Supervisión de Active Directory en busca de indicios de riesgo

Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 y Windows Server 2012.

Ley Número Cinco: La vigilancia eterna es el precio de la seguridad. - 10 Leyes inmutables de administración de seguridad

Un sistema de supervisión de registros de eventos sólido es una parte fundamental de cualquier diseño seguro de Active Directory. Muchos riesgos de seguridad informática podrían detectarse al principio en caso de que las víctimas aprobaron la supervisión y alerta del registro de eventos adecuado. Los informes independientes han apoyado largamente esta conclusión. Por ejemplo, el informe de vulneración de datos de Verizon 2009 indica:

"La aparente ineficacia de la supervisión de eventos y el análisis de registros sigue siendo un poco de un enigma. La oportunidad de detección está ahí; los investigadores señalaron que el 66 por ciento de las víctimas tenía suficientes evidencias disponibles dentro de sus registros para detectar la vulneración había sido más diligente en el análisis de estos recursos".

Esta falta de supervisión de los registros de eventos activos sigue siendo una debilidad coherente en muchos planes de defensa de seguridad de muchas empresas. El informe de vulneración de datos de Verizon de 2012 encontró que, aunque el 85 por ciento de las infracciones tardaron varias semanas en ser observados, el 84 por ciento de las víctimas tenían pruebas de la vulneración en sus registros de eventos.

Directiva de auditoría de Windows

A continuación se muestran vínculos al blog de soporte técnico oficial de Microsoft Enterprise. El contenido de estos blogs proporciona consejos, instrucciones y recomendaciones sobre la auditoría que le ayudarán a mejorar la seguridad de la infraestructura de Active Directory y son un recurso valioso al diseñar una directiva de auditoría.

Los vínculos siguientes proporcionan información sobre las mejoras en la auditoría de Windows en Windows 8 y Windows Server 2012 e información sobre la auditoría de AD DS en Windows Server 2008.

  • Novedades de auditoría de seguridad : proporciona información general sobre las nuevas características de auditoría de seguridad en Windows 8 y Windows Server 2012.
  • Guía paso a paso de auditoría de AD DS : describe la nueva característica de auditoría de Active Directory Domain Services (AD DS) en Windows Server 2008. También proporciona procedimientos para implementar esta nueva característica.

Categorías de auditoría de Windows

Antes de Windows Vista y Windows Server 2008, Windows tenía solo nueve categorías de directiva de auditoría de registro de eventos:

  • Eventos de inicio de sesión de cuenta
  • Administración de cuentas
  • Acceso al servicio de directorio
  • Eventos de inicio de sesión
  • Acceso a objetos
  • Cambio de directiva
  • Uso de privilegios
  • Seguimiento de procesos
  • Eventos del sistema

Estas nueve categorías de auditoría tradicionales constituyen una directiva de auditoría. Cada categoría de directiva de auditoría se puede habilitar para eventos Success, Failure o Success y Failure. Sus descripciones se incluyen en la sección siguiente.

Descripciones de categorías de directiva de auditoría

Las categorías de directiva de auditoría habilitan los siguientes tipos de mensajes de registro de eventos.

Auditar eventos de inicio de sesión de cuenta

Notifica cada instancia de una entidad de seguridad (por ejemplo, usuario, equipo o cuenta de servicio) que inicia sesión en un equipo en el que se usa otro equipo para validar la cuenta. Los eventos de inicio de sesión de cuenta se generan cuando se autentica una cuenta de entidad de seguridad de dominio en un controlador de dominio. La autenticación de un usuario local en un equipo local genera un evento de inicio de sesión que se registra en el registro de seguridad local. No se registran eventos de inicio de sesión de cuenta.

Esta categoría genera una gran cantidad de "ruido" porque Windows tiene constantemente cuentas que inician sesión en los equipos locales y remotos durante el curso normal del negocio. Sin embargo, cualquier plan de seguridad debe incluir el éxito y el error de esta categoría de auditoría.

Auditar la administración de cuentas

Esta configuración de auditoría determina si se debe realizar un seguimiento de la administración de usuarios y grupos. Por ejemplo, se debe realizar un seguimiento de los usuarios y grupos cuando se crea, cambia o elimina una cuenta de usuario o equipo, un grupo de seguridad o un grupo de distribución; cuando se cambia el nombre, deshabilitado o habilitado de una cuenta de usuario o equipo; o cuando se cambia una contraseña de usuario o equipo. Se puede generar un evento para usuarios o grupos que se agregan o quitan de otros grupos.

Auditar el acceso del servicio de directorio

Esta configuración de directiva determina si se audita el acceso de la entidad de seguridad a un objeto de Active Directory que tiene su propia lista de control de acceso del sistema (SACL) especificada. En general, esta categoría solo debe estar habilitada en controladores de dominio. Cuando está habilitada, esta configuración genera una gran cantidad de "ruido".

Auditar eventos de inicio de sesión

Los eventos de inicio de sesión se generan cuando se autentica una entidad de seguridad local en un equipo local. Los eventos de inicio de sesión registran los inicios de sesión de dominio que se producen en el equipo local. No se generan eventos de cierre de sesión de cuenta. Cuando está habilitado, los eventos de inicio de sesión generan una gran cantidad de "ruido", pero deben habilitarse de forma predeterminada en cualquier plan de auditoría de seguridad.

Auditar el acceso a objetos

Acceso a objetos puede generar eventos cuando se accede a objetos definidos posteriormente con auditoría habilitada (por ejemplo, Abierto, Lectura, Cambio de nombre, Eliminado o Cerrado). Una vez habilitada la categoría de auditoría principal, el administrador debe definir individualmente qué objetos tendrán habilitada la auditoría. Muchos objetos del sistema de Windows vienen con la auditoría habilitada, por lo que habilitar esta categoría normalmente comenzará a generar eventos antes de que el administrador haya definido alguno.

Esta categoría es muy "ruidosa" y generará cinco a diez eventos para cada acceso a objetos. Puede ser difícil para los administradores nuevos en la auditoría de objetos obtener información útil. Solo debe habilitarse cuando sea necesario.

Cambio de directiva de auditoría

Esta configuración de directiva determina si se auditan todas las incidencias de un cambio en las directivas de asignación de derechos de usuario, las directivas de Firewall de Windows, las directivas de confianza o los cambios en la directiva de auditoría. Esta categoría debe estar habilitada en todos los equipos. Genera muy poco ruido.

Auditar uso de privilegios

Hay docenas de derechos y permisos de usuario en Windows (por ejemplo, Iniciar sesión como un trabajo por lotes y Actuar como parte del sistema operativo). Esta configuración de directiva determina si se audita cada instancia de una entidad de seguridad mediante el ejercicio de un derecho de usuario o privilegios. Habilitar esta categoría da como resultado una gran cantidad de "ruido", pero puede ser útil para realizar un seguimiento de las cuentas de entidad de seguridad mediante privilegios elevados.

Auditar el seguimiento de procesos

Esta configuración de directiva determina si se audita información detallada de seguimiento de procesos para eventos como la activación del programa, la salida del proceso, la duplicación y el acceso indirecto a objetos. Resulta útil para el seguimiento de usuarios malintencionados y los programas que usan.

La habilitación del seguimiento de procesos de auditoría genera un gran número de eventos, por lo que normalmente se establece en Sin auditoría. Sin embargo, esta configuración puede proporcionar una gran ventaja durante una respuesta a incidentes del registro detallado de los procesos iniciados y la hora en que se iniciaron. En el caso de los controladores de dominio y otros servidores de infraestructura de rol único, esta categoría se puede activar de forma segura todo el tiempo. Los servidores de roles únicos no generan mucho tráfico de seguimiento de procesos durante el curso normal de sus tareas. Por lo tanto, se pueden habilitar para capturar eventos no autorizados si se producen.

Auditoría de eventos del sistema

Los eventos del sistema son casi una categoría genérica de capturas, registrando varios eventos que afectan al equipo, a su seguridad del sistema o al registro de seguridad. Incluye eventos para apagados y reinicios del equipo, errores de energía, cambios en la hora del sistema, inicializaciones de paquetes de autenticación, borrados de registros de auditoría, problemas de suplantación y un host de otros eventos generales. En general, habilitar esta categoría de auditoría genera una gran cantidad de "ruido", pero genera suficientes eventos muy útiles que es difícil de recomendar nunca no habilitarlo.

Directivas de auditoría avanzadas

A partir de Windows Vista y Windows Server 2008, Microsoft ha mejorado la forma en que se pueden realizar las selecciones de categorías de registro de eventos mediante la creación de subcategorías en cada categoría de auditoría principal. Las subcategorías permiten que la auditoría sea mucho más granular de lo que podría usar las categorías principales. Mediante el uso de subcategorías, solo puede habilitar partes de una categoría principal determinada y omitir la generación de eventos para los que no tiene ningún uso. Cada subcategoría de directiva de auditoría se puede habilitar para eventos correctos, erróneos, o correctos y erróneos.

Para enumerar todas las subcategorías de auditoría disponibles, revise el contenedor Directiva de auditoría avanzada en un objeto de directiva de grupo o escriba lo siguiente en un símbolo del sistema en cualquier equipo que ejecute Windows Server 2012, Windows Server 2008 R2 o Windows Server 2008, Windows 8, Windows 7 o Windows Vista:

auditpol /list /subcategory:*

Para obtener una lista de subcategorías de auditoría configuradas actualmente en un equipo que ejecute Windows Server 2012, Windows Server 2008 R2 o Windows 2008, escriba lo siguiente:

auditpol /get /category:*

En la captura de pantalla siguiente se muestra un ejemplo de auditpol.exe enumerar la directiva de auditoría actual.

Screenshot that shows an example of auditpol.exe listing the current audit policy.

Nota

La directiva de grupo no siempre notifica con precisión el estado de todas las directivas de auditoría habilitadas, mientras que auditpol.exe. Consulta Obtener la directiva de auditoría eficaz en Windows 7 y 2008 R2 para obtener más detalles.

Cada categoría principal tiene varias subcategorías. A continuación se muestra una lista de categorías, sus subcategorías y una descripción de sus funciones.

Descripciones de subcategorías de auditoría

Las subcategorías de directiva de auditoría habilitan los siguientes tipos de mensajes de registro de eventos:

Inicio de sesión de la cuenta

Validación de credenciales

Esta subcategoría notifica los resultados de las pruebas de validación sobre las credenciales enviadas para una solicitud de inicio de sesión de cuenta de usuario. Estos eventos se producen en el equipo autorizado para las credenciales. En el caso de las cuentas de dominio, tiene autorización el controlador de dominio, mientras que para las cuentas locales, la tiene el equipo local.

En entornos de dominio, la mayoría de los eventos de inicio de sesión de la cuenta se registran en el registro de seguridad de los controladores de dominio que son autoritativos para las cuentas de dominio. No obstante, estos eventos pueden producirse en otros equipos de la organización cuando se usan cuentas locales para iniciar sesión.

Auditar operaciones de vales de servicio Kerberos

Esta subcategoría informa de los eventos generados por los procesos de solicitud de vales de Kerberos en el controlador de dominio que es autoritativo para la cuenta de dominio.

Servicio de autenticación Kerberos

Esta subcategoría informa de los eventos generados por el servicio de autenticación Kerberos. Estos eventos se producen en el equipo autorizado para las credenciales.

Otros eventos de inicio de sesión de cuentas

Esta subcategoría informa de los eventos que se producen en respuesta a las credenciales enviadas para una solicitud de inicio de sesión de cuenta de usuario que no se relacionan con la validación de credenciales o vales de Kerberos. Estos eventos se producen en el equipo autorizado para las credenciales. En el caso de las cuentas de dominio, tiene autorización el controlador de dominio, mientras que para las cuentas locales, la tiene el equipo local.

En entornos de dominio, la mayoría de los eventos de inicio de sesión de cuenta se registran en el registro de seguridad de los controladores de dominio que son autoritativos para las cuentas de dominio. No obstante, estos eventos pueden producirse en otros equipos de la organización cuando se usan cuentas locales para iniciar sesión. Algunos ejemplos pueden incluir lo siguiente:

  • Desconexiones de sesión de Servicios de Escritorio remoto
  • Nuevas sesiones de Servicios de Escritorio remoto
  • Bloqueo y desbloqueo de una estación de trabajo
  • Invocación de un protector de pantalla
  • Descarte de un protector de pantalla
  • Detección de un ataque de reproducción de Kerberos, en el que se recibe una solicitud kerberos con información idéntica dos veces.
  • Acceso a una red inalámbrica por parte de una cuenta de usuario o de equipo
  • Acceso a una red 802.1x cableada por parte de una cuenta de usuario o de equipo

Administración de cuentas

Administración de cuentas de usuario

Esta subcategoría notifica cada evento de administración de cuentas de usuario, como cuando se crea, cambia o elimina una cuenta de usuario; Se cambia el nombre de una cuenta de usuario, se deshabilita o se habilita; o se establece o se cambia una contraseña. Si esta configuración de directiva de auditoría está habilitada, los administradores pueden realizar un seguimiento de eventos para detectar la creación malintencionada, accidental y autorizada de cuentas de usuario.

Administración de cuentas de equipo

Esta subcategoría informa de cada evento de administración de cuentas de equipo, como cuando se crea una cuenta de equipo, se cambia, se elimina, se cambia, se cambia, se deshabilita o se habilita.

Administración de grupos de seguridad

Esta subcategoría informa de cada evento de administración de grupos de seguridad, como cuando se crea, cambia o elimina un grupo de seguridad o cuando se agrega o quita un miembro de un grupo de seguridad. Si esta configuración de directiva de auditoría está habilitada, los administradores pueden realizar un seguimiento de eventos para detectar la creación malintencionada, accidental y autorizada de cuentas de grupo de seguridad.

Administración de grupos de distribución

Esta subcategoría informa de cada evento de administración de grupos de distribución, como cuando se crea, cambia o elimina un grupo de distribución o cuando se agrega o quita un miembro de un grupo de distribución. Si esta configuración de directiva de auditoría está habilitada, los administradores pueden realizar un seguimiento de eventos para detectar la creación malintencionada, accidental y autorizada de cuentas de grupo.

Administración de grupos de aplicaciones

Esta subcategoría informa de cada evento de administración de grupos de aplicaciones en un equipo, como cuando se crea, cambia o elimina un grupo de aplicaciones o cuando se agrega o quita un miembro de un grupo de aplicaciones. Si esta configuración de directiva de auditoría está habilitada, los administradores pueden realizar un seguimiento de eventos para detectar la creación malintencionada, accidental y autorizada de cuentas de grupo de aplicaciones.

Otros eventos de administración de cuentas

Esta subcategoría informa de otros eventos de administración de cuentas.

Seguimiento detallado de procesos

Creación de un proceso

Esta subcategoría informa de la creación de un proceso y el nombre del usuario o programa que lo creó.

Finalización del proceso

Esta subcategoría informa cuando finaliza un proceso.

Actividad DPAPI

Esta subcategoría informa de cifrar o descifrar llamadas a la interfaz de programación de aplicaciones de protección de datos (DPAPI). DPAPI se usa para proteger información secreta, como la contraseña almacenada y la información de clave.

Eventos RPC

Esta subcategoría notifica eventos de conexión de llamada a procedimiento remoto (RPC).

Acceso al servicio de directorio

Acceso al servicio de directorio

Esta subcategoría informa cuando se accede a un objeto de AD DS. Solo los objetos con SACL configurados hacen que se generen eventos de auditoría y solo cuando se accede a ellos de una manera que coincida con las entradas SACL. Estos eventos son similares a los eventos de acceso del servicio de directorio en versiones anteriores de Windows Server. Esta subcategoría solo se aplica a los controladores de dominio.

Cambios en el servicio de directorio

Esta subcategoría informa de cambios en los objetos de AD DS. Los tipos de cambios que se notifican son las operaciones de creación, modificación, movimiento y recuperación que se realizan en un objeto. La auditoría de cambios del servicio de directorio, si procede, indica los valores antiguos y nuevos de las propiedades modificadas de los objetos que se cambiaron. Solo los objetos con SACL hacen que se generen eventos de auditoría y solo cuando se accede a ellos de una manera que coincida con sus entradas SACL. Algunos objetos y propiedades no hacen que se generen eventos de auditoría debido a la configuración de la clase de objeto en el esquema. Esta subcategoría solo se aplica a los controladores de dominio.

Replicación de servicio de directorio

Esta subcategoría informa cuando comienza y finaliza la replicación entre dos controladores de dominio.

Replicación detallada del servicio de directorio

Esta subcategoría informa de información detallada sobre la información replicada entre controladores de dominio. Estos eventos pueden ser muy altos en volumen.

Inicio/cierre de sesión

Inicio de sesión

Esta subcategoría envía una notificación cuando un usuario intenta iniciar sesión en el sistema. Estos eventos se producen en el equipo al que se ha accedido. En el caso de los inicios de sesión interactivos, la generación de estos eventos se produce en el equipo en el que se ha iniciado sesión. Si un inicio de sesión de red tiene lugar para acceder a un recurso compartido, estos eventos se generan en el equipo que hospeda el recurso al que se ha accedido. Si esta opción está configurada en Sin auditoría, es difícil o imposible determinar a qué usuario ha accedido o ha intentado acceder a los equipos de la organización.

Servidor de directivas de redes

Esta subcategoría informa de los eventos generados por las solicitudes de acceso de usuario (NAP) y RADIUS (IAS). Estas solicitudes pueden ser Grant, Deny, Discard, Quarantine, Lock y Unlock. La auditoría de esta configuración dará como resultado un volumen medio o alto de registros en servidores NPS e IAS.

Modo principal de IPsec

Esta subcategoría informa de los resultados del protocolo de intercambio de claves de Internet (IKE) y el Protocolo de Internet autenticado (AuthIP) durante las negociaciones del modo principal.

Modo extendido IPsec

Esta subcategoría informa de los resultados de AuthIP durante las negociaciones del modo extendido.

Otros eventos de inicio de sesión o inicio de sesión

Esta subcategoría informa de otros eventos relacionados con el inicio de sesión y el inicio de sesión, como las desconexiones y reconexión de la sesión de Servicios de Escritorio remoto, el uso de RunAs para ejecutar procesos en una cuenta diferente y bloquear y desbloquear una estación de trabajo.

La opción de cierre de sesión

Esta subcategoría informa cuando un usuario cierra sesión en el sistema. Estos eventos se producen en el equipo al que se ha accedido. En el caso de los inicios de sesión interactivos, la generación de estos eventos se produce en el equipo en el que se ha iniciado sesión. Si un inicio de sesión de red tiene lugar para acceder a un recurso compartido, estos eventos se generan en el equipo que hospeda el recurso al que se ha accedido. Si esta opción está configurada en Sin auditoría, es difícil o imposible determinar a qué usuario ha accedido o ha intentado acceder a los equipos de la organización.

Bloqueo de cuenta

Esta subcategoría informa cuando la cuenta de un usuario está bloqueada como resultado de demasiados intentos de inicio de sesión erróneos.

Modo rápido de IPsec

Esta subcategoría informa de los resultados del protocolo IKE y AuthIP durante las negociaciones de modo rápido.

Inicio de sesión especial

Esta subcategoría informa cuando se usa un inicio de sesión especial. Un inicio de sesión especial es un inicio de sesión que tiene privilegios equivalentes de administrador y se puede usar para elevar un proceso a un nivel superior.

Cambio de directiva

Cambio de directiva de auditoría

Esta subcategoría informa de los cambios en la directiva de auditoría, incluidos los cambios de SACL.

Cambio de directiva de autenticación

Esta subcategoría informa de los cambios en la directiva de autenticación.

Cambio de directiva de autorización

Esta subcategoría informa de los cambios en la directiva de autorización, incluidos los cambios de permisos (DACL).

Cambio de directiva de Rule-Level mpSSVC

Esta subcategoría informa de los cambios en las reglas de directiva usadas por el Servicio de protección de Microsoft (MPSSVC.exe). Firewall de Windows usa este servicio.

Cambio de directiva de plataforma de filtrado

Esta subcategoría informa de la adición y eliminación de objetos de PMA, incluidos los filtros de inicio. Estos eventos pueden ser muy altos en volumen.

Otros eventos de cambio de directiva

Esta subcategoría informa de otros tipos de cambios de directiva de seguridad, como la configuración del módulo de plataforma segura (TPM) o los proveedores criptográficos.

Uso de privilegios

Uso de privilegios confidenciales

Esta subcategoría informa cuando una cuenta de usuario o servicio usa un privilegio confidencial. Un privilegio confidencial incluye los siguientes derechos de usuario: actuar como parte del sistema operativo, realizar copias de seguridad de archivos y directorios, crear un objeto de token, depurar programas, permitir que las cuentas de usuario y equipos sean de confianza para la delegación, generar auditorías de seguridad, suplantar a un cliente después de la autenticación, cargar y descargar controladores de dispositivo, administrar auditorías y registros de seguridad, modificar los valores del entorno de firmware, reemplace un token de nivel de proceso, restaure archivos y directorios y tome posesión de los archivos u otros objetos. La auditoría de esta subcategoría creará un gran volumen de eventos.

Uso de privilegios que no no distinguen

Esta subcategoría informa cuando una cuenta de usuario o servicio usa un privilegio que no distingue. Un privilegio que no no distingue incluye los siguientes derechos de usuario: acceder al Administrador de credenciales como autor de llamada de confianza, acceder a este equipo desde la red, agregar estaciones de trabajo al dominio, ajustar las cuotas de memoria de un proceso, permitir el inicio de sesión localmente, permitir el inicio de sesión a través de Servicios de Escritorio remoto, omitir la comprobación de recorrido, cambiar la hora del sistema, crear un archivo de página, crear objetos globales, crear objetos compartidos permanentes, crear vínculos simbólicos, denegar el acceso a este equipo desde la red, denegar el inicio de sesión como un trabajo por lotes, denegar el inicio de sesión como servicio, denegar el inicio de sesión localmente, denegar el inicio de sesión a través de Servicios de Escritorio remoto, forzar el apagado desde un sistema remoto, aumentar un espacio de trabajo de proceso, aumentar la prioridad de programación, bloquear páginas en la memoria, iniciar sesión como un trabajo por lotes, inicie sesión como servicio, modifique una etiqueta de objeto, realice tareas de mantenimiento de volumen, perfil de proceso único, rendimiento del sistema de perfiles, quite el equipo de la estación de acoplamiento, apague el sistema y sincronice los datos del servicio de directorio. La auditoría de esta subcategoría creará un gran volumen de eventos.

Otros eventos de uso de privilegios

Esta configuración de directiva de seguridad no se usa actualmente.

Acceso a objetos

Sistema de archivos

Esta subcategoría notifica cuándo se accede a los objetos del sistema de archivos. Solo los objetos del sistema de archivos con SACL hacen que se generen eventos de auditoría y solo cuando se accede a ellos de forma que coincidan con sus entradas SACL. Por sí mismo, esta configuración de directiva no provocará la auditoría de ningún evento. Determina si se audita el evento de un usuario que accede a un objeto de sistema de archivos que tiene una lista de control de acceso del sistema (SACL) especificada, lo que permite realizar la auditoría de forma eficaz.

Si la configuración de acceso a objetos de auditoría está configurada en Correcto, se genera una entrada de auditoría cada vez que un usuario accede correctamente a un objeto con una SACL especificada. Si esta configuración de directiva está configurada en Error, se genera una entrada de auditoría cada vez que un usuario produce un error en un intento de acceder a un objeto con una SACL especificada.

Registro

Esta subcategoría notifica cuándo se accede a los objetos del Registro. Solo los objetos del Registro con SACL hacen que se generen eventos de auditoría y solo cuando se accede a ellos de forma que coincidan con sus entradas SACL. Por sí mismo, esta configuración de directiva no provocará la auditoría de ningún evento.

Kernel (objeto)

Esta subcategoría informa cuando se accede a objetos kernel como procesos y exclusiones mutuas. Solo los objetos de kernel con SACL hacen que se generen eventos de auditoría y solo cuando se accede a ellos de forma que coincidan con sus entradas SACL. Normalmente, los objetos kernel solo se proporcionan SACL si las opciones de auditoría AuditBaseObjects o AuditBaseDirectories están habilitadas.

SAM

Esta subcategoría informa cuando se accede a los objetos de base de datos de autenticación del Administrador de cuentas de seguridad (SAM) locales.

Servicios de certificación

Esta subcategoría notifica cuándo se realizan las operaciones de Servicios de certificación.

Aplicación generada

Esta subcategoría informa cuando las aplicaciones intentan generar eventos de auditoría mediante las interfaces de programación de aplicaciones (API) de auditoría de Windows.

Controlar la manipulación

Esta subcategoría informa cuando se abre o cierra un identificador de un objeto. Solo los objetos con SACL hacen que estos eventos se generen y solo si la operación de identificador intentada coincide con las entradas SACL. Los eventos handle Manipulation solo se generan para los tipos de objeto en los que está habilitada la subcategoría de acceso a objetos correspondiente (por ejemplo, sistema de archivos o registro).

Recurso compartido de archivos

Esta subcategoría informa cuando se accede a un recurso compartido de archivos. Por sí mismo, esta configuración de directiva no provocará la auditoría de ningún evento. Determina si se audita el evento de un usuario que accede a un objeto de recurso compartido de archivos que tiene una lista de control de acceso del sistema (SACL) especificada, lo que permite realizar la auditoría de forma eficaz.

Filtrado de la colocación de paquetes de plataforma

Esta subcategoría informa cuando la Plataforma de filtrado de Windows (PMA) quita los paquetes. Estos eventos pueden ser muy altos en volumen.

Filtrado de la conexión de la plataforma

Esta subcategoría informa cuando EL PMA permite o bloquea las conexiones. Estos eventos pueden ser altos en volumen.

Otros eventos de acceso a objetos

Esta subcategoría informa de otros eventos relacionados con el acceso a objetos, como trabajos del Programador de tareas y objetos COM+.

Sistema

Cambio de estado de seguridad

Esta subcategoría informa de los cambios en el estado de seguridad del sistema, como cuando se inicia y se detiene el subsistema de seguridad.

Extensión del sistema de seguridad

Esta subcategoría informa de la carga de código de extensión, como paquetes de autenticación por parte del subsistema de seguridad.

Integridad del sistema

Esta subcategoría informa sobre infracciones de integridad del subsistema de seguridad.

Controlador IPsec

Esta subcategoría informa sobre las actividades del controlador de seguridad del protocolo de Internet (IPsec).

Otros eventos del sistema

Esta subcategoría informa sobre otros eventos del sistema.

Para obtener más información sobre las descripciones de subcategoría, consulte la herramienta Administrador de cumplimiento de seguridad de Microsoft.

Cada organización debe revisar las categorías y subcategorías cubiertas anteriores y habilitar las que mejor se adapten a su entorno. Los cambios en la directiva de auditoría siempre se deben probar antes de la implementación en un entorno de producción.

Configuración de la directiva de auditoría de Windows

La directiva de auditoría de Windows se puede establecer mediante directivas de grupo, auditpol.exe, API o ediciones del Registro. Los métodos recomendados para configurar la directiva de auditoría para la mayoría de las empresas son directiva de grupo o auditpol.exe. La configuración de la directiva de auditoría de un sistema requiere permisos de cuenta de nivel de administrador o los permisos delegados adecuados.

Nota

El privilegio Administrar auditoría y registro de seguridad debe concederse a las entidades de seguridad (los administradores lo tienen de forma predeterminada) para permitir la modificación de las opciones de auditoría de acceso a objetos de recursos individuales, como archivos, objetos de Active Directory y claves del Registro.

Establecer la directiva de auditoría de Windows mediante la directiva de grupo

Para establecer la directiva de auditoría mediante directivas de grupo, configure las categorías de auditoría adecuadas ubicadas en Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Directiva de auditoría (vea la siguiente captura de pantalla para ver un ejemplo del Editor de directivas de grupo local (gpedit.msc)). Cada categoría de directiva de auditoría se puede habilitar para los eventos Success, Failure o Success y Failure.

monitoring AD

La directiva de auditoría avanzada se puede establecer mediante Active Directory o directivas de grupo local. Para establecer la directiva de auditoría avanzada, configure las subcategorías adecuadas ubicadas en Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directiva de auditoría avanzada (vea la siguiente captura de pantalla para ver un ejemplo del Editor de directivas de grupo local (gpedit.msc)). Cada subcategoría de directiva de auditoría se puede habilitar para los eventos Success, Failure o Success y Failure .

Screenshot that shows an example from the Local Group Policy Editor (gpedit.msc).

Establecer la directiva de auditoría de Windows mediante Auditpol.exe

Auditpol.exe (para establecer la directiva de auditoría de Windows) se introdujo en Windows Server 2008 y Windows Vista. Inicialmente, solo se podía usar auditpol.exe para establecer la directiva de auditoría avanzada, pero la directiva de grupo se puede usar en Windows Server 2012, Windows Server 2008 R2 o Windows Server 2008, Windows 8 y Windows 7.

Auditpol.exe es una utilidad de línea de comandos. La sintaxis es la siguiente:

auditpol /set /<Category|Subcategory>:<audit category> /<success|failure:> /<enable|disable>

Auditpol.exe ejemplos de sintaxis:

auditpol /set /subcategory:"user account management" /success:enable /failure:enable

auditpol /set /subcategory:"logon" /success:enable /failure:enable

auditpol /set /subcategory:"IPSEC Main Mode" /failure:enable

Nota

Auditpol.exe establece la directiva de auditoría avanzada localmente. Si la directiva local entra en conflicto con Active Directory o la directiva de grupo local, la configuración de directiva de grupo suele prevalecer sobre la configuración de auditpol.exe. Cuando existen varios conflictos de directivas locales o de grupo, solo prevalecerá una directiva (es decir, reemplazar). Las directivas de auditoría no se combinarán.

Scripting Auditpol

Microsoft proporciona un script de ejemplo para los administradores que desean establecer la directiva de auditoría avanzada mediante un script en lugar de escribir manualmente en cada comando de auditpol.exe.

Nota La directiva de grupo no siempre notifica con precisión el estado de todas las directivas de auditoría habilitadas, mientras que auditpol.exe. Consulta Obtener la directiva de auditoría eficaz en Windows 7 y Windows 2008 R2 para obtener más detalles.

Otros comandos auditpol

Auditpol.exe se puede usar para guardar y restaurar una directiva de auditoría local y para ver otros comandos relacionados con la auditoría. Estos son los otros comandos auditpol .

auditpol /clear - Se usa para borrar y restablecer las directivas de auditoría locales.

auditpol /backup /file:<filename> - Se usa para realizar una copia de seguridad de una directiva de auditoría local actual en un archivo binario.

auditpol /restore /file:<filename> - Se usa para importar un archivo de directiva de auditoría guardado anteriormente en una directiva de auditoría local.

auditpol /<get/set> /option:<CrashOnAuditFail> /<enable/disable> - Si esta configuración de directiva de auditoría está habilitada, hace que el sistema se detenga inmediatamente (con el mensaje STOP: C0000244 {Audit Failed}) si una auditoría de seguridad no se puede registrar por ningún motivo. Normalmente, un evento no se puede registrar cuando el registro de auditoría de seguridad está lleno y el método de retención especificado para el registro de seguridad es No sobrescribir eventos o sobrescribir eventos por días. Normalmente, solo lo habilitan los entornos que necesitan mayor garantía de que el registro de seguridad es el registro. Si está habilitado, los administradores deben vigilar detenidamente el tamaño del registro de seguridad y rotar los registros según sea necesario. También se puede establecer con la directiva de grupo modificando la opción de seguridad Auditar: Apagar el sistema inmediatamente si no se pueden registrar las auditorías de seguridad (default=disabled).

auditpol /<get/set> /option:<AuditBaseObjects> /<enable/disable> : esta configuración de directiva de auditoría determina si se audita el acceso de los objetos del sistema global. Si esta directiva está habilitada, hace que los objetos del sistema, como las exclusión mutuas, los eventos, los semáforos y los dispositivos DOS se creen con una lista predeterminada de control de acceso al sistema (SACL). La mayoría de los administradores consideran la posibilidad de auditar objetos del sistema global para que sean demasiado "ruidosos", y solo lo habilitarán si se sospecha piratería malintencionada. Solo los objetos con nombre reciben una SACL. Si la directiva de auditoría de auditoría de acceso a objetos (o subcategoría de auditoría de objetos kernel) también está habilitada, se audita el acceso a estos objetos del sistema. Al configurar esta configuración de seguridad, los cambios no surtirán efecto hasta que reinicie Windows. Esta directiva también se puede establecer con la directiva de grupo modificando la opción de seguridad Auditar el acceso de los objetos del sistema global (default=disabled).

auditpol /<get/set> /option:<AuditBaseDirectories> /<enable/disable> - Esta configuración de directiva de auditoría especifica que los objetos kernel con nombre (como las exclusión mutua y los semáforos) se van a proporcionar SACL cuando se crean. AuditBaseDirectories afecta a los objetos contenedor mientras auditBaseObjects afecta a los objetos que no pueden contener otros objetos.

auditpol /<get/set> /option:<FullPrivilegeAuditing> /<enable/disable> - Esta configuración de directiva de auditoría especifica si el cliente genera un evento cuando uno o varios de estos privilegios se asignan a un token de seguridad de usuario: AssignPrimaryTokenPrivilege, AuditPrivilege, BackupPrivilege, CreateTokenPrivilege, DebugPrivilege, EnableDelegationPrivilege, ImpersonatePrivilege, LoadDriverPrivilege, RestorePrivilege, SecurityPrivilege, SystemEnvironmentPrivilege, TakeOwnershipPrivilege y TcbPrivilege. Si esta opción no está habilitada (default=Disabled), no se registran los privilegios BackupPrivilege y RestorePrivilege. La habilitación de esta opción puede hacer que el registro de seguridad sea extremadamente ruidoso (a veces cientos de eventos por segundo) durante una operación de copia de seguridad. Esta directiva también se puede establecer con la directiva de grupo modificando la opción de seguridad Auditar: Auditar el uso de privilegios de copia de seguridad y restauración.

Nota

Aquí se ha tomado parte de microsoft Audit Option Type (Tipo de opción de auditoría de Microsoft) y de la herramienta Microsoft SCM.

Aplicación de auditoría tradicional o auditoría avanzada

En Windows Server 2012, Windows Server 2008 R2, Windows Server 2008, Windows 8, Windows 7 y Windows Vista, los administradores pueden elegir habilitar las nueve categorías tradicionales o usar las subcategorías. Es una opción binaria que se debe realizar en cada sistema Windows. Las categorías principales se pueden habilitar o las subcategorías, no pueden ser ambas.

Para evitar que la directiva de categoría tradicional heredada sobrescriba subcategorías de directiva de auditoría, debe habilitar la configuración de subcategoría de directiva de auditoría (Windows Vista o posterior) para invalidar la configuración de directiva de directiva de auditoría ubicada en Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Opciones de seguridad.

Se recomienda habilitar y configurar las subcategorías en lugar de las nueve categorías principales. Esto requiere que se habilite una configuración de directiva de grupo (para permitir que las subcategorías invaliden las categorías de auditoría) junto con la configuración de las distintas subcategorías que admiten directivas de auditoría.

Las subcategorías de auditoría se pueden configurar mediante varios métodos, como la directiva de grupo y el programa de línea de comandos, auditpol.exe.

Pasos siguientes