Supervisión de Active Directory en busca de indicios de riesgo

Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 y Windows Server 2012.

Ley número cinco: la vigilancia eterna es el precio de la seguridad. - 10 leyes inmutables sobre la administración de seguridad

Un sistema sólido de supervisión de registros de eventos es una parte fundamental de cualquier diseño seguro de Active Directory. Muchos riesgos para la seguridad informática podrían detectarse en una fase temprana del suceso si los objetivos pusieran en marcha una supervisión y alerta adecuadas del registro de eventos. Informes independientes apoyan esta conclusión desde hace tiempo. Por ejemplo, el informe de vulneración de datos de Verizon 2009 indica:

"La aparente ineficacia de la supervisión de eventos y el análisis de registros sigue siendo en cierto modo un enigma. La oportunidad de detección está ahí; los investigadores observaron que el 66 % de las víctimas disponían de pruebas suficientes en sus registros para detectar la vulneración si hubieran sido más diligentes en el análisis de dichos recursos".

Esta falta de supervisión de los registros de eventos activos sigue siendo un punto débil constante en los planes de defensa de la seguridad de muchas empresas. El informe de vulneración de datos de Verizon 2012 reveló que, aunque el 85 % de las infracciones tardaron varias semanas en advertirse, el 84 % de las víctimas tenían pruebas de la infracción en sus registros de eventos.

Directiva de auditoría de Windows

A continuación se muestran vínculos al blog oficial de soporte para empresas de Microsoft. El contenido de estos blogs proporciona consejos, instrucciones y recomendaciones sobre la auditoría que le ayudarán a mejorar la seguridad de la infraestructura de Active Directory y son un recurso valioso al diseñar una directiva de auditoría.

• La auditoría global de acceso a objetos es mágica: describe un mecanismo de control denominado Configuración de directiva de auditoría avanzada que se agregó a Windows 7 y Windows Server 2008 R2 y le permite establecer qué tipos de datos desea auditar sin hacer malabarismos con scripts y auditpol.exe.
• Introducción a los cambios de auditoría en Windows 2008: presenta los cambios de auditoría realizados en Windows Server 2008.
• Interesantes trucos de auditoría en Vista y 2008: explica características interesantes de auditoría de Windows Vista y Windows Server 2008 que se pueden usar para solucionar problemas o ver lo que sucede en su entorno.
• Ventanilla única para la auditoría en Windows Server 2008 y Windows Vista: contiene una recopilación de las características de auditoría y la información contenida en Windows Server 2008 y Windows Vista.

Los vínculos siguientes proporcionan información sobre las mejoras en la auditoría de Windows en Windows 8 y Windows Server 2012, así como información sobre la auditoría de AD DS en Windows Server 2008.

• Novedades en la auditoría de seguridad: proporciona información general sobre las nuevas características de auditoría de seguridad en Windows 8 y Windows Server 2012.
• Guía paso a paso para la auditoría de AD DS: describe la nueva característica de auditoría de Active Directory Domain Services (AD DS) en Windows Server 2008. También proporciona procedimientos para implementar esta nueva característica.

Categorías de auditoría de Windows

Antes de Windows Vista y Windows Server 2008, Windows tenía solo nueve categorías de directiva de auditoría del registro de eventos:

• Eventos de inicio de sesión de cuenta
• Administración de cuentas
• Acceso del servicio de directorio
• Eventos de inicio de sesión
• Acceso a objetos
• Cambio de directiva
• Uso de privilegios
• Seguimiento del proceso
• Eventos del sistema

Estas nueve categorías de auditoría tradicionales conforman una directiva de auditoría. Cada categoría de directiva de auditoría se puede habilitar para eventos correctos, erróneos, o correctos y erróneos. Sus descripciones se incluyen en la sección siguiente.

Descripciones de las categorías de la directiva de auditoría

Las categorías de directiva de auditoría habilitan los siguientes tipos de mensajes de registro de eventos.

Auditoría de eventos de inicio de sesión de cuenta

Los eventos de inicio de sesión de la cuenta de auditoría informan de cada instancia de una entidad de seguridad (por ejemplo, cuenta de usuario, de equipo o de servicio) que inicia o cierra sesión en un equipo cuando se usa otro equipo para validar la cuenta. Los eventos de inicio de sesión de cuenta se generan cuando una cuenta de entidad de seguridad de dominio se autentica en un controlador de dominio. La autenticación de un usuario local en un equipo local genera un evento de inicio de sesión que se registra en el registro de seguridad local. No se registran eventos de cierre de sesión de cuenta.

Esta categoría genera una gran cantidad de "ruido" porque Windows tiene constantemente cuentas que inician y cierran sesión en los equipos locales y remotos durante el curso normal del negocio. Aun así, cualquier plan de seguridad debe incluir el éxito y el error de esta categoría de auditoría.

Auditoría de la administración de cuentas

Esta configuración de auditoría determina si se debe realizar un seguimiento de la administración de usuarios y grupos. Por ejemplo, se debe realizar un seguimiento de los usuarios y grupos cuando se crea, cambia o elimina una cuenta de usuario o equipo, un grupo de seguridad o un grupo de distribución. También se debe hacer un seguimiento de los usuarios y grupos cuando se cambia el nombre, se desactiva o se activa una cuenta de usuario o de equipo, y cuando se cambia la contraseña de un usuario o de un equipo. Se puede generar un evento para usuarios o grupos que se agregan a otros grupos o se quitan de estos.

Auditar el acceso del servicio de directorio

Esta configuración de directiva determina si se audita el acceso de la entidad de seguridad a un objeto de Active Directory que tiene su propia lista de control de acceso del sistema (SACL) especificada. En general, esta categoría solo debe estar habilitada en los controladores de dominio. Esta configuración genera una gran cantidad de "ruido" si está habilitada.

Auditoría de eventos de inicio de sesión

Los eventos de inicio de sesión se generan cuando una entidad de seguridad se autentica en un equipo local. Los eventos de inicio de sesión registran los inicios de sesión de dominio que se producen en el equipo local. No se generan eventos de cierre de sesión de cuenta. Cuando está activada, Logon Events genera mucho "ruido", pero a pesar de ello esta directiva debería estar activada de manera predeterminada en cualquier plan de auditoría de seguridad.

Auditoría del acceso a objetos

El acceso a objetos puede generar eventos cuando se accede a objetos definidos posteriormente con la auditoría habilitada (por ejemplo, Abierto, Leído, Nombre cambiado, Eliminado o Cerrado). Una vez habilitada la categoría de auditoría principal, el administrador debe definir individualmente qué objetos tendrán habilitada la auditoría. Muchos objetos del sistema Windows vienen con la auditoría habilitada, por lo que la habilitación de esta categoría normalmente comenzará a generar eventos antes de que el administrador haya definido alguno.

Esta categoría es muy "ruidosa" y generará de 5 a 10 eventos para cada acceso a objetos. Para los administradores que se inician en la auditoría de objetos puede resultar difícil obtener información útil. Solo debe habilitarse cuando sea necesario.

Auditoría de cambio de directiva

Esta configuración de directiva determina si se audita cada incidencia de un cambio en las directivas de asignación de derechos de usuario, las directivas del Firewall de Windows, las directivas de confianza o los cambios en la directiva de auditoría. Esta categoría debe estar habilitada en todos los equipos. Genera muy poco "ruido".

Auditoría del uso de privilegios

Hay decenas de derechos y permisos de usuario en Windows (por ejemplo, Iniciar sesión como trabajo por lotes y Actuar como parte del sistema operativo). Esta configuración de directiva determina si se audita cada instancia de una entidad de seguridad mediante el ejercicio de un derecho de usuario o privilegio. La habilitación de esta categoría da como resultado una gran cantidad de "ruido", pero puede ser útil para realizar un seguimiento de las cuentas de entidad de seguridad mediante privilegios elevados.

Auditoría del seguimiento de procesos

Esta configuración de directiva determina si se debe auditar la información detallada de seguimiento de procesos para eventos como la activación de programas, la salida de procesos, la duplicación de controladores y el acceso indirecto a objetos. Resulta útil para el seguimiento de usuarios malintencionados y los programas que usan.

La habilitación de la auditoría del seguimiento de procesos genera un gran número de eventos, por lo que normalmente se establece en Sin auditoría. Sin embargo, esta configuración puede ser de gran beneficio durante una respuesta a incidentes a partir del registro detallado de los procesos iniciados y la hora en que se iniciaron. En el caso de los controladores de dominio y otros servidores de infraestructura de rol único, esta categoría se puede activar de forma segura todo el tiempo. Los servidores de rol único no generan mucho tráfico de seguimiento de procesos durante el curso normal de sus tareas. Por lo tanto, se pueden habilitar para capturar eventos no autorizados si se producen.

Auditoría de eventos del sistema

Los eventos del sistema son casi una categoría genérica comodín, que registra diversos eventos que afectan al equipo, a la seguridad de su sistema o al registro de seguridad. Incluye eventos para apagados y reinicios del equipo, errores de alimentación, cambios en la hora del sistema, inicializaciones de paquetes de autenticación, borrados de registros de auditoría, problemas de suplantación y otros muchos eventos generales. En general, la habilitación de esta categoría de auditoría genera una gran cantidad de "ruido", pero dada la cantidad de eventos muy útiles que genera, resulta difícil recomendar alguna vez que no se habilite.

Directivas de auditoría avanzada

A partir de Windows Vista® y Windows Server 2008, Microsoft mejoró la forma en que se realizan las selecciones de categorías de los registros de eventos mediante la creación de subcategorías de cada categoría de auditoría principal. Las subcategorías permiten que la auditoría sea mucho más detallada de lo que podría ser si se usaran las categorías principales. Mediante el uso de subcategorías, puede activar solo partes de una categoría principal concreta y omitir la generación de eventos que no sean útiles. Cada subcategoría de directiva de auditoría se puede habilitar para eventos correctos, erróneos, o correctos y erróneos.

Para obtener una lista de todas las subcategorías de auditoría disponibles, revise el contenedor Directiva de auditoría avanzada en un objeto de directiva de grupo o escriba el siguiente comando en cualquier equipo que ejecute Windows Server 2012, Windows Server 2008 R2, Windows Server 2008, Windows 8, Windows 7 o Windows Vista:

auditpol /list /subcategory:*

Para obtener una lista de subcategorías de auditoría configuradas actualmente en un equipo que ejecuta Windows Server 2012, Windows Server 2008 R2 o Windows 2008, escriba el siguiente comando:

auditpol /get /category:*

En la captura de pantalla siguiente se muestra un ejemplo de auditpol.exe que enumera la directiva de auditoría actual.

Nota:

La directiva de grupo no siempre informa con precisión del estado de todas las directivas de auditoría activadas, mientras que auditpol.exe sí lo hace. Consulte Obtención de una directiva de auditoría eficaz en Windows 7 y 2008 R2 para obtener más información.

Cada categoría principal tiene varias subcategorías. A continuación se muestra una lista de categorías, sus subcategorías y una descripción de sus funciones.

Descripciones de subcategorías de auditoría

Las subcategorías de directiva de auditoría habilitan los siguientes tipos de mensajes de registro de eventos:

Inicio de sesión de la cuenta

Validación de credenciales

Esta subcategoría notifica los resultados de las pruebas de validación sobre las credenciales enviadas para una solicitud de inicio de sesión de cuenta de usuario. Estos eventos se producen en el equipo autorizado para las credenciales. En el caso de las cuentas de dominio, tiene autorización el controlador de dominio, mientras que para las cuentas locales, la tiene el equipo local.

En los entornos de dominio, la mayoría de los eventos de inicio de sesión de cuenta se registran en el registro de seguridad de los controladores de dominio con autoridad para las cuentas de dominio. No obstante, estos eventos pueden producirse en otros equipos de la organización cuando se usan cuentas locales para iniciar sesión.

Auditar operaciones de vales de servicio Kerberos

Esta subcategoría informa de los eventos generados por los procesos de solicitud de vales de Kerberos en el controlador de dominio que tiene autoridad para la cuenta de dominio.

Servicio de autenticación Kerberos

Esta subcategoría informa de los eventos generados por el servicio de autenticación de Kerberos. Estos eventos se producen en el equipo autorizado para las credenciales.

Otros eventos de inicio de sesión de cuentas

Esta subcategoría informa de los eventos que se producen en respuesta a las credenciales enviadas para una solicitud de inicio de sesión de cuenta de usuario que no está relacionada con la validación de credenciales ni los vales de Kerberos. Estos eventos se producen en el equipo autorizado para las credenciales. En el caso de las cuentas de dominio, tiene autorización el controlador de dominio, mientras que para las cuentas locales, la tiene el equipo local.

En los entornos de dominio, la mayoría de los eventos de inicio de sesión de cuenta se producen en el registro de seguridad de los controladores de dominio con autoridad para las cuentas de dominio. No obstante, estos eventos pueden producirse en otros equipos de la organización cuando se usan cuentas locales para iniciar sesión. Algunos ejemplos pueden incluir lo siguiente:

• Desconexiones de sesión de Servicios de Escritorio remoto
• Nuevas sesiones de Servicios de Escritorio remoto
• Bloqueo y desbloqueo de una estación de trabajo
• Invocación de un protector de pantalla
• Descarte de un protector de pantalla
• Detección de un ataque de reproducción Kerberos, en la que se recibió dos veces una solicitud de Kerberos con información idéntica.
• Acceso a una red inalámbrica por parte de una cuenta de usuario o de equipo
• Acceso a una red 802.1x cableada por parte de una cuenta de usuario o de equipo

Administración de cuentas

Administración de cuentas de usuario

Esta subcategoría notifica cada evento de administración de cuentas de usuario, como:

• Cuenta de usuario creada, modificada o eliminada
• Cuenta de usuario deshabilitada, habilitada o cuyo nombre se ha cambiado
• Contraseña establecida o cambiada

Si habilita esta configuración de directiva de auditoría, los administradores pueden realizar un seguimiento de los eventos para detectar la creación malintencionada, accidental y autorizada de cuentas de usuario.

Administración de cuentas de equipo

Esta subcategoría informa de cada evento de administración de cuentas de equipo; por ejemplo, cuando se crea, cambia, elimina, habilita o se deshabilita una cuenta de equipo y cuando se le cambia el nombre.

Administración de grupos de seguridad

Esta subcategoría informa de cada evento de administración de grupos de seguridad; por ejemplo, cuando se crea, modifica o elimina un grupo de seguridad o cuando se agrega un miembro a un grupo de seguridad, o se le quita. Si habilita esta configuración de directiva de auditoría, los administradores pueden realizar un seguimiento de los eventos para detectar la creación malintencionada, accidental y autorizada de cuentas de grupo de seguridad.

Administración de grupos de distribución

Esta subcategoría informa de cada evento de administración de grupos de distribución; por ejemplo, cuando se crea, modifica o elimina un grupo de distribución o cuando se agrega un miembro a un grupo de distribución, o se le quita. Si habilita esta configuración de directiva de auditoría, los administradores pueden realizar un seguimiento de los eventos para detectar la creación malintencionada, accidental y autorizada de cuentas de grupo.

Administración de grupos de aplicaciones

Esta subcategoría envía una notificación de cada evento de administración de grupos de aplicación; por ejemplo, cuando se crea, modifica o elimina un grupo de aplicaciones o cuando se agrega un miembro a un grupo de aplicaciones, o se le quita. Si habilita esta configuración de directiva de auditoría, los administradores pueden realizar un seguimiento de los eventos para detectar la creación malintencionada, accidental y autorizada de cuentas de grupos de aplicaciones.

Otros eventos de administración de cuentas

Esta subcategoría informa de otros eventos de administración de cuentas.

Seguimiento detallado de procesos

La supervisión detallada del seguimiento de procesos incluye la creación y la finalización de los procesos.

Creación de un proceso

Esta subcategoría informa de la creación de un proceso y el nombre del programa o el usuario que lo creó.

Finalización del proceso

Esta subcategoría informa del momento en que finaliza un proceso.

Actividad DPAPI

Esta subcategoría informa del cifrado o descifrado de llamadas en la interfaz de programación de aplicaciones de protección de datos (DPAPI). DPAPI se utiliza para proteger información confidencial, como son las contraseñas almacenadas o la información clave.

Eventos de RPC

Esta subcategoría informa de eventos de conexión de llamada a procedimiento remoto (RPC).

Acceso del servicio de directorio

Acceso del servicio de directorio

Esta subcategoría envía una notificación cuando se accede a un objeto de AD DS. Solo los objetos con SACL configuradas provocan que se generen eventos de auditoría, y únicamente cuando se accede a ellas de una forma que se ajuste a sus entradas de SACL. Estos eventos se parecen a los eventos de acceso del servicio de directorio en versiones anteriores de Windows Server. Esta subcategoría solo se aplica a los controladores de dominio.

Cambios de servicio de directorio

Esta subcategoría informa de cambios en los objetos de AD DS. Los tipos de cambios sobre los que se informa son operaciones de creación, modificación, movimiento y recuperación en un objeto. Esta auditoría, cuando procede, indica los valores antiguos y nuevos de las propiedades modificadas de los objetos que se hayan cambiado. Solo los objetos con SACL provocan que se generen eventos de auditoría y únicamente cuando se accede a ellos de una forma que se ajuste a sus entradas de SACL. Algunos objetos y propiedades no hacen que se generen eventos de auditoría debido a la configuración de la clase de objeto en el esquema. Esta subcategoría solo se aplica a los controladores de dominio.

Replicación de servicio de directorio

Esta subcategoría informa de cuándo empieza y cuándo termina la replicación entre dos controladores de dominio.

Replicación de servicio de directorio detallada

Esta subcategoría proporciona información detallada sobre la información replicada entre los controladores de dominio. Estos eventos pueden ser de gran volumen.

Inicio/cierre de sesión

Inicio de sesión

Esta subcategoría envía una notificación cuando un usuario intenta iniciar sesión en el sistema. Estos eventos se producen en el equipo al que se ha accedido. En el caso de los inicios de sesión interactivos, la generación de estos eventos se produce en el equipo en el que se ha iniciado sesión. Si un inicio de sesión de red tiene lugar para acceder a un recurso compartido, estos eventos se generan en el equipo que hospeda el recurso al que se ha accedido. Si configura esta opción en Sin auditoría, resultará difícil o imposible determinar qué usuario ha accedido o intentado acceder a los equipos de la organización.

Servidor de directivas de redes

Esta subcategoría informa de los eventos generados por las solicitudes de acceso de usuario RADIUS (IAS) y Protección de acceso a redes (NAP). Estas solicitudes pueden ser Conceder, Denegar, Descartar, Cuarentena, Bloquear y Desbloquear. La auditoría de esta configuración dará como resultado un volumen medio o alto de registros en servidores NPS e IAS.

Modo principal de IPsec

Esta subcategoría informa de los resultados del protocolo de Intercambio de claves de Internet (IKE) y del Protocolo de Internet autenticado (AuthIP) durante las negociaciones del modo principal.

Modo extendido de IPsec

Esta subcategoría informa de los resultados de AuthIP durante las negociaciones del modo extendido.

Otros eventos de inicio y cierre de sesión

Esta subcategoría informa de otros eventos relacionados con el inicio o el cierre de sesión, como las desconexiones y reconexiones de sesión de Servicios de Escritorio remoto, mediante RunAs para ejecutar procesos en una cuenta diferente, y el bloqueo y desbloqueo de una estación de trabajo.

La opción de cierre de sesión

Esta subcategoría envía una notificación cuando un usuario cierra la sesión del sistema. Estos eventos se producen en el equipo al que se ha accedido. En el caso de los inicios de sesión interactivos, la generación de estos eventos se produce en el equipo en el que se ha iniciado sesión. Si un inicio de sesión de red tiene lugar para acceder a un recurso compartido, estos eventos se generan en el equipo que hospeda el recurso al que se ha accedido. Si configura esta opción en Sin auditoría, resultará difícil o imposible determinar qué usuario ha accedido o intentado acceder a los equipos de la organización.

Bloqueo de cuenta

Esta subcategoría envía una notificación cuando se bloquea la cuenta de un usuario como resultado de demasiados intentos de inicio de sesión incorrectos.

Modo rápido de IPsec

Esta subcategoría informa de los resultados del protocolo IKE y AuthIP durante las negociaciones de modo rápido.

Inicio de sesión especial

Esta subcategoría envía una notificación cuando se usa un inicio de sesión especial. Un inicio de sesión especial es un inicio de sesión con privilegios equivalentes a los de un administrador y que se puede usar para elevar un proceso a un nivel superior.

Cambio de directiva

Cambio de directiva de auditoría

Esta subcategoría informa de los cambios en la directiva de auditoría, incluidos los cambios de SACL.

Cambio de directiva de autenticación

Esta subcategoría informa de los cambios en la directiva de autenticación.

Cambio de directiva de autorización

Esta subcategoría informa de los cambios en la directiva de autorización, incluidos los cambios en los permisos (DACL).

Cambio de directiva del nivel de reglas de MPSSVC

Esta subcategoría informa de los cambios en las reglas de directiva usadas por el Servicio de protección de Microsoft (MPSSVC.exe). Firewall de Windows usa este servicio.

Cambio de directiva de plataforma de filtrado

Esta subcategoría informa de la adición y eliminación de objetos de WFP, incluidos los filtros de inicio. Estos eventos pueden ser de gran volumen.

Otros eventos de cambio de directiva

Esta subcategoría informa de otros tipos de cambios de directiva de seguridad, como la configuración del Módulo de plataforma segura (TPM) o los proveedores criptográficos.

Uso de privilegios

El uso de privilegios cubre tanto los privilegios confidenciales como los no confidenciales.

Uso de privilegios confidenciales

Esta subcategoría envía una notificación cuando una cuenta de usuario o un servicio utiliza un privilegio confidencial. Un privilegio confidencial incluye los siguientes derechos de usuario:

• Actuar como parte del sistema operativo
• Hacer copias de seguridad de archivos y directorios
• Crear un objeto de token, depurar programas
• Habilitar confianza con las cuentas de usuario y de equipo para delegación
• Generar auditorías de seguridad, suplantar a un cliente después de la autenticación
• Cargar y descargar controladores de dispositivo
• Administrar la auditoría y el registro de seguridad
• Modificar valores de entorno firmware
• Reemplazar un token de nivel de proceso, restaurar archivos y directorios
• Tomar posesión de archivos y otros objetos.

La auditoría de esta subcategoría creará un gran volumen de eventos.

Uso de privilegios no confidenciales

Esta subcategoría envía una notificación cuando una cuenta de usuario o un servicio utiliza un privilegio no confidencial. Un privilegio no confidencial incluye los siguientes derechos de usuario:

• Obtener acceso al administrador de credenciales como un llamador de confianza
• Obtener acceso a este equipo desde la red
• Agregar estaciones de trabajo al dominio
• Ajustar las cuotas de la memoria para un proceso
• Permitir el inicio de sesión local
• Permitir inicio de sesión a través de Servicios de Escritorio remoto
• Omitir comprobación de recorrido
• Cambiar la hora del sistema
• Crear un archivo de paginación
• Crear objetos globales
• Crear objetos compartidos permanentes
• Crear vínculos simbólicos
• Denegar el acceso a este equipo desde la red
• Denegar el inicio de sesión como trabajo por lotes
• Denegar el inicio de sesión como servicio
• Denegar el inicio de sesión localmente
• Denegar inicio de sesión a través de Servicios de Escritorio remoto
• Forzar cierre desde un sistema remoto
• Aumentar el espacio de trabajo de un proceso
• Aumentar prioridad de programación
• Bloquear páginas en memoria
• Inicio de sesión como trabajo por lotes
• Iniciar sesión como servicio
• Modificar la etiqueta de un objeto
• Realizar tareas de mantenimiento del volumen
• Analizar un solo proceso
• Analizar el rendimiento del sistema
• Quitar equipo de la estación de acoplamiento
• Apagar el sistema
• Sincronizar los datos del servicio de directorio.

La auditoría de esta subcategoría creará un volumen de eventos muy elevado.

Otros eventos de uso de privilegios

Esta configuración de directiva de seguridad no se usa actualmente.

Acceso a objetos

La categoría Acceso a objetos incluye subcategorías Sistema de archivos y Registro.

Sistema de archivos

Esta subcategoría envía una notificación cuando se accede a los objetos del sistema de archivos. Solo los objetos del sistema de archivos con SACL provocan que se generen eventos de auditoría y únicamente cuando se accede a ellos de una forma que se ajuste a sus entradas de SACL. Por sí misma, esta configuración de directiva no provocará la auditoría de ningún evento. Determina si se audita el evento de un usuario que accede a un objeto del sistema de archivos que tiene una lista de control de acceso del sistema (SACL) especificada, lo que permite realizar la auditoría de forma eficaz.

Si la configuración de acceso a objetos de auditoría está establecida en Correcto, se genera una entrada de auditoría cada vez que un usuario accede correctamente a un objeto con una SACL especificada. Si esta configuración de directiva está configurada en Error, se genera una entrada de auditoría cada vez que un usuario no consigue acceder a un objeto con una SACL especificada.

Registro

Esta subcategoría envía una notificación cuándo se accede a los objetos del Registro. Solo los objetos del Registro con SACL provocan que se generen eventos de auditoría y únicamente cuando se accede a ellos de una forma que se ajuste a sus entradas de SACL. Por sí misma, esta configuración de directiva no provocará la auditoría de ningún evento.

Objeto de kernel

Esta subcategoría informa cuando se accede a objetos kernel como procesos y exclusiones mutuas. Solo los objetos de kernel con SACL provocan que se generen eventos de auditoría y únicamente cuando se accede a ellos de una forma que se ajuste a sus entradas de SACL. Normalmente, los objetos de kernel solo reciben SACL si están habilitadas las opciones de auditoría AuditBaseObjects o AuditBaseDirectories.

SAM

Esta subcategoría envía una notificación cuando se accede a los objetos de la base de datos de autenticación del Administrador de cuentas de seguridad (SAM) local.

Servicios de certificación

Esta subcategoría envía una notificación cuándo se realizan las operaciones de Servicios de certificación.

Aplicación generada

Esta subcategoría envía una notificación cuando las aplicaciones intentan generar eventos de auditoría mediante las interfaces de programación de aplicaciones (API) de auditoría de Windows.

Manipulación de identificadores

Esta subcategoría envía una notificación cuando se abre o cierra un identificador de un objeto. Solo los objetos con SACL provocan la generación de estos eventos, y solo si la operación de manipulación intentada se ajusta a las entradas de SACL. Los eventos de manipulación de identificadores solo se generan para los tipos de objeto en los que está habilitada la subcategoría de acceso a objetos correspondiente (por ejemplo, sistema de archivos o Registro).

Recurso compartido de archivos

Esta subcategoría envía una notificación cuando se accede a un recurso compartido de archivos. Por sí misma, esta configuración de directiva no provocará la auditoría de ningún evento. Determina si se audita el evento de un usuario que accede a un objeto del recurso compartido de archivos que tiene una lista de control de acceso del sistema (SACL) especificada, lo que permite realizar la auditoría de forma eficaz.

Colocación de paquetes de plataforma de filtrado

Esta subcategoría envía una notificación cuando la plataforma de filtrado de Windows (WPF) coloca los paquetes. Estos eventos pueden ser de gran volumen.

Conexión de plataforma de filtrado

Esta subcategoría envía una notificación cuando WFP permite o bloquea las conexiones. Estos eventos pueden ser de gran volumen.

Otros eventos de acceso a objetos

Esta subcategoría informa sobre otros eventos relacionados con el acceso a objetos, como los trabajos del Programador de tareas y los objetos COM+.

Sistema

Cambio de estado de seguridad

Esta subcategoría informa de los cambios en el estado de seguridad del sistema, como cuando se inicia y se detiene el subsistema de seguridad.

Extensión del sistema de seguridad

Esta subcategoría informa de la carga del código de extensión, como los paquetes de autenticación del subsistema de seguridad.

Integridad del sistema

Esta subcategoría informa de las infracciones de integridad del subsistema de seguridad.

Controlador IPSec

Esta subcategoría notifica las actividades del controlador de seguridad del protocolo de Internet (IPsec).

Otros eventos del sistema

Esta subcategoría notifica otros eventos del sistema.

Para obtener más información sobre las descripciones de subcategoría, consulte la herramienta Administrador de cumplimiento de seguridad de Microsoft.

Cada organización debe revisar las categorías y subcategorías tratadas anteriormente y habilitar las que mejor se adapten a su entorno. Los cambios en la directiva de auditoría siempre deben probarse antes de la implementación en un entorno de producción.

Configuración de la directiva de auditoría de Windows

La directiva de auditoría de Windows se puede establecer mediante directivas de grupo, auditpol.exe, API o modificaciones del Registro. Los métodos recomendados para configurar la directiva de auditoría para la mayoría de las empresas son la directiva de grupo o auditpol.exe. La configuración de la directiva de auditoría de un sistema requiere permisos de cuenta de nivel de administrador o los permisos delegados adecuados.

Nota

El privilegio Administrar registro de seguridad y auditoría debe concederse a las entidades de seguridad (los administradores lo tienen de forma predeterminada) para permitir la modificación de las opciones de auditoría de acceso a objetos de recursos individuales, como archivos, objetos de Active Directory y claves del Registro.

Configuración de la directiva de auditoría de Windows mediante la directiva de grupo

Para establecer la directiva de auditoría mediante directivas de grupo, configure las categorías de auditoría adecuadas ubicadas en Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Directiva de auditoría (vea la captura de pantalla siguiente para obtener un ejemplo del Editor de directiva de grupo local [gpedit.msc]). Cada categoría de directiva de auditoría se puede habilitar para eventos correctos, erróneos, o correctos y erróneos.

La directiva de auditoría avanzada se puede establecer mediante Active Directory o directivas de grupo locales. Para establecer la directiva de auditoría avanzada, configure las subcategorías adecuadas que se encuentran en Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directiva de auditoría avanzada (vea la captura de pantalla siguiente para obtener un ejemplo del Editor de directiva de grupo local [gpedit.msc]). Cada subcategoría de directiva de auditoría se puede habilitar para eventos correctos, erróneos, o correctos y erróneos.

Configuración de la directiva de auditoría de Windows mediante Auditpol.exe

Auditpol.exe (para establecer la directiva de auditoría de Windows) se introdujo en Windows Server 2008 y Windows Vista. Inicialmente, solo se podía usar auditpol.exe para establecer la directiva de auditoría avanzada, pero la directiva de grupo se puede usar en Windows Server 2012, Windows Server 2008 R2 o Windows Server 2008, Windows 8 y Windows 7.

Auditpol.exe es una utilidad de línea de comandos. La sintaxis es la siguiente:

auditpol /set /<Category|Subcategory>:<audit category> /<success|failure:> /<enable|disable>

Ejemplos de sintaxis de Auditpol.exe:

auditpol /set /subcategory:"user account management" /success:enable /failure:enable

auditpol /set /subcategory:"logon" /success:enable /failure:enable

auditpol /set /subcategory:"IPSEC Main Mode" /failure:enable

Nota

Auditpol.exe establece la directiva de auditoría avanzada localmente. Si la directiva local entra en conflicto con Active Directory o la directiva de grupo local, la configuración de la directiva de grupo suele prevalecer sobre la configuración de auditpol.exe. Cuando existan varios conflictos de directivas de grupo o locales, solo prevalecerá una directiva (es decir, la reemplazará). Las directivas de auditoría no se combinarán.

Scripting Auditpol

Microsoft proporciona un script de ejemplo para los administradores que desean establecer la directiva de auditoría avanzada mediante un script en lugar de escribir manualmente cada comando de auditpol.exe.

Nota: La directiva de grupo no siempre informa con precisión del estado de todas las directivas de auditoría activadas, mientras que auditpol.exe sí lo hace. Consulte Obtención de una directiva de auditoría eficaz en Windows 7 y 2008 R2 para obtener más información.

Otros comandos auditpol

Auditpol.exe se puede usar para guardar y restaurar una directiva de auditoría local y para ver otros comandos relacionados con la auditoría. Estos son los otros comandos de auditpol.

auditpol /clear: se usa para borrar y restablecer las directivas de auditoría locales.

auditpol /backup /file:<filename>: se usa para realizar una copia de seguridad de una directiva de auditoría local actual en un archivo binario.

auditpol /restore /file:<filename>: se usa para importar un archivo de directiva de auditoría guardado anteriormente en una directiva de auditoría local.

auditpol /<get/set> /option:<CrashOnAuditFail> /<enable/disable>: si esta configuración de directiva de auditoría está habilitada, hace que el sistema se detenga inmediatamente (con el mensaje STOP: C0000244 {Audit Failed}) si una auditoría de seguridad no se puede registrar por algún motivo. Normalmente, los eventos no se registran cuando el registro de auditoría de seguridad está completo y el método de retención especificado para el registro de seguridad es No sobrescribir eventos o Sobrescribir eventos por días. Normalmente, esta directiva solo se activa en entornos que necesitan una mayor garantía de que el registro de seguridad está registrando. Si está habilitado, los administradores deben vigilar detenidamente el tamaño del registro de seguridad y rotar los registros según sea necesario. También puede establecerse con la directiva de grupo modificando la opción de seguridad Auditoría: Apagar el sistema de inmediato si no se pueden registrar las auditorías de seguridad (valor predeterminado=desactivado).

auditpol /<get/set> /option:<AuditBaseObjects> /<enable/disable>: esta configuración de directiva de auditoría determina si se audita el acceso de los objetos del sistema global. Si esta directiva está habilitada, hace que los objetos del sistema, como las exclusiones mutuas, los eventos, los semáforos y los dispositivos DOS se creen con una lista predeterminada de control de acceso del sistema (SACL). La mayoría de los administradores consideran que la auditoría de los objetos globales del sistema es demasiado "ruidosa" y solo la habilitarán si se sospecha de piratería malintencionada. Solo los objetos con nombre reciben una SACL. Si la directiva de auditoría de acceso a objetos (o subcategoría de auditoría de objetos kernel) también está habilitada, se audita el acceso a estos objetos del sistema. Al configurar este valor de seguridad, los cambios no surtirán efecto hasta que reinicie Windows. Esta directiva también se puede establecer con la directiva de grupo modificando la opción de seguridad Auditar el acceso de objetos globales del sistema (valor predeterminado=deshabilitado).

auditpol /<get/set> /option:<AuditBaseDirectories> /<enable/disable>: esta configuración de directiva de auditoría especifica que los objetos kernel con nombre (como las exclusiones mutuas y los semáforos) van a recibir SACL cuando se creen. AuditBaseDirectories afecta a los objetos contenedor, mientras que AuditBaseObjects afecta a los objetos que no pueden contener otros objetos.

auditpol /<get/set> /option:<FullPrivilegeAuditing> /<enable/disable>: esta configuración de directiva de auditoría especifica si el cliente genera un evento cuando uno o varios de los siguientes privilegios se asignan a un token de seguridad de usuario:

• AssignPrimaryTokenPrivilege
• AuditPrivilege
• BackupPrivilege
• CreateTokenPrivilege
• DebugPrivilege
• EnableDelegationPrivilege
• ImpersonatePrivilege
• LoadDriverPrivilege
• RestorePrivilege
• SecurityPrivilege
• SystemEnvironmentPrivilege
• TakeOwnershipPrivilege
• TcbPrivilege.

Si esta opción no está habilitada (valor predeterminado=deshabilitado), no se registran los privilegios BackupPrivilege y RestorePrivilege. La habilitación de esta opción puede hacer que el registro de seguridad sea extremadamente ruidoso (a veces cientos de eventos por segundo) durante una operación de copia de seguridad. Esta directiva también se puede establecer con la directiva de grupo modificando la opción de seguridad Auditoría: auditar el uso del privilegio de copias de seguridad y restauración.

Nota

Parte de la información proporcionada aquí se ha tomado del tipo de opción de auditoría de Microsoft y de la herramienta SCM de Microsoft.

Aplicación de auditoría tradicional o auditoría avanzada

En Windows Server 2012, Windows Server 2008 R2, Windows Server 2008, Windows 8, Windows 7 y Windows Vista, los administradores pueden optar por habilitar las nueve categorías tradicionales o usar las subcategorías. Es una opción binaria que se debe realizar en cada sistema Windows. Se pueden habilitar las categorías principales o las subcategorías; pero no ambas.

Para evitar que la directiva de categoría tradicional heredada sobrescriba subcategorías de directiva de auditoría, debe habilitar la opción de directiva de forzar la configuración de subcategorías de la directiva de auditoría (Windows Vista o posterior) para invalidar la configuración de la categoría de directiva de auditoría ubicada en Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Opciones de seguridad.

Se recomienda habilitar y configurar las subcategorías en lugar de las nueve categorías principales. Esto requiere que se habilite una configuración de directiva de grupo (para permitir que las subcategorías invaliden las categorías de auditoría) junto con la configuración de las diferentes subcategorías que admiten las directivas de auditoría.

Las subcategorías de auditoría se pueden configurar mediante varios métodos, incluidos la directiva de grupo y el programa de línea de comandos, auditpol.exe.

Pasos siguientes

• Auditoría y cumplimiento en Windows Server 2008

• Cómo usar la directiva de grupo para configurar opciones de auditoría de seguridad detalladas para equipos basados en Windows Vista y en Windows Server 2008 en un dominio de Windows Server 2008, Windows Server 2003 o Windows 2000

• Guía paso a paso de la directiva de auditoría de seguridad avanzada