |||
| Auditar SAM | |||
| Auditar almacenamiento provisional de directiva de acceso central |
| Categoría o subcategoría de directiva de auditoría | Valor predeterminado de WindowsSuccess | Failure |
Recomendación de base de referenciaSuccess | Failure |
Recomendación más fuerteSuccess | Failure |
|---|---|---|---|
| Cambio de directiva | |||
| Auditar cambio de directiva de auditoría | Yes | No |
Yes | Yes |
Yes | Yes |
| Auditar cambio de directiva de autenticación | Yes | No |
Yes | No |
Yes | Yes |
| Auditar cambio de directiva de autorización | |||
| Auditar cambio de directiva de la plataforma de filtrado | |||
| Auditar cambio de directiva del nivel de reglas de MPSSVC | Yes |
||
| Auditar otros eventos de cambio de directiva |
| Categoría o subcategoría de directiva de auditoría | Valor predeterminado de WindowsSuccess | Failure |
Recomendación de base de referenciaSuccess | Failure |
Recomendación más fuerteSuccess | Failure |
|---|---|---|---|
| Uso de privilegios | |||
| Auditar uso de privilegios no confidenciales | |||
| Auditar otros eventos de uso de privilegios | |||
| Auditar uso de privilegios confidenciales |
| Categoría o subcategoría de directiva de auditoría | Valor predeterminado de WindowsSuccess | Failure |
Recomendación de base de referenciaSuccess | Failure |
Recomendación más fuerteSuccess | Failure |
|---|---|---|---|
| Sistema | |||
| Auditar controlador IPsec | Yes | Yes |
Yes | Yes |
|
| Auditar otros eventos del sistema | Yes | Yes |
||
| Auditar cambio de estado de seguridad | Yes | No |
Yes | Yes |
Yes | Yes |
| Auditar extensión del sistema de seguridad | Yes | Yes |
Yes | Yes |
|
| Auditar integridad del sistema | Yes | Yes |
Yes | Yes |
Yes | Yes |
| Categoría o subcategoría de directiva de auditoría | Valor predeterminado de WindowsSuccess | Failure |
Recomendación de base de referenciaSuccess | Failure |
Recomendación más fuerteSuccess | Failure |
|---|---|---|---|
| Auditoría de acceso a objetos global | |||
| Auditar controlador IPsec | |||
| Auditar otros eventos del sistema | |||
| Auditar cambio de estado de seguridad | |||
| Auditar extensión del sistema de seguridad | |||
| Auditar integridad del sistema |
Establecer la directiva de auditoría en estaciones de trabajo y servidores
La administración eficaz del registro de eventos requiere la supervisión de estaciones de trabajo y servidores. Centrarse únicamente en servidores o controladores de dominio (DC) es una supervisión común, ya que los signos iniciales de actividad malintencionada a menudo aparecen en estaciones de trabajo. Al incluir estaciones de trabajo en su estrategia de supervisión, obtiene acceso a indicadores críticos tempranos de compromiso.
Antes de implementar cualquier directiva de auditoría en un entorno de producción, los administradores deben revisar, probar y validar cuidadosamente la directiva para asegurarse de que cumple los requisitos operativos y de seguridad de la organización.
Eventos que se van a supervisar
Un id. de evento perfecto para generar una alerta de seguridad debería contener los siguientes atributos:
Hay una alta probabilidad de que un suceso indique una actividad no autorizada
Deben disponer de un número reducido de falsos positivos.
La repetición debería dar lugar a una respuesta de investigación y análisis forense
Se deberían supervisar y dar alerta de dos tipos de eventos:
Eventos en los que una aparición es un indicador seguro de actividad no autorizada o sospechosa.
Acumulación de eventos por encima de una línea base esperada y aceptada.
Un ejemplo del primer evento es:
Si los Administradores de Dominio tienen prohibido iniciar sesión en los equipos que no son controladores de dominio, una única vez que un miembro de los Administradores de Dominio inicie sesión en una estación de trabajo de usuario final debe generar una alerta e investigarse. Este tipo de alerta es fácil de generar mediante el evento de auditoría de Inicio de Sesión Especial 4964 (se asignaron grupos especiales a un nuevo inicio de sesión). Otros ejemplos de alertas de instancia única son:
Si el servidor A nunca debe conectarse al servidor B, avise cuando se conecten entre sí.
Alerta si una cuenta de usuario estándar se agrega inesperadamente a un grupo de seguridad con privilegios o confidenciales.
Si los empleados en ubicación de fábrica A nunca trabajan por la noche, alerta cuando un usuario inicie sesión por la noche.
Alerta si se instala un servicio no autorizado en un controlador de dominio.
Investigue si un usuario final normal intenta iniciar sesión directamente en una instancia de SQL Server para la que no tiene ninguna razón clara para hacerlo.
Si no tiene miembros en el grupo de administración de dominio y alguien se agrega allí, compruébalo inmediatamente.
Un ejemplo del segundo evento es:
Un gran número de intentos de inicio de sesión erróneos podría indicar un ataque de adivinación de contraseña. Para detectar esto, las organizaciones deben determinar primero cuál es una tasa normal de inicios de sesión con errores en su entorno. A continuación, las alertas se pueden desencadenar cuando se supera esa línea base.
Para obtener una lista completa de los eventos que debe incluir al supervisar los signos de compromiso, consulte apéndice L: Eventos para supervisar.
Objetos y atributos de Active Directory que se van a supervisar
A continuación se muestran las cuentas, grupos y atributos que debería supervisar para ayudarle a detectar intentos de riesgo para la instalación de Active Directory Domain Services.
Sistemas para deshabilitar o eliminar antivirus y software antimalware (reiniciar automáticamente la protección cuando está deshabilitado manualmente)
Cuentas de administrador para cambios no autorizados
Actividades que se realizan mediante cuentas con privilegios (quita automáticamente la cuenta cuando se completan las actividades sospechosas o el tiempo asignado ha expirado)
Cuentas con privilegios y VIP en AD DS. Supervise los cambios en los atributos de la pestaña Cuenta, como:
China
nombre
sAMAccountName
nombre principal de usuario
control de cuenta de usuario
Además de supervisar las cuentas, restrinja quién puede modificar las cuentas al conjunto de usuarios administrativos más pequeño posible. Consulte Apéndice L: eventos para supervisar para obtener una lista de eventos recomendados para supervisar, sus clasificaciones de importancia crítica y un resumen de mensajes de eventos.
Grupos de servidores según la clasificación de sus cargas de trabajo, para poder identificar rápidamente los servidores que deberían supervisarse y configurarse más estrictamente
Cambios en las propiedades y pertenencia de los siguientes grupos de AD DS:
Administradores
Administradores de dominio
Administradores de la empresa
Administradores de esquema
Cuentas con privilegios deshabilitadas (como cuentas de administrador integradas en Active Directory y en sistemas miembros) para habilitar las cuentas
Cuentas de administración para registrar todas las escrituras en la cuenta
Asistente para configuración de seguridad integrado para configurar el servicio, registro, auditoría y firewall para reducir la superficie expuesta a ataques del servidor. Use este asistente si implementa servidores de salto como parte de la estrategia de host administrativo.
Información adicional para supervisar AD DS
Revise los vínculos siguientes para obtener información adicional sobre la supervisión de AD DS:
Importanciaes críticas de las recomendaciones del identificador de evento de seguridad
Todas las recomendaciones de id. de evento van acompañadas de una clasificación de eventos críticos de la siguiente manera:
| Clasificación | Descripción |
|---|---|
| Alto | Los identificadores de evento con una clasificación de importancia alta siempre deben alertarse e investigarse inmediatamente. |
| Medio | Un identificador de evento con una clasificación de importancia media podría indicar actividad malintencionada, pero debe ir acompañada de alguna otra anomalía. Un ejemplo puede incluir un número inusual que se produce en un período de tiempo determinado, ocurrencias inesperadas o ocurrencias en un equipo que normalmente no se esperaría que registrara el evento. Un evento de importancia media también se puede recopilar como una métrica y, a continuación, compararlo con el tiempo. |
| Bajo | Y el identificador de evento con eventos de baja importancia no debe atraer la atención ni provocar alertas, a menos que se correlacione con eventos de importancia media o alta. |
Estas recomendaciones están diseñadas para proporcionar una guía de línea base para un administrador. Todas las recomendaciones deben revisarse exhaustivamente antes de implementarlas en un entorno de producción.